1
/
5

【社員インタビュー】進化を止めたら負けですから。情報セキュリティ部長・堀 究

日々、サイバー攻撃に晒されている暗号資産交換所。その最前線で、日夜問わず警戒を続け、お客様の資産を守るセキュリティエンジニア。常に臨戦態勢ということもあり、ピリピリしてしまうことも少なくないであろうため、遠慮しつつインタビューを申し込んだ。すると、予想に反して極めて穏やかに、多彩な趣味の話も交えながら独自の仕事哲学を語ってくれた。

この道15年。好きな暗号資産は…

兼谷:堀さんの入社時期は2018年6月でしたね。これまでもこの仕事を?

堀:電子工学専攻だったこともあり、はじめは製造業の電子設計部署で働いていました。そこでは、マイコンが8ビットから16ビットに変わるころで、アーキテクチャ設計や開発環境の整備をしてました。その後、Webシステムの開発をして、セキュリティの仕事は2000年に制定されたIT基本法に関連した電子政府やISMSから関わり始め、個人情報の保護に関する法律が制定された2005年から情報セキュリティの仕事がメインになりました。この間2年ほど内閣サイバーセキュリティセンターに出向して、セキュリティ政策のお手伝いもしてます。ここでの人脈が当社に転職したきっかけにもなっています。キャリアは15年、といったところですね。

兼谷:前職では、一流企業にお勤めでしたのに、何故この会社に?

堀:この36階からの素晴らしい景色に惹かれて。….ウソウソ(笑)。当時の親会社社長(ビットポイントの親会社である株式会社リミックスポイント)の知り合いと繋がっていたので頼まれて。当初は「金融経験が無いから」と1回断りました。その後、話聞くだけでもいいからと言われて訪問すると、業務改善命令(※1)を受けた直後でどうしても手伝って欲しいと頼まれ、暗号資産にも興味があったのと、何かイノベーションが起きるかもしれないって思いすぐにジョインしました。

※1 2018年6月、弊社は金融庁から業務改善命令を受けました。その後、業務改善報告を提出し、進捗と実施状況を継続的に報告した結果、2019年6月に報告義務が解除となっています。

兼谷:暗号資産には興味があったんですか?

堀:2014年2月のマウントゴックス事件で初めて暗号資産を知りました。その後2015年ぐらいにビットコインを買おうと思って海外サイトでクレジットカード番号を入れる画面まで行ったのですが、カード番号を悪用されたら困るなと別の決済を探しているうちに熱が冷めて機会を逃し、結局2018年まで買いませんでした。

兼谷:”仮想通貨元年”といわれる2017年よりも前に注目してたんですね! お詳しそうですが、好きな暗号資産とかって、ありますか?

堀:好きとかではないですがジーキャッシュ(※2)、いわゆる匿名通貨に興味を持ちました。2017年にランサムウェアWannaCryの被害が世界的に問題になったとき、その大元のツールを公開した「シャドーブローカーズ」と名乗るハッカー集団が、NSA(※3)の未公開ハッキングツールをジーキャッシュで売り出していたのです。ビットコインではNSAに身元がばれるということがジーキャッシュを使う理由でした。そのときビットコインでは匿名性が担保できないのかと詳しく調べました。ジーキャッシュの開発者にそんな意図はないのでしょうが、悪いひとが使う通貨ってイメージもあるかもしれないね…(笑)。匿名性の高い通貨ではあるけれど、ユーザーが自分の情報(送金者・受取者のアドレス、扱い数量)を公開したり非公開にしたりと自由に選べるところが非常に面白いなと。

※2 ジーキャッシュ(ZEC):イスエラルやアメリカの大学教授を中心に構成されたチームが開発・運営を行うトークンです。匿名性が高いことで知られ、送付者の情報が開示されないなどの利点があります。なお、日本においては原則的に匿名性が高い暗号資産は取引が出来ないため、堀さんには申し訳ないのですが、現状、ビットポイントでは取扱いができません…。ビットポイントジャパン社長・小田玄紀より。

※3 NSAはNational Security Agencyの略で、アメリカ合衆国連邦政府のアメリカ国家安全保障局という情報機関。

前職と比べ、ハッキングの危険度は別次元に

兼谷:おぉ。 ジーキャッシュを選ぶあたりがセキュリティご担当ならでは!という感じがします。セキュリティとしてのキャリアは長いですが、この会社では扱うものが特殊なだけに勝手が違うことも多々あると思いますが。

堀:前職までと変わったことといえば、とにかく攻撃される頻度が上がったということ。盗る価値のあるものを扱っているから直接、狙われる。攻撃される通信ログや標的型メールだけでも相当増えました。

兼谷:量にして、どれぐらい増えました?

堀:それは…秘密です。前職は製造業でしたので、来るのはほとんど所謂ばらまき型メールで、毎月標的型メールが来るなんてことはなかったのですがね。

兼谷:うわぁ…。伺っているだけで緊張してきます…。現在のお仕事内容を詳しく聞かせてもらえますか?

堀:わたしは情報セキュリティ全般の監督にあたっています。具体的には、情報セキュリティポリシーに則り、セキュリティ対策が出来ているか、足りない部分に対しては担当部署とセキュリティ対策を実施するといった事ですね。特にITサービスの会社なのでサイバーセキュリティが中心となります。あと従業員のセキュリティ意識が重要ですので、訓練や従業員教育も実施します。

兼谷:(社員向けの)訓練メールもよく送信されていますね。どんどん精緻なものになってきているから、私たちも用心しています。会社全体のリテラシーを上げるために工夫していることはありますか?

堀:標的型メール訓練は毎月やってますね。それと、定期的に全社教育をしています。これはコンプライアンス部と合同で行っているものです。情報セキュリティは全員参加という意識を持つことが重要です。さらに、最新のサイバーセキュリティ事例も共有するようにしています。対岸の火事ではないですから。

兼谷:敵は日々、進化していますものね。ということは堀さんの進化も求められることになりますが、どのようにスキルアップを図っているんでしょうか。

堀:この環境ですからね。スキルアップは、実務を通じて勉強します。あとはwebサイトでの情報収集、ベンダーやセキュリティコミュニティの情報が非常に参考になります。

兼谷:先ほど、攻撃される頻度も上がったと仰っていました。特に苦労されている点は?

堀:各種規程等で定めた事は、システム部門や各部が実施する事も多いので連携が大事になります。事業を継続する上で、サービスの利便性とセキュリティのバランスが大事になります。100%のセキュリティ対策は困難なので、リスクが何か、どこまで対策すれば許容できるかを判断するのが難しいです。

兼谷:どんなイメージでしょう。

堀:自分たちの弱い部分を見つけて、ひとつひとつ潰していくイメージです。たとえですが、カギをかけ忘れていないか、蹴破られそうな薄い壁なら補強したり、合いカギを作られていないか調べたり。

兼谷:システムのお話も、こういう表現をしてもらうと文系人間としてはわかりやすいです!

堀:攻撃する方が常に優位ですが、やはり何事も基本が重要ですね。PCやサーバのセキュリティパッチの適用やサービスの脆弱性対策は忘れてはいけません。1つ破られても2つ目で防ぐなどの多層防御も。脆弱性は日々発見されます。セキュリティ対策の進化を止めたら負けですから。

おすすめのリフレッシュ方法があれば教えてください

兼谷:気が休まらない日々をお過ごしのことと思いますが、だからこそリフレッシュの時間は大切ですね。どのようにリフレッシュしていますか?

堀:休日の息抜きには…よく海外ドラマを観ますね。あとは、たまにですが日曜大工もします。

兼谷:意外! 日曜大工ですか。

堀:はい。本棚や台所の棚を作ったりしました。自動車や自転車の整備も好きですね。今は自動車がないので自動車整備はやってませんが、写真の自転車は自分で組み立てました。ただ、ちょうどステイホームだったので、外出せずに室内でローラー台に乗っています。


兼谷:カメラもご趣味だとか。

堀:はい。カメラは高校からですね。写真部にも在籍してました。旅行が好きなので、風景写真を撮影しますが、最近は旅先で見つけた消火栓を撮ったりしてます。

兼谷:ワンテーマで撮り続けているんですね。消火栓に魅せられた理由は?

堀:旅先で消火栓を見つけると、アメリカ ボルチモアの大火災時に各地から駆けつけた消防署が持参したホースの規格がばらばらで消火栓に接続できなくて大災害になった事から、標準化の規格が生まれたという話を思い出します。今でも自治体によりデザインがかなり違っており、地域性があって面白いなと。


堀さんが世界各国で撮影した消火栓たち。

兼谷:なるほど。このお話を元に会社ページの「こんなことやります」をお読みいただくと…「だから消火栓なのか!」と合点がいくと思います。今、このストーリーを見てくださっている皆さん、「こんなことやります」もぜひご覧ください(ちゃっかり宣伝)。

ビットポイントジャパンのサイバー対策チーム

兼谷:今回、仲間を募っているのはBPJ-CSIRTBPJ Computer Security Incident Response Team/ビットポイントジャパンシーサート)のセキュリティエンジニアですね。サイバー攻撃に対応するチームということですが、このチームは、どんな雰囲気ですか?

堀:当社のセキュリティ対策には、事業や業務プロセスに対するリスクマネジメントとして、経営者が積極的に関与しています。具体的には、情報セキュリティ委員会には取締役3人が委員として参画し、委員会直属の部隊として、サイバー攻撃に対応するBPJ-CSIRTを構築しています。少人数で、こつこつ仕事をこなす真面目な雰囲気と、規模が小さい故に自分の意見が経営に届きやすい面があります。

兼谷:ありがとうございます。仕事の面白みはどのあたりでしょうか。

堀:暗号資産に係る事業者は常に標的型メール攻撃やサービスサイトの攻撃に晒されています。この脅威の中で最新の攻撃手法や対策ツールなどを調査しながら、攻撃を検知・防御する仕組みを考えるのが面白みでないでしょうか。

この先、ビットポイントジャパンでやりたいこと

兼谷:最後に、「ここでやりたいこと」などあれば、教えてください!

堀:1番はお客様や社員がセキュリティを意識しなくても安全にサービスを利用できる仕組みにしたいですね。2番目にCOVID-19がきっかけで、どの会社も業務効率を上げ、更にセキュリティも確保した働き方を模索していると思います。個人的には、関東に住んでいなくても、他県や海外などのどこからでも働ける環境にできたらなと思っています。

兼谷:それは本当に未来の理想形ですね!!

堀:地震や火事などの災害では、日頃の防災意識の高さ、正しい知識と防災訓練が被害の程度を左右するように、サイバー攻撃についても同様な事が言えます。BPJ-CSIRTの一員として日頃の防災活動およびインシデント発生時における火消し役を一緒にやってくれるセキュリティエンジニアを募集しています。

進化し続けたいかたは、一度お話をしてみませんか?

株式会社ビットポイントジャパン's job postings
2 Likes
2 Likes

Weekly ranking

Show other rankings
If this story triggered your interest, go ahead and visit them to learn more