現在、私が主任を務めるグループは、IoT機器やネットワーク機器がサイバーセキュリティ攻撃に対して堅牢かどうかを確認する検査業務を行っています。お客様が開発や販売をする機器について、セキュリティの脆弱性を検査し、発見した問題の再現方法や対処方法などをアドバイスするのが私たちの役割です。実際の検査業務だけではなく、IoT向けセキュリティ製品の開発や製品の保守サポートなどの役割も担っています。

今回、私がリーダーを務めたファジングツールRaven for Fuzzingのカスタマイズ・プロジェクトの目的は、FFRIセキュリティ社が開発したツールをカスタマイズし、より使いやすくなるための機能追加し当社製品として完成させることでした。

脆弱性を検証する手法にはいくつかありますが、今回開発した Raven for Fuzzing はファジングテストと呼ばれる手法を用いたものです。ファジングテストは、「ファズ（Fuzz）」と呼ばれるエラーを含んださまざまな異常パケットを自動生成させ、プログラムによって無作為に検査対象機器に送信します。エラーが含まれたさまざまな命令パターンを送信することで、検査対象機器が停止するなどの異常な動作を発見する方法です。

ファジングテストは無作為に「ファズ（Fuzz）」を送信することで、想定されていない未知のエラー発見に長けているところが大きな特徴です。

今回の製品開発プロジェクトには、私を含め３人のメンバーで開発にあたりました。約１年間の期間を要し、検証に検証を重ねる日々でしたが、現在、当社も注力するセキュリティ製品の開発に貢献できたと思っています。最初はファジングテストを理解することからスタート。理解するために、実際にさまざまなネットワーク機器に対して検査して理解を深めました。ネットワーク機器にさまざまな種類の異常データを送信。定期的に機器が作動しているか、正常なデータを送信し、確認します。それを繰り返すことで、ファジングツールの仕組みを理解し、どう使うかを習熟することで製品化につなげていきました。

Ravenも脆弱性の診断ツールとして、決して万全なものではありません。現在はまだ、検査対象のプロトコルが限られております。お客様のニーズに対して検査できる対象を広げていくのが、現在、最大の課題になっています。

私は入社以来、通信キャリア向けのシステム開発に従事してきましたが、2019年にセキュリティソリューションの販売業務に携わったことが縁で、セキュリティの世界に入りました。当時、世界的にセキュリティ問題が注目され、当社もセキュリティソリューションの提供に注力しようという矢先でしたが、日本の企業はまだまだセキュリティへの関心が低く、一時停滞するような状況でした。しかし、クラウドサービスの普及などの背景もあり、ここ１、２年でセキュリティへの関心が急激に高まり、脆弱性診断依頼も急増しています。

しかし、セキュリティ分野のエンジニアは、幅広い知識と高度な技術や忍耐力必要とされるため、まだまだ人材が少ないのが現状です。今後、IPA（情報処理推進機構）のセキュリティ分野の資格取得者など、人材が最も必要とされる分野の一つです。

セキュリティ分野の面白さはゴールがないことです。常に新しいウィルスやワームなどのマルウェアが登場してきますので、それに対応した新しい技術や知識が必要となります。不断のスキルアップができるところが大変ですが、面白いところです。また、ファジングテストを使った解析プロセス自体の面白さもあり、未知の脆弱性を発見した時の達成感もあります。もちろん、「ころばぬ先の杖」としてお客様の役に立つことが何よりのやりがいですが、出荷後、その製品を利用する一般のユーザの方をサイバー攻撃から守るという、社会的な意義もあると思っています。

そして今後ますます、さまざまな技術領域で高い技術や知識が求められるIT業界ですが、富士ソフトはそれに対応した技術や知識を得られる会社だと思います。
多彩なスペシャリストの方が揃っており、C&C（Challenge & Creation：挑戦と創造）を実践し、新しい技術領域に挑戦していろいろな困難を乗り越えていく際に、多彩なスペシャリストの方が協力してくれます。その中で自分自身がスキルアップしながら、お客様へ貢献することができる会社です。

最後に私自身もスキルアップのためにIT系の勉強会やウェビナーへの参加や資格取得などにチャレンジしています。今後、私達と一緒にチャレンジしてくれる方が数多く入社することを願っています。