ハッカーが企業を守る!?
ホワイトハッカーの役割や重要性を解説

「ハッカー」という言葉の意味

「ハッカー」という言葉の歴史は古く、コンピュータがまだ普及していなかった1960年代から使われてきました。ハッカーとは、コンピュータやインターネットに関する高度な知識や高い技術力を持っている人のことを指します。
意外にもハッカーという言葉には、そもそも悪い意味は含まれておらず、「善」や「悪」という概念は存在しないのです。それがマスコミによる誤用などの影響もあり、いつの間にか第三者のコンピュータに不正侵入する、不正にプログラムを書き換えるなど、「悪いことをする攻撃者」というイメージが定着してしまいました。
ハッキングも同様で、情報を盗んだり、データを改ざんしたりする意味で使われがちですが、もともとはプログラムやシステムを構築したり、解析したりする行為を指します。ハッカーと同様に、本来、善悪の概念は存在しません。

「健全なハッカー」＝「ホワイトハッカー」

近年は、健全なハッカーを指して「ホワイトハッカー」という言葉が使われるようになってきました。ホワイトハッカーとは、本来持っているコンピュータやネットワークに関する卓越した知識や技術を、目的のために正しく活用する人のことです。
インターネットの飛躍的な普及によって私たちの暮らしは大きく様変わりし、情報化が加速しています。デジタル化された「情報」は、企業にとって「ヒト」、「モノ」、「カネ」と同様に重要な財産となっています。自社の情報を守るため、継続的にネットワークやエンドポイント（※1）の監視・診断を実施し、サイバー攻撃に対して速やかに防御を行うのがホワイトハッカーです。企業の情報セキュリティを高める役割を担っています。

「悪質なハッカー」＝「ブラックハッカー」

コンピュータに関する高度な知識や技術を世の中の役に立つことに使うホワイトハッカーに対して、犯罪行為に悪用する攻撃者のことを「ブラックハッカー」または「クラッカー」と呼びます。
IT分野に精通しているという意味ではホワイトハッカーもブラックハッカーも同様ですが、目的や役割は対照的です。新しいマルウェアは一日に100万個も作られていると言われるほどブラックハッカーの攻撃は多様化しており、多くの企業がターゲットになっています。本来のターゲットを直接狙うのではなく、中小企業を「踏み台」にしたサプライチェーン攻撃（※2）など、手口もますます巧妙化しています。

ホワイトハッカーの業務内容とは？

ホワイトハッカーの役割とは、国や企業、組織に対して行われるサイバー攻撃から、重要な情報資産を守ることです。業務内容は、「日常的なセキュリティ環境の構築」と「サイバー攻撃を受けた際の対応」の大きく2つに分けられます。

●日常的なセキュリティ環境の構築

安全・安心なセキュリティ環境を整えるための業務を担います。システムやプログラムの脆弱性をチェックし、必要に応じて精度を向上させるなどの改修を行いながら、継続的に保守・運用を行います。外部からのサイバー攻撃はもちろん、内部の不正行為や情報漏洩に対する監視の役目も担っています。

●サイバー攻撃を受けた際の対応

セキュリティインシデント（※3）に備えて、あらゆる観点から対応策を立てておく必要があります。外部からの不正な侵入を防ぐとともに、近年は完全にブロックすることは難しいという考えから、トラブルが起きた場合にどれだけスピーディかつ的確に対応できるかが問われるようにもなってきています。こうした事後の対応もホワイトハッカーの重要な役割の一つです。

ホワイトハッカー 業務の原則は「ゼロトラスト」

業務を遂行するにあたり、ホワイトハッカーは基本的に「ゼロトラスト」の立場で対策を行う必要があります。従来、リスクは外部から入ってくるものと考えられており、内部の人間は対象外という前提に立ってセキュリティ対策が行われてきました。しかし現在では、リスクは外部だけでなく内部にも存在するという考え方が一般的になっています。
この考え方を「ゼロトラストセキュリティ」といいます。誰も何も信用しないという前提に立って、すべてのトラフィック（※4）をチェックするというセキュリティ対策です。
近年、テレワークやクラウドサービス（※5）が普及し、「内」と「外」の境界が曖昧になってしまったことも影響しています。ゼロトラストセキュリティを実践することで、情報セキュリティが向上し、テレワークの推進やクラウドサービスの活用、多様な働き方にも安全かつ柔軟に対応することができるようになります。

ホワイトハッカー需要の背景

近年はIT企業に限らず、官公庁などがホワイトハッカーを積極的に確保したり、民間企業でも採用を検討したりする動きが広まっています。
その背景には、ランサムウェア（※6）、標的型攻撃（※7）など、サイバー攻撃がますます巧妙化・多様化していることが挙げられます。通信情報技術の進歩に伴い、さまざまな産業が発展し、社会構造が急速に変化し続けています。そのスピードと同様に、サイバー攻撃も進化を遂げており、これらに対抗するスペシャリストとして、ホワイトハッカーのニーズが高まっているのです。

優秀なホワイトハッカーとは？

ホワイトハッカーには、幅広い知識と技術が求められます。コンピュータ、ネットワーク、セキュリティシステムに関する知識はもちろん、さまざまなプログラミング言語にも通じておく必要があります。
以下のようなIT関連の法律や法令について、基本的な知識を有していることも重要です。

• 個人情報保護法
• マイナンバー法
• サイバーセキュリティ基本法
• 電子署名及び認証業務に関する法律

また最新のサイバー攻撃のトレンドにも常にアンテナを張り、自身の知識をアップデートし続けることも、ホワイトハッカーの条件となります。

コミュニケーション能力も大切

高度な知識、分析力などに加えて、優秀なホワイトハッカーであるほど、コミュニケーション能力に長けているということが言えるでしょう。セキュリティシステムの構築には、現場スタッフの声をヒアリングしたうえで適切に行うことが重要です。
さらに、セキュリティシステムを管理する立場上、人から信頼される「人間性」や「モラル」も重視されます。ニュースなどで、データベース運用を任せていた担当者による不正な情報漏洩の事件が報道されますが、そもそもそのようなモラルの低い人に「情報」という重要な資産を任せてはいけないという言い方もできるでしょう。

社内のリソースを活用する場合

企業の経営者にしてみれば「優秀なホワイトハッカーがいるならぜひ採用したい」と思う方も多いでしょう。しかし実際には、セキュリティ人材はどこも不足しているのが現状です。大手企業でも難しい状況が続くなか、中小企業ではなおのこと優秀な人材確保は厳しいと言わざるを得ません。
採用が難しいのなら、社内のリソースからセキュリティ人材を育てるという考え方もあります。大学などで情報に関する学びを修めた人材を採用し、ITエンジニアとして働きながらホワイトハッカーに育てていくことも可能です。しかしホワイトハッカーには非常に高度な知識と技術が求められるため、実績や経験を重ねながらキャリアアップしていくには、相当な時間とコストが必要になってきます。

日本政府もセキュリティ人材育成に注力

わが国としても、セキュリティ人材の育成には力を入れています。2017年4月には、総務省所管の「NICT（情報通信研究機構）」が「ナショナルサイバートレーニングセンター」を開設しました。これは、長年にわたるサイバーセキュリティに関する研究で得られた技術的知見などを最大限に活用することで、実践的なサイバートレーニングを企画・推進する組織です。
例えば、ナショナルサイバートレーニングセンターが行う事業の一つに、国の機関、地方公共団体、民間企業などを対象とした実践的サイバー防御演習「CYDER（サイダー）」があります。これは、サイバー攻撃を受けた際のインシデント対応をロールプレイ形式で体験できる演習です。

国際的な認定資格「「CEH」

世界的な動きに目を向けると、「EC-Council International（電子商取引コンサルタント国際評議会）」の認定資格の一つで、「CEH（Certified Ethical Hacker）」というものが注目されています。日本語では「認定ホワイトハッカー」と呼ばれている資格ですが、サイバー攻撃の手法を学ぶことで実践的な知識を身に付け、より強固なセキュリティ構築ができる人材をめざすことを目的としています。
日本国内における知名度はまだ低いようですが、アメリカ国防総省では情報システムにアクセスするスタッフはCEHの取得を必須条件にしているなど、信頼性の高い資格と言えます。

まずは自社のセキュリティ対策の見直しから

ここまでの内容で、ホワイトハッカーが情報セキュリティ対策において重要な人材であること、一方で採用や育成は容易ではないということがご理解いただけたと思います。そこで企業として取り組みたいのは、まず自社のセキュリティ対策が現状どうなっているのかを把握することです。自社におけるセキュリティリスクを検討し、何が足りていないかを見直すことによって、導入すべき方法やルーツなど、今必要な対策が見えてきます。

情報システム担当が不要なセキュリティツール

ツール選びで迷ったときには、情報セキュリティ課題にオールインワンで対応できるUTMの検討をおすすめします。UTMなら一台の導入で、不正アクセス、ウイルス侵入など、インターネットから来るさまざまな脅威から統合的に社内ネットワークを守ります。ウイルス感染時は無料でPCウイルス駆除サービスが受けられ、情報システム担当者がいなくても複雑化するサイバー攻撃のリスクに対応できます。

●最新のネットワークウイルスに対応

ウイルスのデータパターンを自動更新することで、最新のネットワークウイルスに対応。安全・安心なネットワーク環境を構築することが可能です。

●メールによる情報漏洩を防止

送信メールを一定時間保留し、キャンセルすることができるため、メールの誤送信を防止できます。

●異常な通信のパソコンを検知

万が一、社外で会社のパソコンがウイルスに感染しても、情報セキュリティゲートウェイ連携によって異常な通信をしているパソコンを検知し、ネットワークから遮断。社内へのウイルスの拡散を防ぎます。

UTMは、外部からの脅威だけでなく、内部の脅威にもしっかり対応してくれるのがポイントです。また情報システム担当者を置く必要がないのは、リソースに不安がある中小企業にとっては最大のメリットかもしれません。ホワイトハッカーの採用や育成は難しいとしても、UTMを導入することにより、強固なセキュリティ対策が可能になります。

今回は、ホワイトハッカーについて解説するとともに、安全・安心なセキュリティ対策のためには何をすればよいのかを考えてきました。セキュリティ人材が不足している状況では、優秀なホワイトハッカーを自社で抱えるのは容易ではありません。現状のセキュリティ対策に不安のある経営者の方は、適切なツールの導入や外部の専門家によるサポートなどを検討してみではいかがでしょうか。
サクサでは、セキュリティ対策に有効なUTMをはじめ、さまざまなソリューションを通して、中堅・中小企業の課題解決をサポートさせていただきます。ぜひ気軽にお問い合わせください。