近年、情報通信技術の驚異的な進歩によって、さまざまな産業が発展し、社会構造や人々の暮らしに大きな変化をもたらしました。20世紀後半から21世紀初頭にかけて、インターネットの普及率は飛躍的に上昇しており、いわゆる情報化が加速しています。しかし、テクノロジーの発展に比例して、マルウェアや不正アクセスなどの脅威も高度化かつ多角化しており、コンピューターやサイバー犯罪に関する深い知識と高い技術を持つホワイトハッカーの必要性が高まっています。まずは、ホワイトハッカーの定義やブラックハッカーとの違いについて見ていきましょう。

ハッカーとは

一般的に「ハッカー」と聞くと、第三者のコンピューターやネットワークに不正侵入し、犯罪行為をする者を想像するかもしれません。しかし、本来の定義では、コンピューターネットワークやコンピュータープログラムに卓越した知見を持つ人物をハッカーと呼び、そこに善悪の概念は含まれていません。また、「ハッキング」という言葉も情報の窃取やデータの改ざんといった意味合いで使用されがちですが、本来はコンピュータープログラムやシステムを構築・解析する行為を指します。

ホワイトハッカーとは

「ホワイトハッカー」とは、コンピューターやプログラムの知識と技術を善良な目的に使用する、いわゆる“健全なハッカー”を指す用語です。コンピューター分野における深い知識と高い技術を持つハッカーは、ホワイトハッカーとブラックハッカーの2種類に分けられます。コンピューターへの不正アクセスやWebサイトの改ざんなど、悪意あるサイバー攻撃から情報を保護するのがホワイトハッカーの役割です。企業にとって、情報はヒト・モノ・カネに次ぐ第4の経営資源であり、ホワイトハッカーの需要は年々高まっています。

ホワイトハッカーとブラックハッカーの違い

ホワイトハッカーがコンピューターに関する知見を社会のために役立てるのに対し、「ブラックハッカー」は同様の知見を逆に犯罪行為に利用します。個人や組織のコンピューターネットワークに不正に侵入し、個人情報を窃取したりプログラムを破壊したりと、悪意のある攻撃を仕掛けるのがブラックハッカーの特徴です。ホワイトハッカーとブラックハッカーは、IT分野のプロフェッショナルという共通点はあるものの、その役割や目的は対極的といえます。

具体的な手口としては、ネットワーク上に分散した複数のコンピューターから大量のトラフィックを送信する「DoS攻撃」や、総当たり攻撃によってパスワードを解読する「ブルートフォースアタック」などが代表的な攻撃手法です。ほかにも、「クロスサイトスクリプティング(XSS)」による個人情報の詐取や、「OSコマンドインジェクション」による不正なOSコマンドの実行など、Webアプリケーション特有の脆弱性を突いたサイバー攻撃も増加傾向にあります。

ホワイトハッカーとセキュリティエンジニアの違い

ホワイトハッカーは「セキュリティエンジニア」と呼ばれることもあり、その違いについての明確な定義は存在していません。一般的にセキュリティエンジニアは、セキュリティシステムの設計・実装・運用・保守など、組織のセキュリティ業務全般を担当する職種を指します。一方でホワイトハッカーは、あくまでもIT分野におけるプロフェッショナルを指す敬称であり、厳密にいえば職種を表す言葉でありません。

また、ホワイトハッカーの役割とはマルウェアや不正アクセスなどのサイバー攻撃から情報資産を保護することであり、セキュリティエンジニアの役割とはセキュリティ管理はもちろん、システムの設計から運用に至る全プロセスを担うことと定義される場合もあります。ホワイトハッカーとセキュリティエンジニアの明確な定義はやや曖昧ですが、どちらも企業や政府機関、あるいは個人の情報資産を守ることが役割であり、情報セキュリティに関する高度な知見が求められます。

記事冒頭で述べたように、テクノロジーの進歩によってさまざまな産業が発展する一方で、マルウェアや不正アクセスといったサイバー攻撃の脅威も年々巧妙化しています。情報漏洩インシデントは、企業が培ってきた社会的信用の失墜につながるため、セキュリティ管理は非常に重要な経営課題の1つです。セキュリティ管理の重要性が高まるとともに、ホワイトハッカーの需要も増加しており、その流れは今後も継続していくと予測されます。求人情報ではセキュリティエンジニア、あるいは「ネットワークエンジニア」として募集されることが多い傾向にあります。

ホワイトハッカーの勤め先として挙げられるのが、ECサイトやWebサービスを展開しているIT関連の一般企業です。IT企業にとって、データは何よりも重要な経営資源であると同時に、常に情報漏洩インシデントやサイバー攻撃の脅威にさらされています。こうした企業のネットワーク上に潜む、さまざまなリスク要因の排除がホワイトハッカーに求められる役割です。また、内閣サイバーセキュリティセンター(NISC)といった政府機関や公共機関も、ホワイトハッカーの発掘や育成に注力しています。そのため、政府機関のITインフラを保護するセキュリティエンジニアとして勤務するホワイトハッカーも少なくありません。

ホワイトハッカーの主な業務は、「セキュリティ対策の実施」と「サイバー攻撃時の対応」です。ここからは、ホワイトハッカーの仕事内容について見ていきましょう。

セキュリティ対策の実施

ホワイトハッカーの役割は情報資産の保護であり、主な業務はセキュリティ環境の整備です。ERPシステムやWebアプリケーション、あるいはECサイトなどの脆弱性診断や改修作業などを行います。マルウェアや不正アクセスといった外部からの攻撃はもちろん、内部の人間による不正行為や意図的な情報流出が発生してないかどうかなど、あらゆる観点からセキュリティ環境を整備するのがホワイトハッカーの仕事です。また、クライアントに対するセキュリティ問題の報告や提案など、コミュニケーション能力が求められる業務もあります。

サイバー攻撃時の対応

セキュリティインシデントの発生に備えて、あらゆる角度から対応策を立案するのも、ホワイトハッカーの重要な業務です。セキュリティ管理は、サイバー攻撃からの保護に重点が置かれがちですが、インシデント発生時にいかに迅速、かつ的確な対応ができるかどうかも重要な要素といえます。サーバーやWebアプリケーションに対して、不正なトラフィックが検出された場合、速やかに調査・分析を実施して、素早く対処しなくてはなりません。セキュリティ対策の実施だけではなく、セキュリティインシデントの発生を想定した環境を整備するのも、ホワイトハッカーの重要な役割です。

ホワイトハッカーになるためには、どのような知識が求められるのでしょうか。必須といえるのが、「情報セキュリティに関する知識」と「IT関連の法律・法令に関する知識」の2つです。

情報セキュリティに関する知識

繰り返し述べているように、ホワイトハッカーとはIT関連におけるプロフェッショナルを指します。そのため、コンピューターネットワークや、セキュリティシステムなどの高度な知識を備えているのはもちろん、さまざまなプログラミング言語に精通している必要があります。「HTML」や「CSS」、「JavaScript」といったWeb関連の言語は当然として、CMSの構築に欠かせない「PHP」やサーバサイドプログラムを得意とする「Ruby」、または統計解析や機械学習で用いられる「Python」などの知識も必要です。

IT関連の法律・法令に関する知識

ホワイトハッカーとして活躍するためには、IT関連の法律や法令に関する知識も必須といえます。たとえば、「改正個人方法保護法」や「マイナンバー法」、「サイバーセキュリティ基本法」に「電子署名及び認証業務に関する法律」などは、コンプライアンスに準拠した、セキュリティシステムを実装するために欠かせない知識です。ホワイトハッカーは、こうした情報セキュリティに関連する法律や法令を把握するとともに、常に最新の学びを深め続ける姿勢が求められます。

ホワイトハッカーになる方法は、大きく分けて2つのルートが考えられます。1つめは大学や専門学校で学ぶ方法、2つめはITエンジニアとして働きながらステップアップを目指す方法です。

1．大学や専門学校で学ぶ

ホワイトハッカーはセキュリティ関連における上位職であり、セキュリティエンジニアとして雇用されるためには、高度な知識と技術を証明する相応の資格や経歴が求められます。コンピューター分野に関する知見だけでなく、統計解析や機械学習、アルゴリズム論やプログラミング言語、数学への深い感性や英語力などの幅広い知識が必要です。また、資格取得を目指すためにも、情報工学や計算機工学などを学べる大学への進学は有効な選択といえます。

ホワイトハッカーになるのに必須とされる資格は存在しませんが、セキュリティエンジニアの代表的な国家資格として「情報処理安全確保支援士」があります。情報処理安全確保支援士試験は、情報処理技術者試験のレベル区分でいえば最高レベルの4に該当し、IT系の中でも最高レベルの難易度を誇る資格です。少なくとも、国立大学レベルの情報工学や計算機工学が必要とされるため、まずは大学や専門学校でコンピューターサイエンスの基礎を学ぶのが望ましいです。

2．ITエンジニアとして働きながらステップアップを目指す

ホワイトハッカーは、非常に高度な知識と技術が求められるため、実務経験のない新卒がセキュリティエンジニアとして雇用されるケースはほとんどありません。大学や専門学校で最先端の知識を身につけ、政府関連機関や情報セキュリティシステム開発企業、大手企業のセキュリティシステム部署などに就職し、実績や経験を重ねながらキャリアアップする、というルートが一般的です。

ここからは、有能なホワイトハッカーの特徴について見ていきましょう。具体的な特徴としては、「スキルを証明できる資格を持っている」「正義感が強い」「コミュニケーション能力が高い」「ハッキングコンテストでの実績がある」などが挙げられます。

スキルを証明できる資格を持っている

先述したように、ホワイトハッカーになるために必須の資格は存在しませんが、情報処理安全確保支援士のような代表的な資格がいくつかあります。たとえば、国際的に知名度の高い人気の資格として挙げられるのが、「CEH(Certified Ethical Hacker)」です。アメリカ国防総省では、情報システムにアクセスするすべての職員に対して、CEHの取得が条件付けられています。しかし、需要が高まっているとはいえ、CEHはホワイトハッカーとしての職に就くための入門資格といえます。

また、高度なスキルを証明できる資格として挙げられるのが、「ITストラテジスト」や「プロジェクトマネージャ」などがある「高度情報処理技術者」です。情報処理技術者試験は経済産業省が認定する国家試験で、10種類以上の資格が1〜4のレベルに区分されており、レベル4以上は高度情報処理技術者試験と呼ばれます。ホワイトハッカーになるにはレベル4以上、いわゆる高度情報処理技術者の資格取得を目指したいところです。しかし、8種類あるレベル4以上の高度情報処理技術者試験は、いずれも合格率が20%を下回る難関試験となっているため、長期的な学習計画が求められます。

高度情報処理技術者試験の合格が、必ずしもセキュリティエンジニアやセキュリティコンサルタントとしてのスキルを証明するわけではありません。しかし、高度情報処理技術者試験は、日本のサイバーセキュリティ分野における国家資格の情報処理安全確保支援士と同等の難易度を誇る資格試験といわれています。したがって、高度情報処理技術者の資格保有者は、IT分野における深い知識と高い技術を持つ、有能な人材の証といえるでしょう。

正義感が強い

ホワイトハッカーは、組織のセキュリティシステムを管理するという立場上、正義感の強さや人間性は非常に重要な要素です。コンピューターやネットワークに関する高度な技術力を持っていても、倫理観や人間性が備わっていなければ、ホワイトハッカーは務まりません。たとえば、2014年に大手教育関連企業の顧客情報が約2,900万件も流出するという事件がありました。原因は、データベース運用を委託していたグループ企業の社員による不正な情報流出です。このような事態に陥らないためにも、ホワイトハッカーには技術力以上に、正義感や倫理観が求められます。

コミュニケーション能力が高い

優れたホワイトハッカーは、コミュニケーション能力にも長けています。セキュリティシステムを構築する際は、現場の声を拾い上げて、定量的な分析にもとづく問題提起や適切な要件定義が不可欠です。そして、コストや業務改善、またはテクノロジーなどの観点から経営課題を洗い出し、適切なシステム環境を構築しなくてはなりません。業務状況を的確に把握するためには、現場担当者へのヒアリングが必須であるため、セキュリティシステムを整備するホワイトハッカーは、高いコミュニケーション能力が求められます。

ハッキングコンテストでの実績がある

情報処理安全確保支援士のような難易度の高い国家資格を取得することだけが、ホワイトハッカーの能力の証明ではありません。先述したように、ホワイトハッカーとして就業するために必要な資格は存在せず、求められるのは高度な知識と技術、そして人間性です。しかし、知識や技術、あるいは人間性などを客観的に証明するのは簡単ではありません。

そこで、スキルの証明や実績を高めるために「ハッキングコンテスト」に出場し、ホワイトハッカーとして名を馳せる有名人も多くいます。ハッキングコンテストとは、制限時間内にOSやソフトウェアの脆弱性を突き、侵入するという課題をクリアするハッカーの祭典です。セキュリティ研究機関のZDIが運営する「Pwn2Own」や、腕に覚えのある世界中のハッカーが集まる「DEF CON CTF」などが世界規模のハッキングコンテストとして知られています。

ホワイトハッカーは非常に高度な知識と技術が求められ、情報処理安全確保支援士や高度情報処理技術者などの資格取得における難易度も非常に高い傾向にあります。そのため、ホワイトハッカーを含む、セキュリティエンジニアおよびセキュリティコンサルタントなどは、比較的高い年収を得られる職業です。ここからは、国内と国外におけるホワイトハッカーの平均年収について見ていきましょう。

国内の場合

厚生労働省「職業情報提供サイト(日本版O-NET)」の統計によると、企業のシステムやネットワークのセキュリティ対策を整備するセキュリティエキスパートの平均年収は559.3万円(出典：令和2年賃金構造基本統計調査)となっています。求人情報や求人サイトでは、450〜800万円という価格帯が多い状況です。もちろん、実務経験やスキルなどによって大きく変動し、高い専門性が認知されれば、1,000万円以上の年収を得ているホワイトハッカーも存在します。

参照元：https://shigoto.mhlw.go.jp/User/Occupation/Detail/321

国外の場合

米国の求人情報や求人サイトでは、ホワイトハッカーを含むセキュリティエンジニアは、700〜900万円が年収の相場です。米国では、ITエンジニアの評価や地位が日本と比較して高いため、それに伴って平均年収も比較的高くなっています。さらに、米国は実力主義の企業が多く、優秀なホワイトハッカーは3,000〜4,000万円という多額の年収を得ているケースも少なくありません。

企業にとって、情報管理の最適化は非常に重要な経営課題の1つです。そのため、企業はいかにして経営データをセキュリティインシデントから保護するかを考えなくてはなりません。情報資産を保護するためには、堅牢なセキュリティシステムの構築が必要であり、そのためにはIT分野に関して深い知見を備えるホワイトハッカーの存在が不可欠です。ビッグデータ時代と呼ばれる現代において、ホワイトハッカーの需要は今後ますます高まると予測されます。