「AIは活かすが任せきらない意識が大切」 - イー・ガーディアンCISO徳丸氏:セキュリティリーダーの視座(1/3 ページ)
連載「セキュリティリーダーの視座」第2回は、「徳丸本」でお馴染み、Webセキュリティの第一人者であるEGセキュアソリューションズ取締役CTO 兼 イー・ガーディアングループCISOの徳丸浩氏。非常に優秀なプログラマーとして、Windows 3.1時代からソフトウェア開発に携わっていた同氏がなぜセキュリティにどっぷり浸かることになったのか。AI対応など、現在の取り組みと併せてご紹介する。
今回は、「徳丸本」でお馴染み、Webセキュリティの第一人者、EGセキュアソリューションズ取締役CTO 兼 イー・ガーディアングループCISOの徳丸浩氏である。プログラマー兼事業部長からセキュリティの道に進み、現在は上場企業グループのガバナンスを担う。
本稿では、セキュリティに興味を持ったきっかけを含め、徳丸氏の経歴を振り返りながら、CSIRT構築、従業員教育、生成AIへの対応など、現在の取り組みや方針について紹介する。
徳丸 浩(TOKUMARU Hiroshi)
――EGセキュアソリューションズ 取締役CTO/イー・ガーディアングループ CISO
Photo by 山田井ユウキ京セラにてプログラマーとしてキャリアをスタート。Windows 3.1時代に文書ファイリングシステム開発に携わる中で、独力でSQLインジェクションの脆弱性発見に至り、セキュリティ分野に目覚める。京セラコミュニケーションシステムへの移籍後は、DDI(現KDDI)関連のモバイル認証・課金システムのセキュリティ設計に従事。2008年にWebセキュリティ専業コンサルタントとしてHASHコンサルティングを設立し独立。2015年にイー・ガーディアングループ傘下に入り、EGセキュアソリューションズに社名変更。現在はグループ全体のCISOとして、技術面だけでなく組織的なセキュリティ・ガバナンスと人材育成に深くコミットしている。
Windows 3.1時代に紙文書をデータ化するソフトウェアを開発
―― まず、キャリアの出発点から教えてください。
徳丸氏: 私は京セラでプログラマーとしてキャリアをスタートしました。いまで言うソフトウェアエンジニアですが、当時は要件ヒアリングから設計、開発、納品までを一人で完結する仕事の進め方でした。社内の情報システム部門はCOBOLが主流で、私はFORTRAN、C言語など、COBOL以外の言語を使う部門(設計・製造現場の支援)を担当していました。
―― 自社プロダクト開発にも挑戦したのですね。
徳丸氏: 部長の号令で紙文書をスキャンしてファイリングするソフトウェア、当時で言う「文書ファイリングシステム」をPCで実現しようとしました。市場には光ディスク一体型の専用機が650万円程度で提供されていましたが、PC版なら安価に提供できると考え、PC用スキャナー+Windows 3.1上の表示をハードウェア増設に頼らずソフトウェアだけでチューニングして高速化し、実用的な性能を実現しました。
スキャナーだけなら追加投資は数十万円ですので、競合と比べると非常に安価なソリューションでしたね。
Photo by 山田井ユウキ―― 売れ行きはいかがでしたか?
徳丸氏: 残念ながら売れませんでした。今振り返ると、「先見の明がありすぎた」のかもしれませんね(笑)。製品開発は「半歩先を行くことが大切」とよく言われますが、当時、社内でもソフトウェアを売る経験が乏しかったので、一歩以上先を行ってしまった感覚があります(笑)。
独力で気づいたSQLインジェクションがセキュリティの扉を開く
―― 当時の開発経験が、徳丸さんの専門分野であるWebセキュリティの基礎になっているのでしょうか?
徳丸氏: そうですね。開発したソフトウェアは、文書データベースなのでSQLを使っていました。SQL文をいじっていたときに、シングルクォートを入れるとエラーになり、使い方によっては悪用ができることに気づきました。エスケープ処理の大切さがここで分かったのですが、当時「SQLインジェクション」という言葉を知らずに、攻撃が成立する理屈を発見したことで、セキュリティの世界の面白さを実感しました。
―― そこからセキュリティの世界に入ったのでしょうか?
徳丸氏: 当時は自分のことを根っからのプログラマーだと思っていましたが、セキュリティも面白いなと感じ始めたのがこの頃ですね。ただ、まだセキュリティを職種にできる時代ではありませんでした。
1999年ごろには、DDIからの委託業務でEZwebの認証・課金の開発に携わりました。開発を引き受けたのは私の部署ではなかったのですが、「インターネットのことは徳丸に頼るのがよいだろう」と振られて開発に加わりました。
当時の携帯電話のネットワークは、NTTドコモのiモード、DDIのEZwebなどが普及しはじめた時代です。端末の認証・課金をオンラインで実現する必要があり、「Webの技術で全てやるしかない」という方針の下、資料がほとんどない中でセキュリティの設計にも挑んでいます。
その後、2004年頃に大きな転機がありました。当時、京セラ子会社の京セラコミュニケーションシステム(KCCS)で売り上げにも責任を持っていたのですが、近畿地方にはセキュリティにお金をかけようという企業が多くありませんでした。「これは東京へ行かなければならない」と感じ、社長に転勤をこっそり相談しました。その結果、「セキュリティをやってもいいが、DDI(第二電電。その後、KDDI、IDOと合併して現在のKDDIが誕生)から依頼される開発を担当する部門の事業部長を引き受ける」という条件で移ることになります。
移籍先は売り上げが確保されていたので、そちらを心配する必要がなくなりました。「作っても売れない」という状況を抜け出し、セキュリティ事業について検討できることがうれしかったです。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- これも詐欺? セキュリティ導入時に起きる悲劇をなくせ──「登録セキスペ」で地方・中小企業を救うIPA
- 「ごく普通の会社」がランサムウェア被害で直面した損失と再生の記録――菱機工業 小川弘幹氏
- 「社長、これだけは覚えておいて」――NTTグループ250人のトップが学んだ、有事の際の4つの定石
- 見つけにくい「心不全のリスク」が分かる血液検査 保険適用、自覚症状なくても受けて
- 「頑張りすぎるリーダー」ほどチームを停滞させる? 「自己犠牲」が主体性を奪うメカニズムとは
- 群馬の山で「国産レアアース」新鉱物4種発見 山口大が発表、国際鉱物学連合で承認
- 「さっぽろ雪まつり」が開幕 サラブレッドなどの雪像や氷像、初日から観光客でにぎわい
- 「法律以前に、やるべきことがある」──ANA和田氏×SBT辻氏が語る、能動的サイバー防御の本質
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- 採用の勝敗を分けるのは“違いの言語化”――秋山真氏が語る「選ばれる企業」の条件
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。