検索
ニュース

「AIは活かすが任せきらない意識が大切」 - イー・ガーディアンCISO徳丸氏セキュリティリーダーの視座(1/3 ページ)

Share
Tweet
LINE
Hatena

 今回は、「徳丸本」でお馴染み、Webセキュリティの第一人者、EGセキュアソリューションズ取締役CTO 兼 イー・ガーディアングループCISOの徳丸浩氏である。プログラマー兼事業部長からセキュリティの道に進み、現在は上場企業グループのガバナンスを担う。

 本稿では、セキュリティに興味を持ったきっかけを含め、徳丸氏の経歴を振り返りながら、CSIRT構築、従業員教育、生成AIへの対応など、現在の取り組みや方針について紹介する。


徳丸 浩(TOKUMARU Hiroshi)
――EGセキュアソリューションズ 取締役CTO/イー・ガーディアングループ CISO

徳丸浩
Photo by 山田井ユウキ

 京セラにてプログラマーとしてキャリアをスタート。Windows 3.1時代に文書ファイリングシステム開発に携わる中で、独力でSQLインジェクションの脆弱性発見に至り、セキュリティ分野に目覚める。京セラコミュニケーションシステムへの移籍後は、DDI(現KDDI)関連のモバイル認証・課金システムのセキュリティ設計に従事。2008年にWebセキュリティ専業コンサルタントとしてHASHコンサルティングを設立し独立。2015年にイー・ガーディアングループ傘下に入り、EGセキュアソリューションズに社名変更。現在はグループ全体のCISOとして、技術面だけでなく組織的なセキュリティ・ガバナンスと人材育成に深くコミットしている。


Windows 3.1時代に紙文書をデータ化するソフトウェアを開発

―― まず、キャリアの出発点から教えてください。

徳丸氏: 私は京セラでプログラマーとしてキャリアをスタートしました。いまで言うソフトウェアエンジニアですが、当時は要件ヒアリングから設計、開発、納品までを一人で完結する仕事の進め方でした。社内の情報システム部門はCOBOLが主流で、私はFORTRAN、C言語など、COBOL以外の言語を使う部門(設計・製造現場の支援)を担当していました。

―― 自社プロダクト開発にも挑戦したのですね。

徳丸氏: 部長の号令で紙文書をスキャンしてファイリングするソフトウェア、当時で言う「文書ファイリングシステム」をPCで実現しようとしました。市場には光ディスク一体型の専用機が650万円程度で提供されていましたが、PC版なら安価に提供できると考え、PC用スキャナー+Windows 3.1上の表示をハードウェア増設に頼らずソフトウェアだけでチューニングして高速化し、実用的な性能を実現しました。

 スキャナーだけなら追加投資は数十万円ですので、競合と比べると非常に安価なソリューションでしたね。

徳丸浩
Photo by 山田井ユウキ

―― 売れ行きはいかがでしたか?

徳丸氏: 残念ながら売れませんでした。今振り返ると、「先見の明がありすぎた」のかもしれませんね(笑)。製品開発は「半歩先を行くことが大切」とよく言われますが、当時、社内でもソフトウェアを売る経験が乏しかったので、一歩以上先を行ってしまった感覚があります(笑)。

独力で気づいたSQLインジェクションがセキュリティの扉を開く

―― 当時の開発経験が、徳丸さんの専門分野であるWebセキュリティの基礎になっているのでしょうか?

徳丸氏: そうですね。開発したソフトウェアは、文書データベースなのでSQLを使っていました。SQL文をいじっていたときに、シングルクォートを入れるとエラーになり、使い方によっては悪用ができることに気づきました。エスケープ処理の大切さがここで分かったのですが、当時「SQLインジェクション」という言葉を知らずに、攻撃が成立する理屈を発見したことで、セキュリティの世界の面白さを実感しました。

―― そこからセキュリティの世界に入ったのでしょうか?

徳丸氏: 当時は自分のことを根っからのプログラマーだと思っていましたが、セキュリティも面白いなと感じ始めたのがこの頃ですね。ただ、まだセキュリティを職種にできる時代ではありませんでした。

 1999年ごろには、DDIからの委託業務でEZwebの認証・課金の開発に携わりました。開発を引き受けたのは私の部署ではなかったのですが、「インターネットのことは徳丸に頼るのがよいだろう」と振られて開発に加わりました。

 当時の携帯電話のネットワークは、NTTドコモのiモード、DDIのEZwebなどが普及しはじめた時代です。端末の認証・課金をオンラインで実現する必要があり、「Webの技術で全てやるしかない」という方針の下、資料がほとんどない中でセキュリティの設計にも挑んでいます。

 その後、2004年頃に大きな転機がありました。当時、京セラ子会社の京セラコミュニケーションシステム(KCCS)で売り上げにも責任を持っていたのですが、近畿地方にはセキュリティにお金をかけようという企業が多くありませんでした。「これは東京へ行かなければならない」と感じ、社長に転勤をこっそり相談しました。その結果、「セキュリティをやってもいいが、DDI(第二電電。その後、KDDI、IDOと合併して現在のKDDIが誕生)から依頼される開発を担当する部門の事業部長を引き受ける」という条件で移ることになります。

 移籍先は売り上げが確保されていたので、そちらを心配する必要がなくなりました。「作っても売れない」という状況を抜け出し、セキュリティ事業について検討できることがうれしかったです。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ
ページトップに戻る