こんにちは!ユービーセキュア広報担当の別宮スミレです。今回は、脆弱性診断技術者の認定資格、「Vex Certification Associate」のリリースに伴い、リリース担当のセキュリティデザインコンサルティング部の日高和夫さんと木下綾さんに、突撃インタビューしました!
部や認定資格の紹介とあわせて、リリースに向けての想いなど、ぎゅぎゅっと語ってもらいました。
セキュリティデザインコンサルティング部 部長 日高 和夫氏
ユービーセキュア設立の2007年より12年以上、脆弱性診断やセキュリティコンサルティング業務に従事。2019年度から今回リリースしたVex Certification Associateをはじめとする認定制度の立ち上げ・運用を牽引。プライベートでは、3人のお子さんを持つパパ。趣味は囲碁。リモートワーク中にDIYを嗜むようになりました!
セキュリティデザインコンサルティング部 木下 綾氏
2015年入社。脆弱性診断の現場を4年間経験し、2019年度から今回リリースしたVex Certification Associateをはじめとする認定制度の立ち上げ・運用を担当。ユービーセキュアの中堅。プライベートでは、走ったり、雪山に行ったり、体を動かすことが好き。アウトドア派。リモートワークで朝ご飯を食べるようになりました!
3つの『実』がコンセプト。『実』力主義の認定資格。
別宮:本日はお時間いただき、ありがとうございます。早速ですが、簡単に所属部署の紹介をお願いします。
日高:セキュリティデザインコンサルティング部(以下、デザコン部)は、文字通りお客様のセキュリティをトータルにデザインするコンサルティングサービスを展開していくことをミッションに、今年新設されました。これまで当社が培ってきた脆弱性診断の技術やVex開発のノウハウをベースに、アプリケーションセキュリティの維持向上に必要な体制の構築やツールの導入、それを支えるセキュリティ人材の育成をご支援します。やりたいことは盛り沢山!アプリケーションセキュリティのトップランナーを目指し、毎日がチャレンジです。
別宮:新しい部署、楽しんでやれていますか?
木下:楽しくてしょうがないです!全てがチャレンジだし、何をするにも自分で決められるところが、特に楽しいです。
日高:楽しいよね。まだまだ模索しながら進めていて、しんどいこともあるけど、ゼロから立ち上げる楽しさ、嬉しさ、みんなの期待とかを感じながらやっています!
別宮:すごい楽しそう。新しいことをグイグイ率先してできるのは、素晴らしいですね。
別宮:そんなデザコン部がリリースした、「Vex Certification Associate」。あらためて、どんな資格ですか?
木下:『実』力主義をコンセプトとするサイバーセキュリティ認定制度「UBsecure Certification」のうち、Vexを活用した脆弱性診断スキルを評価する認定の1つです。「Vex Certification Associate」には大きく3つの特徴があります。まず「ハンズオン」。実技試験として、脆弱性診断現場の実務をトレースした内容になっており、試験の中では実際にVexを動かしてもらいます。続いて「クラウド」。この試験のすべてはクラウド上に構築しています。最後は「リモート」。場所を選ばずリモートからオンライン受験が可能です。以上の3つにより、リモートで「即戦力の診断技術を有すること」の認定を取得できます。
別宮:なるほど、、、『実』力主義の『実』には何か想い入れがあるんですか?
木下:はい、『実』には3つの意味を込めています。実力主義の『実』、実務に直結する『実』、実技試験としての『実』です。
別宮:『実』にはそんな意味があったんですね…、もっとPRしていきましょう!
木下:はい、ぜひ(笑)
別宮:ちなみに、このコピーは誰が考えたんですか?
木下:チーム内の雑談から生まれました。もともとこの認定制度を作るときに、認定を取得するためだけの勉強にしたくない、実務に活かせる資格にしたいというチームの強い想いがあったので、雑談の中から自然と浮かんできた感じです。
別宮:オンラインでの提供形態にも何かこだわりがあるのですか?確か、直近まで受験はオンサイト実施と伺っていました。
木下:もともとオンラインでの提供を視野にいれた開発をしていましたが、オンサイトで実績を積んでから移行する計画でした。ただ、昨今の社会情勢もあり、リリース前の社内トライアルをオンラインで実施したところ、意外とスムーズに提供できて、受験者の反応も上々だったことから、最初からオンラインでの提供に舵を切りました。
別宮:なるほど。いまの社会情勢が後押しした背景もあったのですね。オンラインで提供できるとなれば、場所を問わず、自宅からでも受験できちゃいますね。どんな人に受験してもらいたいですか?
木下:Vexを使って診断サービスを提供しているセキュリティベンダーのみなさまにまず受験してもらいたいです。Vexを利用してどこまで診断できているかを可視化できる内容になっているので、ぜひご自身のスキルを把握するためにもチャレンジしてもらいたいです。
「安全に脆弱性を作り込む」ことに力を注ぎました ・・・被攻撃用サーバ。
別宮:リリースにあたっての面白エピソード、苦労したエピソードがあれば教えてください。
木下:面白エピソードは、残念ながら無いです、すみません(笑)。苦労したエピソードは、、、何から何まで全部大変でしたね。「Vex Certification Entry」や「Vex Certification Associate」に限らず、そもそもベンダー資格をリリースした実績がグループ内にも全くなくて、何から着手すべきかも分からず、手探り状態から始まりました。ベンダー資格を運営している他の企業にヒアリングしたりして、どこから準備をしたらよいかアイディアをもらったりしました。
日高:第一弾の「Vex Certification Entry」リリース時は、CBT形式(選択形式)のテストにしたので、設問に対して回答が一意になるよう、誤解をあたえない、複数の文脈にとらえられないように意識しました。また、教育教材もあわせて用意したので、きちんとテスト内容とリンクしているかにも気を配りました。全体のバランスをみて、Entryで測りたいスキルは本当にこれなのかと、自問自答を繰り返しました。一方で、今回リリースした「Vex Certification Associate」は、『安全に脆弱性を作り込む』ことに力を注ぎました。
別宮:『安全に』、『脆弱性を作り込む』、、、相反する単語が並びますね、、、
日高:はい(笑)。実技試験となるので、受験者にサーバへ侵入させたいのだけど、ここまでは何が何でも侵入されないよう死守するなど、試行錯誤しました。クラウド環境上での提供という利点を生かして、受験者一人一人に独立した環境を個別に提供することで、万が一不正が起きても最小限の影響にとどめられるよう、工夫しました。また、複数の人が同時に試験を受験しても、オンプレの環境で起きるような試験サーバのスペックの問題が生じない利点もあります。
これまでの診断実務で出会った星の数ほどのWebアプリ。その格闘の歴史が試験内容に凝縮されました。
別宮:これまでの経験された業務で、試験を作るのに役立ったことなどありますか?
日高:二人とも、診断業務を通じて数えきれないほどのアプリを見てきました。診断員が間違えそうなポイントや行き詰りそうなパターンが試験内容に凝縮できたと自負しています。
木下:そうですね、脆弱性診断の実務を長年経験しているからこそ分かる課題や最低限おさえるべきポイントなど、試験の中に問題として盛り込んでいます。
別宮:あるあるですね。やっちゃいがちな例としてはどんなものがありますか?
日高:あまり具体的に言うと、ネタバレになっちゃいそう(笑)。1つあげるとするならば、いろいろなデータを作ったり、消したりする機能があるとして、何も考えずにスキャンしても上手くいかない。これは、きちんと事前に診断のシナリオ作りができるかどうかがポイントなんですね。他にも、いろいろなアプリの特徴をテストサイトに盛り込んだので、試験を通じて「こんな実装あるんだ」や「こんなアプリがあるんだ」などの新しい発見や多種多様なアプリ診断を疑似体験できるようになっています。
別宮:多種多様なアプリの診断を疑似体験できるとのことですが、得意な分野、不得意な分野など、受験結果から把握することは可能ですか?
日高:試験は、大きく3つのドメイン(シナリオ、トリアージ、アタック)で構成されていて、ドメインごとに結果が分かります。その結果から「テストシナリオを組むのは得意だけど、診断結果の分析や精査はまだ苦手だね」という現在地が把握可能です。また、受験勉強にも使える模擬試験もリリース準備中です。設問単位でどこができた/できなかった、できなかった部分はどういうやり方や考え方があるのか等、詳細コメントのフィードバックを実装する予定です。
別宮:診断担当者自身のスキルの可視化だけでなく、マネジメントにおいても活用できそうですね。スキルの可視化という点では、他のセキュリティの資格もあると思いますが、「Vex Certification Associate」、ここは負けないぞ!などPRポイントがあれば、是非お聞かせください。
日高:CISSPをはじめとするマネジメント系とSANSのGIACやOSCPなどのテクニカル系の資格と分けて考えた場合、「Vex Certification Associate」は3つの『実』(実力・実務・実技)のコンセプトの通り、テクニカル系の資格に分類します。テクニカル系の中でも、GIACやOSCPはすごく難しい、スーパーハイスキル(笑)にあたるところ、AssociateはITセキュリティの基礎をもつ人が、次のステップアップとしてちょうどよい難易度に設定しています。また、ハッキングなどのテクニカルなスキルに限らず、診断を「仕事」とした際の実務スキルを測定することで、診断業務における即戦力の指標としても活用いただけます。そのため、これからセキュリティ業界や業務に挑戦してみたい人も、この「Vex Certification Associate」の資格を取得することで、実務の疑似体験ができ、かつそれをこなすためのスキルを証明することができるということで2度おいしい資格になっています。
Vexを使った診断も、そうでない診断も。即戦力となる診断スキルを証明できる資格です。
別宮:「Vex Certification Associate」という資格の名前から、Vex使用経験がないと受験対象者にならないの?と思いこんでいましたが、いろんな方に幅広く受験していただけそうですね!あらためて、この資格の受験者、合格者にはどのようなメリットがありますか?
日高:「Vex Certification Associate」の合格者イコール、Vexを使った診断スキルが十分に備わっていると言い切ってよいと考えています。そのため、たとえば派遣会社に所属するエンジニアさんがご自身のスキルを証明することで単価アップを狙ったり、どこかのセキュリティベンダーに入社したい方は即戦力として採用してもらえる指標になるといいなと思います。当社であれば、即社長面談なんかもありえるんじゃないでしょうか(笑)
別宮:仮に就職したいセキュリティベンダーが使用しているツールがVexではない場合など、Vexを離れた診断業務という観点でのスキル証明はどうでしょうか?
日高:はい。試験は一般的な診断業務の工程を踏襲しているので、仮に使用するツールがVexではなく、他のツールであったとしても応用が利くと思います。使用するツールが異なっても、診断対象アプリの把握、テストシナリオの作成や診断結果の分析などはどのツールを使用しても基本的な考え方は変わらないでしょう。そういった意味では、診断業務のベストプラクティスが盛り込まれているとも言えますね。
木下:そうですね。この資格を取得するという意味では、操作方法やどの機能を駆使する必要があるのかなど、Vexに関する知識が必要にはなります。ただし、診断業務を遂行するうえでの段取りや考え方は他のツールを使用した場合でも同じだと考えています。
別宮:実際にトライアル受験された方からはどのような感想やコメントがありましたか?
木下:これは結構嬉しかったのですが、「楽しめた」、「面白かった」というポジティブなコメントが多かったです。実際、現役で日々診断業務に携わっているメンバーからも、「診断業務の現場で持っているべきスキルが詰まっている」という感想もあり、資格の目的を達成できた、裏付けできたと感じることができました。一方で、「難しかった」という声もあがっており、とりあえず受験してみよう!という勢いだけでは合格できない、挑戦し甲斐のある難易度になっていると思います。
日高:ただVexの機能を知っているだけではなく、診断業務で培うWebアプリの分析や、汎用的なテストシナリオの作成などの一連のスキルがないと試験合格が難しいという傾向もみえました。
そしてVex Certification Professional構想も。乞うご期待!
別宮:次回、「Vex Certification Professional」のリリースを予定していると伺っています。どのような資格になりますか…?
日高:Associateは、診断を実施する担当者をターゲットとしていますが、Professionalは診断サービスを取りまとめる管理者に必要なスキルなどを証明する資格にしたいと思います。
別宮:「Vex Certification Professional」も待ち遠しいですね!リリースが決まったら、また突撃インタビューさせてください!最後に、Associateにおける今後の展望などあれば、お聞かせください。
日高:社会人に限らず、セキュリティを志す学生の方にも、Associateを受験して欲しいですね。就職時のスキルの証明として活用してもらえるくらいの資格にしたいです。当社は2019年から、学校と情報セキュリティ技術者の育成に関する産学連携協定や職業教育協定を締結するなど、学校や学生との交流を深める取り組みを推進しています。このような資格や教育プログラムの提供を通じて、将来を担う若い人たちにセキュリティを知ってもらう好きになってもらうきっかけになるといいなと思っています。
