ニュースレターNo.87/2024年8月発行

Internet ♥ You No.22

Zachary John-Isaac Mathisさん

タイトルバック — アメリカ合衆国出身。 2006年に株式会社神戸デジタル・ラボ（KDL）に就職し、「Proactive Defense」のセキュリティチームを立ち上げ、さまざまなセキュリティサービスを開発。 2007年～2010年、カーネギーメロン大学日本校（CMUJ）研究員。 2012年に大和セキュリティを立ち上げ、勉強会やコンテストを主催し、数多くのセキュリティスペシャリストを育成。 2016年からSANS講師としてインシデント対応やハッキング技術を教える。 2020年に会社を立ち上げ、最新のセキュリティ教育やサービスを提供している。

セキュリティ分野でご活躍されているマシス・ザックさん。会社の業務に従事するだけでなく、勉強会を立ち上げたり、講師をされたりと日々多忙でいらっしゃいます。その原動力である、セキュリティに対する情熱をたっぷりと伺うことができました。

ザックさんがインターネットに興味を持ったきっかけ

アメリカ合衆国のインディアナ州出身で、周りはトウモロコシ畑ばかりでした。飛び級で入った中学校では、他の子どもよりも若かったせいか、ずっといじめられていました。力では勝てなかったので、他の子が知らないことをたくさん知っていればかっこいいし周りからも一目置かれる存在になれるのではと思い、コンピュータプログラミングや日本語を独学で勉強し始めました。もちろんいじめ自体は良くないと思っていますが、今ではいじめられた経験に感謝しています。乗り越えたおかげで強くなれました。

日本への興味

日本のことはセキュリティを学ぶ前から好きで、アメリカ合衆国とは全然違う文化に興味が湧いたのかなと思っています。子どもの頃から日本に住みたいと思っていました。日本人は周りにいなかったので、独学で日本語の勉強を始め、漢字のフラッシュカードを作ったり文法の勉強をしたりしていました。盆栽や日本のアニメに興味があり、なかでもドラゴンボールやAKIRA、攻殻機動隊などを好んで観ていました。攻殻機動隊では、作中にコンピュータハッキングの描写があり、かっこいいと思っていました。

学生時代からこれまでのキャリアについて

セキュリティには高校時代から興味がありました。ハマったきっかけは映画「ターミネーター2」の、 ATMをハッキングしてお金がだーっと出てくるシーンでした。 1991年頃に14. 4kpbsダイヤルアップモデムが出た時に、毎日のように徹夜をしながら、 AOL（America Online）に接続し、セキュリティについて勉強し始めました。元々パズルを解くのが好きなこともあり、新しいテクノロジーを理解することに夢中になりました。

アメリカ合衆国のパデュー大学でコンピュータサイエンスと東南アジア研究の二つを専攻して卒業しました。現在は仕事で人に技術を教えることが多いので、半分理系で半分文系だったことがとても役に立っていると思います。 2006年に株式会社神戸デジタル・ラボ（以下、KDL）が海外のインターンを募集していて、当初は3ヶ月だけの予定だったのですが、働くうちに「もっと働いてほしい」とのオファーに応えた結果、 3ヶ月が約20年に延びて現在も所属しています。当初はセキュリティチームがなかったのですが、セキュリティにしか興味のない私は、まずWebアプリケーション診断サービスを作り、そこから徐々にチームを作っていきました。 2007年～2010年の間は情報セキュリティ専門の大学院であるカーネギーメロン大学日本校（Carnegie Mellon CyLab Japan）で働きながら、KDLでのセキュリティサービスを続け、 2010年頃にKDLでProactive Defenseというセキュリティチームを立ち上げて、さまざまなセキュリティサービスを開発しました。

作ったセキュリティサービスは脆弱性診断、侵入テスト、インシデント対応、フォレンジック調査等々。最初の仕事は疑似攻撃で、悪いハッカーと同じ手法でネットワークの脆弱性を調べていました。次に、顧客のネットワークがハッキングされた時の侵入経路調査やインシデント対応の業務では、どうすれば守れるのか、原因を調べたり再発防止の対策をアドバイスしたりしています。診断より守り方、攻撃されない方法、攻撃されても被害を受けない方法を提供する仕事が増えてきたという感じです。

一般的に、セキュリティの専門家は攻撃担当のレッドチームか、防御担当のブルーチームのどちらかに分かれていますが、私の経験の半分は疑似攻撃の仕事、もう半分が守る方で、レッドチーム・ブルーチームのどちらも経験しています。攻撃手法がわからないと、攻撃の検知や守ることができないので、しっかり攻撃手法を学ぶ必要があります。近年はAIの出現によって、攻撃が容易になったり自動化されたりしています。防御側もAIを上手く用いて効率的に仕事ができるようにしないといけませんね。

SANSトレーニングの講師として

2016年からは、アメリカ合衆国発のトレーニングプログラムであるSANSトレーニングで講師をしています。私の担当する「SANS 504」では、5日間の講義を行い、最終日の6日目はまとめとしてハッキングコンテストを行っています。半分がハッカー入門、半分がインシデント対応です。 6日間の非常にハードなトレーニングですが、学んだことを活かしてGIAC認定（Global Information Assurance Certification）のGCIH（GIAC Certified Incident Handler）の資格を取得し、高度な情報セキュリティ分野の仕事ができるようになります。 SANSトレーニングは世界一人気と言われており、高価ではありますが、価値のある内容だと思います。

コミュニティでの活動について

関西でセキュリティをやっている人がとても少なかったので、セキュリティに興味を持つ人を増やすために、 2012年に「大和セキュリティ」という勉強会を開催し始めました。現在はconnpassメンバーが2,000人以上に増え、通常約200～300人に参加していただいています。

大和セキュリティのおかげでセキュリティが好きになったという方もいて、とてもうれしいですしモチベーションになっています。最初は単に面白そうだと気軽に参加したところからセキュリティが好きになり、数年後には有名なセキュリティベンダーで働いていたり、海外の有名なカンファレンスで登壇したり、セキュリティ会社を立ち上げていたりという方々がいらっしゃいます。勉強会やイベントを頑張って開催している甲斐があり、微力ながらセキュリティ業界に貢献できていることをうれしく思っています。

勉強会のテーマは、今話題になっていることを取り上げるようにしています。最近はChat GPTやAI 、クラウドのインシデントが多いので、クラウドセキュリティの話題などですね。ランサムウェアで暗号化されたファイルを解析し、暗号鍵を抽出してデータを復元、救出するコンテストを開催したこともありました。自分が楽しめるテーマを選んでいます。

数人の大和セキュリティメンバーで、 Windowsフォレンジック調査用のOSSツール（Hayabusa、Takajo等々）を開発しています。海外のセキュリティカンファレンスに行くと、さまざまな国の方から、「Hayabusaを使っているよ！おかげさまで仕事がすごくラクになった。ありがとう！」と声を掛けていただけるので、頑張って開発して良かったです。ありがたいことに、開発したツールは最近100,000ダウンロードを突破しました。

勉強会の主催や講師をしていますが、人見知りなので人前で話すのは今でも緊張します。ただ、イベント後は達成感がありますし、何より自分自身の成長やキャリアに繋がりました。技術をいくら持っていても、伝えなければ意味がありません。技術だけではなく、コミュニケーション能力も大切だと気づきました。

日本のセキュリティ意識について

日本はとても平和な国だと感じていて、海外と比べるとソーシャルエンジニアリングで攻撃されやすいと思います。アメリカでは人を騙す攻撃は昔からあるので、私の母は70歳くらいですが、そう簡単には騙されないと思います。海外の方がこれまで被害に遭っている歴史が長いので、一般人でもセキュリティ意識を強く持っていると感じます。ただ、日本の企業においては、ハード面・ソフト面・技術面どれも海外と同水準のものを導入しているので、大差なく対策できていると思います。特に、若いセキュリティ技術者たちのレベルが上がってきています。というのも、過去はセキュリティの書籍やトレーニングが全部英語だったので、英語力の壁がありました。現在は簡単に翻訳もできますし、トレーニングなども日本語のものが増えました。日本の若い技術者は海外の凄腕ハッカーたちに負けないと感じています。

今後の目標

技術を教えることが好きなので、もっといろいろなセキュリティ教育を作っていけたら良いなと思います。やはり、クラウドのセキュリティインシデントがこれからも増えていくはずなので、クラウドセキュリティを中心に考えています。今はわりと良いバランスで仕事をしていて、大体1／3が侵入などの攻撃系の仕事、1／3が防御系の仕事、1／3が教える仕事です。 100%教える仕事にすると、自分の知識がそこで止まってしまうので、実際の案件も扱ってスキルレベルを維持したいと思っています。今は子育てを優先していますが、子どもが成長して手が離れたら、会社を作って直接若い世代を指導するのもいいですね。今は勉強会を通じて自由な形でセキュリティのことを伝えていますが、いずれは教育のプラットフォームを作りたいです。

今後の活動のためにも、まずは長生きできるように健康維持に気を遣っています。 2年前に新型コロナに感染したあと、ひどい咳が数ヶ月も続いて、死ぬんじゃないかと心配していました。咳を治すために水泳を始めましたが、最初は休憩しながらでも30分も泳げませんでした。諦めないで水泳を1年以上続けていたら、今は咳が完全に無くなって、休憩なしで1時間も泳げるようになりました。毎日ずっとパソコンに向かって座っていると、体がだるくなり、目も疲れてくるので、定期的に外に散歩へ出かけたり、山登りをしたりしています。

プライベートではまっていること

7歳の子どもがいて、子どもとセキュリティが趣味ですね。ほかにも、ロッククライミング、世界旅行、合気道、尺八、カポエラ、山登り、養蜂、スノーボード、ヴィパッサナー瞑想……かなり多趣味だと言われます。

8年前にボロボロの古民家を購入し、できるところはDIYでリフォームしています。大変なことも多いですが楽しんでいます。経験していくうちに庭木の剪定や電気工事、左官、配管工事、大工仕事等々に結構詳しくなりました。

今まで自分のやってきたことは全部勘や無意識に任せていて、計画してキャリアを作ってきたわけではないので、運がよく恵まれているだけかもしれません。好きかどうかわからなくても、面白そうだったらすぐに試してきました。何かに興味を持ったら、それが好きな人やグループを見つけて仲間に入ってみる。そうすると、楽しさを教えてもらえる。自然とモチベーションが移ってきます。誰にでも得意なことや好きなことがあると思うので、そういったことをリストアップして、どれくらいニーズがあるのか、稼げるのかを判断していくと自分の生きがいが見つかっていくと思っています。