自分が直接社会に貢献できる“バグハンター"になって世界中の人の安全を守る

• 

  工学部 情報通信工学科 齊藤 泰一 教授

  情報通信分野で重要度を増している暗号理論、情報セキュリティが主な研究分野。本学 国際化サイバーセキュリティ学特別コースでは「暗号学」を担当。

• 

  U・K

  工学部 情報通信工学科 4 年
  埼玉県 / 県立越谷北高校 出身
  内定先 / グリー株式会社
  （2019年卒）

防御をするためには攻撃を知る必要がある

• 

  サイバーセキュリティの研究は攻撃を知るところから始まります。
  バグハンターとは対象が攻撃可能であること（脆弱性）を発見できる人のことで、私の研究室でも複数のバグハンターが生まれています。
  内田くんもその中の一人です。

• 

  私は1年次から参加しているインターンシップでセキュリティ実装を経験して、その大切さを実感してきました。
  そこで、より最前線で実践的に学びたいと先生の研究室を選んだのです。

• 

  研究室に入って1カ月もたたずに重大な脆弱性を発見しました。

• 

  ワードプレスというソフトウェアのプラグインの脆弱性を発見してI P A（情報処理推進機構）に報告しました。
  その実績が認められて、うれしかったです※。

  ※脆弱性を発見し報告すると脆弱性番号（ CVE番号、JVN番号 ）が割り振られ、その脆弱性が修正されると発見者名とともに公表されます。脆弱性番号は発見者の半永久的に残る業績になります。

• 

  内田くんは脆弱性を発見して終わりではなく、その解決策を提案した。学問として、問題解決までしっかり探求したことに意義があるよね。

• 

  そう思います。
  脆弱性を発見するには、0.01％ほどの可能性でも追求し、セキュリティの欠陥を見出す必要があります。見出した欠陥を解決することで、そのソフトウェアを使う世界中の人の安全を守れる、学生ではなかなか経験できないやりがいを感じました。

• 

  自分が直接社会に影響を与えていることは自慢してもいいことだと思うな。

一つの分野をとことん突き詰めて自分のものにしておくこと

• 

  脆弱性を発見するための方程式があるわけではなく、その発見は属人的な部分に大きく影響されます。セキュリティを始める前に、ほかの何かの知識や技術を突き詰めて、自分のものにしておくことが重要だと思う。
  たとえば、Web開発を進めてきたのなら、その知識を生かしWebのセキュリティ研究で力を発揮できます。内田くんも開発経験が豊富だったことが、プラスに働いたよね。

• 

  私はセキュリティの研究を始める前に、ゲーム開発に従事してきました。脆弱性を見つけるということは、構造上のおかしな振る舞いを見つけるということなので、プログラミングが得意な人は向いていると思います。

• 

  研究室の後輩も内田くんの活躍に刺激を受けているからね。

• 

  後輩やこれからバグハンターを目指す人たちには、ぜひ仲間を見つけてほしいです。バグハンターとしての活動はもちろん一人でもできますが、仲間と協力することで、情報を共有でき、脆弱性発見の可能性は何倍にも広がります。
  それは、学生時代だからこそできることだと思います。

• 

  研究室でもグループ単位で脆弱性を見つける学生たちも出てきました。
  時代とともにセキュリティの重要性はますます高まっているので、興味があればぜひトライしてみてほしいです。