- ハッカーの定義
-
■ハッカー=悪でない
ハッカーと聞くと、「ネットワークに侵入してのっとりやなりすましを企む人」や、「機密情報を盗んだり、システムを破壊したりする人」といった悪いイメージのみが浮かぶ人も多いことでしょう。
しかし本来ハッカーという言葉は、「コンピュータやネットワークに対して、非常に高いレベルの知識や技術をもつ人」のこと。また、ハッカーがおこなうハッキングも、「ハードウェアやソフトウェアのしくみを解析・改変していく行為」のことを指しています。現在のように悪い意味で使われるようになったのは、サイバー攻撃の犯行声明で「ハッカー(ハッキングする者)」と名乗るケースが増え定着したためです。
そのため近年では、紛らわしさを払拭するため、悪意のハッキングを行なう人を「ブラックハッカー」。それをくい止めるためハッキング技術使う人を「ホワイトハッカー」と呼ぶことが増えてきています。
- ブラックハッカーとホワイトハッカーの違い
-
■ブラックハッカーとは
ネットワークやシステムに不正に侵入し、データやプログラムの取得・改ざん・破壊など、悪質な行為をする人のこと(ブラックハットやクラッカーと呼ばれることもある)。悪意あるハッキングは当然犯罪となり、日本では、不正アクセス禁止法(2000年施行)により罰せられます。しかしブラックハッカーによる攻撃は、数が減るどころかすさまじいスピードで増えており、ランサムウェア、DDoS攻撃、IoT機器やスマートフォンを狙ったサイバー攻撃…など、手口もより巧妙かつ多様化。対策がなかなか追いつかず、被害にあう企業や個人が絶えないのが現状です。
ブラックハッカーは個人として活動することもありますが、ダークウェブでつながりをもち、戦術を系統的に積みあげて計画・実行する犯罪集団も多く存在します。国家や大企業に的を絞って攻撃し、数十億〜数百億円という膨大な金額を手にするハッカー集団も少なくありません。また秘密裏に国の支援をうけ、ターゲット国への諜報・破壊活動を行なうハッカー集団の存在も確認されており、国防レベルでの対策も急務となっています。
■ホワイトハッカーとは
高いスキルをブラックハッカーのように悪意あるハッキング行為には使わず、攻撃される国家や企業を守るために活動する人のこと。いわゆる正義のハッカーです。ホワイトハッカーとブラックハッカーは、どちらも非常に高レベルのサイバースキルを有していますが、活動ベクトルは、善玉VS悪玉とまったくの真逆です。そのため、ホワイトハッカーとして活動する人は、高い技術だけでなく健全な倫理観をもったハッカーだと明確にわかるように、倫理的を意味するEthicalからとったエシカルハッカーと呼ぶこともよくあります。
現在サイバー攻撃は、世界的に増加の一途をたどっており、対抗できるホワイトハッカーが足りていない状況です。なかでも日本の人材不足は深刻で、政府をあげてホワイトハッカーの育成にとりくんでいるにも関わらず、主要国の中でも極端に足りていないといわれています。日本においてホワイトハッカーは、需要は高いのに供給が追いつかない筆頭職業といえます。
ちなみにホワイトハッカーのなかには、・ブラックハッカーからの転身組もごく稀ながら存在します。もっとも有名なのは、米史上最大のコンピュータ犯罪者ともいわれたケビン・ミトニックです。ハッカーとしてはじめて実刑となり、出所後改心。現在でもホワイトハッカーとして第一線で活躍しています。
- セキュリティエンジニアとどう違うの?
-
■ITセキュリティの専門家であることは同じ
セキュリティエンジニアとは、情報セキュリティを考慮したシステム構築やネットワークの設計・運用までを行うエンジニアのことです。このような防御スキルは、もちろんホワイトハッカーにも必要です。しかしホワイトハッカーは、ブラックハッカーが突いてくるであろう穴を見つけるため、攻撃側の心理状態を推しはかり、先回りしするという心理学的スキルも必要です。両者の違いは、技術的に大きく違いというより、視点の違いといったほうが近いかもしれません。
またセキュティエンジニアからスタートしてホワイトハッカーへステップアップする人も多いことから、セキュリティエンジニアの上位互換的に使われることも多いようです。ほかにも、セキュリティエンジニアから派生する職業に、セキュリティコンサルタントがありますが、こちらもホワイトハッカーと業務的には近いものがあります。
- ホワイトハッカーとしての具体的な仕事内容
-
■高いハッキング能力+αが必要
ホワイトハッカーは、ブラックハッカーがしかけてくるサイバー攻撃に対して、くい止めるための防御策を講じるのが主な仕事です。通常では気づけないセキュリティの穴を見つけるには、ブラックハッカーと同等、もしくはそれ以上のスキルが必須に。たとえばペネトレーションテストやデジタル・フォレンジック、キーロギングなどの技術やツールを駆使して対策にあたります。またブラックハッカーの攻撃手法は、日々巧妙化・多様化しているため、最新情報をキャッチアップして、常に自分がもつスキルをアップデートしておくことも仕事のうちとなります。
他には、システム上の穴を見つけ埋めるだけでなく、それらをあつかう人への指導や教育が必要となる場合も少なくありません。ホワイトハッカーには、高いハッキング能力だけでなく、プレゼンテーション能力やコミュニケーション力も重要だと云われるゆえんです。
- ホワイトハッカーの需要や将来性は?
-
■需要も高く、将来の見通しも明るい
ホワイトハッカーは、これからの時代、もっとも重用される職種のひとつです。個人情報や機密情報の引き出しや改ざん、クラッキングによるシステムの異常停止などのサイバー攻撃は、ともすれば国や企業にとって存続を分けるほどの壊滅的な損害になりかねません。
情報の集合体であるデータは、「21世紀の石油」ともいわれています。貴重な情報データを守ることは、イコール、企業や組織そのものを守ること同義となるほど重要に。それほど重要なセキュリティ対策ですが、対応できる優秀な人材は非常に不足しているといわれています。実際、2016年に経済産業省が行った調査の時点で、本来必要な人数に対して30%以上も不足していたというデータもあるほどです。しかも現在ではその数はさらに拡大し、人材不足はますます深刻化。このように人材不足で困っている組織・企業が多いだけに、ホワイトハッカーの需要は常に高い状態キープしているだけでなく、報酬についても高く設定されています。
またホワイトハッカーの需要をさらに喚起させると思われる法案が、2022年からスタートします。これは、「サイバー攻撃で個人情報が漏洩した企業は、被害が発生した全員への通知をしなければならない」という通知の義務化です。違反時には最高1億円の罰金も課せられるこの法案成立により、今まで以上にサイバーセキュリティに注力する企業や組織は増えていくでしょう。当然ホワイトハッカーへの需要もますます高まっていくと考えられ、将来性についての見通しも明るく、対応できるスキルや実績があれば、安定したポジションを見つけることは難しくありません。
- ホワイトハッカーになる方法、必要なスキルや資格
-
■プログラミング技術などの専門スキル
ハッカーは、国家資格などの免許性ではないため、特別な学歴や資格は基本的には必要ありません。技術や能力があり、自分でハッカーと名乗れば、そこでもうハッカーの誕生です。しかしハッキング技術は、独学で学ぶには大変なうえ、専門的すぎます。ホワイトハッカーになるには、OSやアプリケーションなどコンピュータの基礎知識はもちろんのこと、あらゆるプログラミング言語やセキュリティ知識に精通していなければなれません。そのため専門的な知識を体系的に習得できる場所でしっかり学ぶことが、結局は早道になるはずです。たとえば専門学校や大学などで、セキュリティのスペシャリストとなるための先端の知識と技術を学びつつ、就職などに有利となる資格を取得していくのが、現実的なホワイトハッカーへの道筋だと考えられます。
現在ホワイトハッカーの育成には、政府や多くのベンダーが力を入れているため、スキル認定のための資格が豊富にそろっています。IT業界のなかでも実力がものをいうホワイトハッカーをめざすなら、資格取得によりスキル武装を高めることは、かなり効果的だと考えて間違いないでしょう。
〜パスしておくとスキル証明にもなり、就職時に有利になる資格〜
- シスコ認定技術者試験(CCNA,CCNP)
- ITパスポート(情報処理技術者試験)
- CompTIA A+
- CompTIA Security+
- Linux 技術者認定試験 (LPIC)
- 情報処理技術者試験
- 情報処理安全確保支援士試験
- 情報セキュリティマネジメント試験
- 認定ホワイトハッカー(CEH)
■英語力やコミュニケーション力
専門的な技術や知識だけでなく、持っておくとさらに有利になるスキルとして英語力があげられます。IT関連の技術や脆弱性・バグ・ハッキング傾向などの最新ニュースは、まず英語で公開されます。なによりプログラミングコードを書く基本言語がそもそも英語なため、英語力はあって損はありません。
またハッカーは、コンピュータに向かってひたすらキーボードを打っているイメージがありますが、ホワイトハッカーは、ブラックハッカーと違い、リアルに目の前にいる人や企業を相手にする仕事です。問題を解決するには、当該者へのヒヤリングやプレゼンテーションなど人とのかかわり合いが欠かせないため、コミュニケーション能力も大事になります。
■秘匿情報を安心して委ねられるだけのモラル
ホワイトハッカーは、政府機関や企業の情報守る立場として、秘匿性の高い機密情報を扱うことも多くなるため、高い倫理感も求められます。また情報保護に関係する法律・法令への理解なども必要に。とくに政府や大企業のホワイトハッカーとして最前線で活躍するためには、秘匿性の高い情報を安心して委ねられるだけのモラルの持ち主であることが、サイバースキルの高さと同じくらい必要となるのです。
- ホワイトハッカーの就職先や年収は?
-
■IT業界の中でも高めに推移しており、1000万以上も
ホワイトハッカーの技術は、いまやデジタルIT技術を使うすべての企業や公的機関で必要とされているといっても過言ではありません。IoTやAI技術の進歩により、サイバー攻撃の脅威はますます大きくなり、ホワイトハッカーの活躍が期待できる場所は増えるばかりです。しかし需要に対して供給は全く追いついておらず、慢性的な人材不足に。いわゆる売り手市場です。そのため募集も多く、報酬も高めで設定されており、経験・実績次第では1000万円を超えることも少なくありません。国の公的機関や官公庁での募集も多く、安定&高額報酬のどちらものぞめる職場として人気を集めています。たとえば2018年に防衛省が、サイバー自衛官を事務次官級の待遇という年収2300万円で募集することが話題になりました。
一般的なIT技術者に比べても、ホワイトハッカーの年収は高めで推移しており、たとえば平成29年に公開された「IT関連産業の給与等に関する実態調査結果(※)」(経済産業省調べ)によると、ホワイトハッカーも含まれる「ITスペシャリスト(DB・NW・セキュリティ等)」の平均年収は758.2万円となっています。
■独立系ハッカーの報酬は、1億円超も
ホワイトハッカーは、着実に経験と実績をかさねていけば、独立することも当然可能です。実際世界を舞台に活躍する、独立系ホワイトハッカーはたくさんいます。近年では、外部のハッカーに自社セキュリティシステムをあえてハッキングさせ穴を見つけてもらうことで、高額な報奨金を出す企業も増えてきています。たとえば2010年から継続的に報奨金制度を採用している米グーグルでは、最高で1億6000万円の超を用意。アップルは1億円です。この報奨金制度はIT業界だけでなくあらゆる企業に広がっており、テスラは150万円。スターバックスでは、40万円の枠を公表しています(報奨金額はすべて2020年時点のもの)。このようにホワイトハッカーは、実力さえ備わっていれば圧倒的に稼げる可能性がとても高い職業だといえるでしょう。
※IT関連産業の給与等に関する実態調査結果
https://www.meti.go.jp/press/2017/08/20170821001/20170821001-1.pdf