｢ホワイトハッカー｣その知られざる実態と任務 ｢四大卒採用｣にこだわる大企業の残念な愚かさ

企業のWebページも、リリース前に「穴」がないかホワイトハッカーが必ずテストをしている。このチェックがないと、サイトの安全性はほぼ確実に破られる。われわれが安心してWebページを利用できるのもホワイトハッカーのおかげというわけだ。

杉浦隆幸（すぎうら・たかゆき）／日本ハッカー協会 代表理事。デジタル庁 デジタル戦略官。2000年ネットエージェントを設立。2004年には「Winny」の暗号解読に成功した（写真は本人提供）

そのため企業では大抵、SIerやセキュリティ会社を通してホワイトハッカーを採用・活用している。直接ホワイトハッカーを雇用するのは大企業などに限られるが、国内では金融系やクレジット系の業種ではセキュリティレベルが充実しているようだ。

「外注では即時対応ができないため、大企業は直接雇用が多いのです。ただし、情報セキュリティ業界は比較的給与水準が高いため、総務や事務系の一員として雇用しようとする企業には、直接採用は難しいでしょう。ホワイトハッカーの昇進モデルがない企業も同様です。

それどころか、サイバー攻撃を防げなかった場合に全責任を負って辞めさせられるケースも少なくない。何もない一日一日こそが評価対象であるのに、それを理解してくれる人が組織内にいない点は問題でしょう」

本気を出せば｢社長のパスワードはすぐ割り出せる｣

優秀なホワイトハッカーは、暗号やネットワークなど基本的なセキュリティ対策を積み上げて高度な知識やノウハウを有しており、OSCP（Offensive Security Certified Professional）という資格を持つ者も少なくない。

「ホワイトハッカーが本気を出せば、社長のパスワードはもちろん、システムをハッキングしてスケジュールを簡単に割り出すこともできます。実際にやる人はいませんが、ハッカーの実力とはそれくらいのレベルだと考えていただければいい」

とはいえ、すべての分野を網羅しているホワイトハッカーは必ずしも多くない。当然ながら、得意不得意分野がある。また、世間一般ではサイバー攻撃を受けるとホワイトハッカーが敢然と闘うイメージがあるが、実際には異なる。