若手セキュリティエンジニアのインタビュー記事2「asu_para」
始めに
本稿は、新卒1~3年目の若手セキュリティエンジニアを対象に、セキュリティの職に興味ある学生や若手向けのインタビュー記事です。
第2弾は、「セキュリティ若手の会」の創設メンバーであり、ユーザー企業で働く新卒1年目の「asu_para(@4su_para)」さんです。
「セキュリティ若手の会」とは
「セキュリティ若手の会」とは、将来セキュリティエンジニアになりたい学生やセキュリティ業務に携わる若手セキュリティエンジニアたちがセキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える場として交流・情報交換できるコミュニティです。
「若手セキュリティエンジニアのインタビュー記事」は、「セキュリティ若手の会」が実施するプロジェクトの一つです。
インタビュー 「asu_para」
0. 自己紹介
-
本名:佐田 淳史(さだ あつし)といいます。よろしくお願いします^^
-
ユーザー企業で働く24卒のセキュリティエンジニア(新卒1年目)
- 証券・保険・貸金などのBtoB SaaS, その上で動くtoCサービスを複数展開しているFintech企業のシステムリスク部で働いています。
-
Independent Security Resercher(研究テーマは以下)
- yamlやterraformなどのDSLにおけるLL/LR構文解析など(2023-)
- 最近はGoやRust向けにも興味がありstack graphsなど(2025-)
- 大規模なAWS環境への対PT視点でのpurple teamingや効果的なDFIRについて(2024-)
- CI/CDによるアプリケーションリソースをクラウドにデプロイする際のSupply Chain Securityまわり(2022-)
- RAGなどLLM Ecosystemのセキュリティ応用(2024-, 2025はここにFocus)
- yamlやterraformなどのDSLにおけるLL/LR構文解析など(2023-)
-
専門分野
-
Portfolio:https://github.com/ultra-supara
-
修了:セキュリティ・キャンプ全国大会(2021), SecHack365(2023), 工学学士(2024)
-
セキュリティ若手の会:創設者
-
Speaker @ International Security Conference, AWS User Community
- CODE BLUE (2024), Black Hat Asia Arsenal (2025) (同一内容)
- Security JAWS 35 (2024)
- JSAC LT(2025)
1. 現在はどういう業務に取り組まれていますか?
ユーザーサイドが抱えるセキュリティ関連の業務範囲は非常に広大です。
そこで、コーポレートとプロダクトという2対での分類をし、私なりに以下の1枚にまとめました。
ここから下の分類や見解は完全に個人によるものであり、所属組織とは一切関係のないものです。
よく聞かれることとして「1人で全部カバーしないといけないんですか!?」ということがありますが、そのようなことはありません。
関わりがあるところを補足します。
脆弱性診断の内製に向けた活動
セキュリティベンダーが提供する脆弱性診断サービスが「外注」だとすると「内製」は内部のセキュリティエンジニアがPMなど当該プロダクトの仕様を最もよく知る人物たちと連携して実施します。
この「プロダクトの仕様を知っている」というのが非常に重要な観点です。この仕様の理解を深める中には、ソースコードを読みながら行う「ホワイトボックス」であることも含まれています。同じ「診断」というカテゴライズでも、この2点が主にベンダーとユーザーの差です。
多くのユーザーサイドはケイパビリティの観点で多量のリソースを割くのは難しいことが多いので、機能ごとにリスクの濃淡をつけて少ないAPI数でできるようにするなど工夫しているはずです。
また手を動かして診断を行うのと同じくらい重要なのが、「診断レポートを書く」ということです。実施結果をチームに伝えるための唯一の文書であり、ここで納得いただける説明ができなければ仮にものすごいバリューが出たとしても台無しになってしまいます。専門的なことを実施するものの専門ではない人に理解してもらえるようなコミュニケーション能力が試されていると思います。
クラウドセキュリティ
所属している組織は160以上のAWSアカウントをOrganization配下で開発・運用しマルチプロダクトを展開しています。Cloud Securityで非常に興味深いなと思っているのが「実装や各種AWSサービスの使い方によって同じアラートでもリスクの観点は変わってくる」ということです。
CSPMなどのアラート1つをとってもconfigurationレベルで上げてくるアラートはリソースの利用用途の文脈までを読んでいるわけではありません。そのため「なぜアラートが上がったのか」を調査して対応をするのか抑制をするのかを判断する必要があります。
例えば、特定のサービスの料金が急に上がったことをCost Explorer(やその他の仕組み)が感知した場合、攻撃の兆候を捉える足がかりになる場合がありえます。「誰が」「どのリソースを」「何のために」「どのタイミングで」 利用したゆえ不審な動きを検知したのかをヒアリングしたり、cloudtrailやguarddutyのログなどから追跡する必要があるかもしれません。
クラウドのフォレンジックという観点では課金データになるので、リソースの使用量が標準から逸脱し始めた時期を特定することで、攻撃のタイムラインを確立します。課金データなので、インシデント発生時に使用されていたサービスに関する手がかりとなる情報を取得できます。そう考えると課金データから、脅威アクターがアクセスまたは転送したデータ量の推定などもできることになるはずです。
コーポレートITのセキュリティ部分
クラウドセキュリティにおいてもrootアカウントの保護などawsのorganizationの管理者としての動きというのはコーポレートの領域であり、極めて重大な責任を伴います。
こういったプロダクトと直結している部分として社員の端末を管理していく部分があります。
ユーザーサイドで働く上で、コーポレート側の「管理的視座」に立つことは、実はプロダクト開発・運用のための理解を深めることにとってもシナジーがあり筋がいいことだと思っています。例えばOSのバージョンを最新にすることにより任意のセキュリティの問題が改善されるように思えるのですが、クライアント端末に入れているVPN接続に支障が出てしまってその先の開発環境にアクセスできないなどの問題が起こればプロダクト開発自体が滞ってしまいます。よって社内全体のシステムとの調和を図りながらセキュリティのことも考える必要があります。
それらの端末はJamfやIntuneといったクラウド型のリモートマネジメントをしており、日々各種ステータスの改善活動などを行っています。またEDRのアラートなどからインシデント調査も行っております。
補足
2024年に出身のサークルでリスクに着眼してセキュリティ業務をどのように行なっているかという講演をしたことがありそちらも添付しておきます。
ユーザーに所属していると、やってない領域でも取り組みを耳にします。
例えば「内部/外部監査とポリシーの策定」がありますが正社員になって規定類を読んだり社員との交流の中で、この領域の重要性がよくわかりました。
非常に尊敬をしている方に学生の頃「就職したら攻撃者の目線でセキュリティを改善していきたいと思っているけどどう思います?」ということを相談したとき、「それはあくまで1つの側面でしかないからね」という言葉を返されました。これだけユーザーサイドがやらなければならない領域が広大になってしまっているのも「それだけの目線の数があり提供している機能は別だから」であって、自分が大事だと思っていることというのは視野が狭いということを知りました。
また、他にも関わっている項目はありますが、秘匿するべき事項のため省略します^^.
2. 学生時代はどういうことに取り組まれていましたか?
個人では「気の向くままに楽しいこと」「熱中できること」をやってきました。
人生の大きな転機となったのは14歳の頃に「人の認知」に興味を持ったことです。クラスに所属している人たちも将来はバラバラになっていろんなところに行ってしまう。ある意味「人はどこで道を踏み外すのか」が気になっていたのです。
そう思った瞬間が私が道を踏み外すことになったきっかけです。
工業高校に行ったときに初めてプログラミングに触れました。「人の認知」という観点ではThe Cognitive Computer(ロジャー・シャンク著)に出会い、知識表現システムって計算機で表現可能でそれがAIの素なのか〜みたいなことを知りました。
この頃には大学に行くなら「情報工学」いくぞ!と決めていました。
進みたい方向がわかったのはよかったものの、すぐに大学に行くのはナンセンスだと思っていたので、表向きの学生証を手に入れつつ、フラフラとし続け、読書や1人で遠出したりニートをやっていました。
そうしてコロナ禍に学部生になりました。
学部に入ってセキュリティ技術をやっているサークルに入る機会があってセキュリティの道を歩み始めました。これは結果的に現職につながっていますので人生の転機となりました。もうすぐセキュリティ歴6年目になります。セキュリティにもいろんな分野がある中で脅威解析/分析〜みたいな分野に興味を持ちました。
学部2年の頃にはセキュキャンに参加して興味範囲への理解を深めて行ったり、また自分の方向性を考え直す機会にもなりました。あのとき知り合った人とは今でも親交があったりするので非常に感謝しています。
ただ2年くらい経って学部生活にも飽きがきてしまった感じもしていました。
学部3年以降の話は次の章で書きます。
3. 新卒の就活はどういう感じに取り組まれていましたか?
月並みですが、学部3年の時に進学するか就職するかということにも直面しました。昨今は就活の早期化によって早めに動いておいた方が有利になるということだけは頭に置いておきました。
職業と研究、そのどちらも理解を深めたい中で真っ先に講義を損切りました。そもそも自分のやりたいことが常にあり優先してしまうせいで単位が取れないタイプの学生でした。今後のことを考えようとする中で講義が非常にノイズとなり足を引っ張ることを避けるためで、これは今振り返ると英断でした。
休学・留年して全てにじっくり取り組んでもよかったんですが、ADHDゆえ、おそらく自分のことに没頭しだしたら大学に帰ってくることはなくなるだろうという仮説がたち、やめました。
まず職業の方ですが、長期インターンのみで探しました。サマーインターンなど短期のインターンはたくさんあるんですが、結局何もわからずに終わるというのが明確に見えていたのと短期開催はあくまで企業の都合上行われていることが多いということを知っていたからです。特にユーザーサイドに興味を持っていた私にとっては長期にすることで中の人や組織の「セキュリティに対する考え方」を知ることが最も重要と位置付けていました。
手法としては一般的な公募の枠を攻めるのではなく、知り合いのツテを辿ったり気になったところに直接フォームにカジュアル面談の申請を送ったりしていくという攻めの裏道を走っていました。
そうしていく中で現在の就職先と出会っています。
長期的に取り組むことで実際の業務を行うだけでなく、その会社が「セキュリティに対してどのようなスタンスをとっているのか」を知った上で、さらに中の人となりもわかってくるのが非常に良いと感じています。当時から信頼関係を構築しようと頑張っていまして、最終的には「誰と働くか」という基準も非常に決め手になっていると思います。
技術アルバイトやインターンを志向する学生には「技術力」という得体の知れないものを追い求めている人たちがいます。気持ちはわかりますが、それだけでは仕事にならないということをまず先に知れたのがよかったと感じています。技術的なキャッチアップですが、正社員になれば毎日働くことになるのでそっからいくらでもアップサイドはあるという話もあります。
(新卒就活とは関係ないですが、少しだけ研究の話もします。)
次に研究の方ですが、結局休学もしないことにしているので「圧縮して両方やる必要がある」と指導教授におねがいして半年早期で入れてもらうことにしました。とりあえず毎日部屋に行きまくって「人がどういうサイクルで研究をまわしているか」を2ヶ月くらい観測していました。
そっから大体やりたいことがわかったので3ヶ月くらいで取り組んである程度形にしました。その間、他の大学院に見学に行ったりもしていますが、自分がいる場所はここではないなとなったのでB3の3月までにある程度卒研を終わらせることにしました。
学部4年以降の話は次の章で書きます。
4. 今後はどういうことにチャレンジしようと考えていますか?
昔からOSS読んでて、いつかは自分のプロジェクト,それも難易度が高いものを0から作成することにチャレンジしてみたい,今後しばらくライフワークにできるようなものをやってみたい気持ちがずっとありました。
それと同時にOSSには職業視点でも創作視点でも研究視点でも大きな可能性があるのはいうまでもないことです。
例えばオフェンシブセキュリティの分野では、攻撃能力やノウハウをたくさん持っている人が重宝されています。ただ、その過程でさまざまなOSSのツールを活用して組み合わせて使っているのにも関わらず、オフェンシブのOSS開発はかなり盛り上がっていない(日本)ということがあったりして、不思議なことです。
話を戻しますと、B3のころから静的解析の分野にも興味を持っていました。大学でもコンパイラを習っていましたがあまり理論には興味を持てず、プログラムの処理系をガチャガチャやるのが楽しいと思っているタイプでした。
日本人で言語処理や静的解析をやっている複数の人たちのプロジェクト(大量の自作コンパイラ, mold, SATySFi など)を観察してました。特に後者のような長期間自分のプロジェクトを持っているというのは強い生きがいを感じられることだろうな〜と憧れを持っていました。
ちょうどこの頃、WebアプリケーションをCloudにデプロイする際のサプライチェーン周りのセキュリティに興味を持っていたことと、それらのコンピューティングリソースはyamlやterraformなどのDSLで記述するけども・・・
- それらの静的解析って実はどうなっているんだろう?
- 動的に検出してみないとわからない問題との切り分けができていない
という疑問と課題がありました。そこで、
- コケるワークフローを可能な限り未然に検出
- デプロイ前にどこまでアラート数を削減するための意味解析やルールセットの作成ができるか
というのが複合的なテーマとして出てきました。
それでB4では、SecHack365事業にジョインしこれらの謎解きをする開発に没頭することにしました。
まずは、
- DSLの静的解析でどこまでできるか
- 意味解析のためのParserの実装をどうするか
- tree-sitterなどのエコシステムに頼ることができない
- 全体の設計をどうするか(主に拡張性の観点)
- 技術選定をどうするか
などの試作と研究を行いました。terraform側は筋のいいエコシステムがすでにあった(静的解析側の話であり自動修正側は存在しない)のでyaml側を取り組むことにしました。
SATySFiの作者, @bd_gfngfnさんのツイートで非常に共感できるものがあります。
ある程度仕様が固まってからの3ヶ月は上記のような寝て起きてコードを書いてという生活をしていました。これも学生時代にやってみたかったことだったのですが、大学に邪魔をされていたためできていませんでした。
そうしてできたものがsisakulintです。
このツールについてmorioka12に説明する機会があり、デザインや設計思想、異常なこだわりについて語りました。とにかく色々と驚かれたことを記憶しております。詳細のブログについては、かなり長くなるのでどこかで書こうとは考えておりますが手が動いておりません。
OSSとして公開したのは実は2024年7月でそれからデザインや軽微な改修なども改善し続け、外で発表する準備などもしていました。
そしてちょうど先日、BlackHatに採用され、海外に展示する機会を得ました。BlackHat Arsenalは最先端のOSSのセキュリティツールが集結するデモの展示会で商用製品の展示は固く禁じられております。
BlackHatに採択されましたが、まだまだ始まったばかりのOSSです。最終的には自動修正もSASTも手元にバイナリをインストールしなくてもGitHub organizationに3rd party appを入れることでで全部完結するところまで持っていく予定です。
コンパイラやその他、静的解析などのツールチェーンは簡単にインストールして無料で使用できることが今では当然のこととされており、多くの人々はこれらの「無料ツール」の背後にいる個人についてあまり考えないかもしれませんが、よかったら応援してください。
ちなみにコンパイラやインタプリタは正常系の処理系ですが、lintやSASTは異常系の処理系であり、そもそものスコープの策定や解析経路が多岐に渡るがゆえに処理プロセス周りにOSがやっていそうな機能を模倣したシステムプログラミングも導入したりtokenizerの実装のために多段式のパーサーと構文木を準備しつつも1shot実行できるなど、lintの内部構造としてはかなり特異な実装になっています。コンパイラの10倍くらいは難易度の高い開発にチャレンジしております。
前置きが長くなりましたが、まず1つはライフワークとなった自分のOSSを育てていくというのがあります。なんかすごい!と思った方がいるかも知れませんが、あくまで『それがぼくには楽しかったから』にすぎません。誰かに評価される!ということも大事なんですが「長期間じっくり向き合える自分のOSSを持った」ということと比べると小さなことです。これらを10年単位でゆっくりやっていくことを考えております。
若手の会の最初の原型をつくったこととOSSの感覚は似ているかもしれないです。経験に基づいた「こういうのあったらいいな」という漠然としたアイデアの0->1をつくってそれを薄く広げていくということです。
また、最近はLLM技術のセキュリティ応用に目を光らせております。
lintの自動修正もそうですが
- 静的解析とLLMで脆弱性を発見する
- 一定量のログをベクトルDBに読み込ませてRAGを使ってインシデントの痕跡を探索する
- MITRE ATT&CKのような理論とユーザー入力の事象をマッピングさせる推論をさせる
のようなことがどんどんできるようになると思います。製品がどんどん出てくるからそれを使えばいいじゃないか!という風に思われるかも知れませんが、それを実用可能な形でスモールに自作していくことが非常に重要と考えています。それはユーザーサイドにおいては「仕組みの内製化」につながることにもなるからです。
もうすでに昨年から取り組みを始めていてセキュリティアナリスト向けのカンファレンスであるJSAC2025では、Introduction to MITRE ATT&CK utilization tools by multiple LLM agents and RAGと題して 複数のLLM agentとRAGを用いてMITRE ATT&CKフレームワークを利活用する方法を紹介しました。
また、PoCとして作成したOSSであるdisarmBotの紹介を行いました。
また、前置きが長くなりましたが、2つ目はLLMのセキュリティ応用で普通に実用できるツールチェインを作っていくというのがあります。これはオフェンシブより/ディフェンシブよりに限りません。
ここまでがOSSの話で、職業の話でいうと引き続きプロダクトとコーポレートの両方に関わっていくことで高い視点を獲得していこうと考えております。どちらも行うというのが大切なことですが、プロダクトの方では、バグ報告を受けるユーザーサイドとしても、バグハンター視点としてもバグバウンティに注目しております。
特にバグハンター視点の獲得によって
- 所属企業のプロダクトに対して完全に外部の視点, ブラックボックスでバグを発見していくノウハウ(実はかなり不足していると感じております)の向上
- この分野において筋の良いツールチェーンの開発
- バグハンターコミュニティへの参入
など多方面に広がることが期待できるからです。
よってOSS, LLM, バグバウンティなどに注目していこうと考えております。
5. セキュリティに興味ある学生や若手へのメッセージをお願いします!
個人でやりたいことが多かった自分にとって、最後の方の学校生活は周回遅れに感じ、縛りも多く大変なことも多かったです。真に作りたいものがあったり、やりたいことがある場合、大抵学校や仕事が邪魔になります。授業, 研究, 労働基準法, ミーティングなどは全部ノイズとなります。
一生やらないことかも知れないが、特定の時期に何かに集中して自分のことをやるのは非常に財産となるためお勧めしたいです。そのためどのように自分の時間を確保するのかということを戦略的に考える必要があります。
それには基礎体力とか心の健康も必要でしょう。私はこの仕事を始める前までは肉体労働をしていましたが、こういったところで基準を作っていたことが後から効いてくるとは思っていませんでした。
目標達成のため「何が自分に役に立つか」という視点で人は考えると思いますが、最終的に何が必要になるかどうかを過不足なく捉えるというのはなかなか困難です。前回のmorioka12のインタビューを見ていると真面目で目的意識が強い印象を受けます。記事中には「スキル」という言葉が出てきますし採用の文脈でもよく聞く言葉ですが、私はこの言葉でカテゴライズしすぎると何か大事な視点を見落としそうで警戒しています。
そこで、何に役に立つかはわからないが適当にいろんなことをやって種まきをしておくというのも相当量やってきています。目的に対して無駄が多いじゃないか!とか思うかも知れませんが、それ自体が視野狭窄に陥っている場合があります。そのため私は結構てきとうに生きて運を拾おうという戦略を立てることもしばしばあるのです。
技術力(笑)を高めたければ技術だけに真摯に取り組むことが筋なように思えますが、全くそうではないはずです。世界で広く使われている多くのOSS開発者や所属組織のCTOなど観測していても様々な分野に精通しているように思えます。
自身の創作活動や文章を書くという行為に際して最も役に立ったと考えているのは、比較的暇してた2019-2020年このあたりに図書館のALLジャンルの本棚の特定列を制覇したり様々なコンテンツを見ていたことしれません。そう思うと目的意識よりも知的好奇心の方が価値が高いかも知れませんね〜
あとプロダクトにしても文筆にしても創作活動においては、なるべく比較をしないようにするべきです。難しいことだとわかっていますが、何を作ろうとしても競合となるプロダクトは現れます。人は(既存のデファクトスタンダードツールがあるのにも関わらずなぜ作っているのかという)裏感情を隠しつつ「既存ツールとの差はどこか」とか聞いてくることがあるも思いますが、大抵質問してくる人は何もわかっていないし、自身は何も作ってない人たちなので適当に流してokです。それよりも継続の観点ではソースコードベースで理解してくれるcontributorを探したり説明をしたりする機会を作って価値を広げていく活動に振るべきと考えています。
最後に理論やドキュメンテーションの重要性について述べて締めようと思います。
個人でやりたいことが多い人にとって、学校生活は縛りも多く大変なことも多いかも知れませんが、学位は役に立つということです。
昔、SRE bookに触れた際に、以下のような言葉が出てきたことを思い出しました。
ツールはプロセス中で一連のソフトウェアや人々、データと共に動作する要素に過ぎません。ここでは、万能の解決策を教えてくれるものはありませんが、それこそが本質なのです。こうしたストーリーは、結果としてできたコードや設計よりも価値があるものです。実装は一時のものですが、ドキュメント化された理論には計り知れない価値があります。 この種の知見に触れられることは滅多にありません。
これはコードや実装よりも理論やドキュメンテーションが重視されていることを語っています。セキュリティエンジニアの実際の仕事を考えてもガイドラインの策定であったりヒアリングされた際に専門的な知見で返すなどより理論で仕事をする側面は大きいためこのことは非常に重要に捉えております。正確に理解しているわけではないですが、design docsのような文書を残すことの重要性などもそれにあたると思われます。そういったことの真の重要性は学位取得の過程を経て知るものと思いました。
著名なソフトウェア開発方式に関するエッセイである「伽藍とバザール」に書かれていることは四半世紀がたった今でも様々なOSSプロジェクトに適応できることが書かれています。四半世紀がたった今でも全くその理論の価値はさびれておりません。
終わりに
本稿では、若手セキュリティエンジニアである「asu_para」さんについて紹介しました。
「セキュリティ若手の会」についても、興味を持っていただけたら幸いです。
ここまでお読みいただきありがとうございました。
次回
第3弾は、hikaeさんのインタビュー記事です。
第2回イベントについて
2025/03/16(日)に東京で「第2回 セキュリティ若手の会(LT&交流会)」を開催予定です!
セキュリティ分野に興味ある方やセキュリティの職に就いている若手エンジニアの方は、ぜひ以下をチェックしてみてください。
第2回 セキュリティ若手の会(LT&交流会)
スポンサー企業の一般募集について
イベント開催記「第1回 セキュリティ若手の会(LT&交流会)」
Discussion