• 株式会社ビジョンクリエイト

vol.111 – 「ホワイトハッカー」

「ホワイトハッカー」とは、コンピュータやネットワークに関する高度知識・技術を持つ者を指す呼び名である「ハッカー」のうち、その技術を善良な目的に活かす技術者を指します。元来、「ハッカー」という呼び名そのものに、行いの善悪に関するニュアンスは含まれていませんでした。しかし通俗イメージとしては、ハッカーといえばコンピュータシステムに不正に侵入したり、プログラムを不正に改変し破壊したり、といった悪行を重ねる姿(いわゆる「ブラックハッカー」)がまず思い浮かびます。それに対し「ホワイトハッカー」は、悪意ある活動ではなく、善意のもとに活動するハッカーという意味を明示するために用いられます。ホワイトハッカーIT関連の高度知識・技術を持ち、それを「善良な方向に生かしている」技術者。 悪意を持った攻撃からコンピュータやネットワークを守る活動を行います。ブラックハッカーIT関連の高度知識・技術を持つのはホワイトハッカーと同じですが、 その技術を悪意あるサイバー攻撃などに使い、コンピュータやネットワークに 不正侵入することで、データを盗み出したり破壊活動を行ったりします。

ホワイトハッカーの広がり

データ(個人情報など)漏洩リスクなど情報技術(システムやソフトウェア)の脆弱性を見つけた外部「ホワイトハッカー」に企業が報奨金を払う動きが世界で広がっています。デジタル化でソフトウェアが組み込まれた製品が増え、製造業も含めて不具合への対応が喫緊の課題になっているからです。グーグルが優秀なハッカーに1億6000万円超を用意するなど報奨金額は増加傾向にあります。サイバー防衛にハッカーを味方につける仕組みができつつある中、日本企業の動きは鈍いようです。


「ハッカーに最大150万ドル(約1億6,400万円)払う」・・・2019年11月にグーグルが発表した金額提示に日本のあるセキュリティー企業幹部は目を疑ったそうです。グーグルは2010年からソフトの不具合を見つけたハッカーに報奨金を払ってきました。先日、スマートフォン基本ソフト(OS)「アンドロイド」の遠隔操作につながるバグ(欠陥)発見への報酬を20万ドルから大幅に引き上げました。公表ベースでは産業界で過去最高額となります。 世界では「ホワイトハッカー」を活用する企業が増えています。テスラやスターバックスなど多様な企業がこの報酬制度を導入しています。報奨金も上昇気味です。米ハッカーワンの調査によるとハッカーへの平均報奨額は2018年に約3,380ドルと2年間で7割増えました。アップルも2019年8月、金額を20万ドルから100万ドルに増やしました。 この背景にあるのが経済デジタル化の動きです。あらゆる産業や組織がサイバー攻撃の危険性にさらされるようになっています。欧米フィアット・クライスラー・オートモービルズ(FCA)は2015年、主力車の「ジープ」がハッキングにあいました。公開した実験で、人が高速道路を運転中にハッカーが遠隔からエンジンを止めることに成功しました。実験を受けFCAはリコールに追い込まれたのです。

日本でのホワイトハッカー

例えば、日本では古いビル管理システムを通じてオフィスビルの空調をまるごと止められる恐れがある・・・地方金融機関のほとんどで外部パソコンからATMに侵入できる・・・すると銀行の預金残高を書き換えることも可能・・・こんな感じになっています。 実際に攻撃を受けると影響は非常に大きくなります。対応費用やブランドの毀損を考えると、高く見える報奨金も「割安」とみる企業は増えています。 ハッカー活用で日本企業は出遅れています。トヨタは外部ハッカーによるサイトバグ発見の仕組みを持つものの、現在のところすでに発売した車は対象外だそうです。しかも報酬は感謝の「お礼」だけで金銭の授受はありません。NECや富士通なども報酬制度がない状況です。国内のハッカー関係者は「不具合を認めたくない企業文化が日本にはある」と話しています。

しかし、企業がさらされる他のリスクも発生してから対処するより予防しておくほうが得策であることは明らかでしょう。テスラは重要な脆弱性を見つけたハッカーの名前を公表しさらなる貢献を促しています。サイバー防衛が複雑さを増す中、ハッカーを味方につける知恵が日本企業にも問われるでしょう。

上記の状況を踏まえ、みなさんがもし情報セキュリティマネジメントや情報処理安全確保支援士などの資格をお持ちか、またその手の資格取得を目指して学習されているなら、それらに加え「認定ホワイトハッカー(CEH)」といった資格にも挑戦し、「ホワイトハッカー」になるというキャリアパスなどいかがでしょうか。おそらく今後年収1,000万円以上かそれよりさらに高額所得者になるかもしれません。ただ、そのような仕事は近い将来人間ではなくAIが代替することも考えられます。人間はAIがやったことを監視して、それでいいという承認ボタンを押すだけの役目になる・・・そのような時代には再度人間がやるべき仕事は何かを再定義・構築していくことになるでしょう。