#FlattSecurityMagazine

セキュリティとプロダクト開発の今を伝えるメディア

CTOに問う、AIに代替されないセキュリティエンジニアとは?

米内貴志 志賀遼太

こんにちは、GMO Flatt Security 執行役員の豊田 @toyojuni です。この時代、おそらく読者の皆様の全員が「自らはAIに代替されない人材か」という問いに少なからず向き合っていると思います。

本記事では、私豊田が弊社の2人のCTO、米内と志賀にインタビューすることで、この問いの答えを探りつつ、セキュリティエンジニアを志す皆様に弊社という環境がどのように貢献できるかを示したいと思います。米内と志賀は下にプロフィールを示すように世界トップクラスと言って差し支えない実力を持つセキュリティエンジニアであることに加え、直近は日本初のセキュリティ診断AIエージェント「Takumi」の開発にフルコミットしており、AIプロダクトの開発者でもあります。

現在弊社はセキュリティエンジニアの2025年度サマーインターンを絶賛募集中です。このインターンでは脆弱性診断業務を体験するだけでなく、Takumiを使いこなしOSSの脆弱性リサーチを体験するコンテンツも含まれます。この募集対象である学生の皆様も当然「AIに代替されないセキュリティエンジニア人材になるために学生時代には何をしたらいいか?」という問いを立てていることでしょう。インタビューでは、この観点にも大きくフォーカスしていきます。

▼ サマーインターンの詳細・応募(5月末まで)は以下のページから

学生の皆様にも、それ以外の皆様にも参考になれば幸いです。

プロフィール

取締役 CTO 米内 貴志

X:@lmt_swallow

2019年に入社。2021年6月にCTOに就任以後、同社にて製品セキュリティに関するソリューションの研究開発を牽引する。その他、サイバーセキュリティ国際会議「CODE BLUE 2024」レビューボード、サイバーセキュリティ競技「International Cybersecurity Challenge 2023」アジア代表チームキャプテン等を歴任。著書に『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』(2021年、ラムダノート社)等。

執行役員 プロフェッショナルサービス事業CTO 志賀 遼太

X:@Ga_ryo_

2016年、LINE株式会社に入社。セキュリティ診断や設計レビューに従事。2020年4月、GMO Flatt Security株式会社に入社し、ペネトレーションテストや各種セキュリティ診断、脆弱性リサーチプロジェクトなどを担当。2022年11月、執行役員兼プロフェッショナルサービス事業CTOに就任。数々のCTFで実績を残し運営にも携わっているほか、2021年4月には世界最大のハッキングコンテスト「Pwn2Own」で受賞するなど、0day huntingの分野においても実績を残している。

「AIを作る人」しか残らない

――早速ですが、脆弱性診断やペネトレーションテストを行うセキュリティエンジニアが今後AIに代替されないためには、どのような人材であるべきだと考えていますか?

米内:質問の前提から覆してしまうのですが、「AIに代替されない人材」というものは存在しないと思っています。全てはAIに代替され、残るのはAIを作る側の人間かそうでないか、だけだと考えています。

そのために、まずは今激しい変革が起きているこのAI時代の真ん中にいる必要があります。極端な話ですが、少し前の世代にアナロジーを求めると「PC98だとかの時代を見てきたからこそ、低いレイヤから計算機を知っていて、それが高レイヤのエンジニアリングにも効いている」みたいな場面は今でも諸先輩方から感じるんですよね。同様に、このAI時代も、まだまだ過渡期の今を最低限「AIを使い倒す人」、できれば「AIを作る人」として経験しておくのが大事なのだと感じます。

志賀:そうですね、変遷を知っていることは非常に重要だと思います。昔からコンピュータに触れている人はハード・OSのレイヤーから理解していて、それが強みになっているケースは多いと感じます。どの程度下のレイヤーから理解しておくべきかは時代にもよるので難しい議論ですが、少なくともAI時代にはAIの大前提になるような知識を知っていることが重要になるという実感はあります。

米内:そうですね。「AIを作る人」にはシンプルに「AIプロダクトを作る能力」だけでなく「古典計算機部分を頑張る能力」も必要だと思います。

例えばAIが動くにしても「環境」が必要なわけで、AIのためのサンドボックス環境を一つ自分で立ち上げられるかどうかといったインフラの能力が問われます。こうしたソフトウェアエンジニアリング力は今後幅広く問われるようになるはずです。

――なるほど。そういった大前提になりそうな能力、コンピュータサイエンスの重要性はこれまでも弊社は学生の皆さんには伝えてきたので、ある種変化のない部分ですね。その上で、どうすれば「AIを作る人」になれるのでしょうか。

米内:普段の生活の中でAIとたくさんチャットして「AIの利用経験が豊富な人」には簡単になれますが、「AIを作る人」になるのはあまり簡単ではないと思います。我々もTakumiを開発する中で色々苦労してきたよね。

でも、それを経験しないと「作る人」に求められる能力が身につかないんです。OpenAI ですら最近大事なことは論文にしなくなってきたし、アプリケーションレイヤもかなりプロプライエタリな領域ですよね。

Takumiは簡単な依頼を投げるだけで高度なセキュリティ診断を自律的に実行します(画像はOSSのセキュリティリスクを調査してもらう例)

志賀:ソフトウェアの開発でも似たことが言えますね。「とりあえず動くものが作れる」と「カリカリのチューニングができる、複雑なバグを治せる」の間には大きな隔たりがあり、後者になるには相応の経験が必要です。

米内:例えば最近のAIは画像をかなり高い精度で生成してくれますが「ここを8pxだけ空けて欲しい」といった微調整で100点に近づけていく作業をAIだけで行うのは今のところ難しいわけです。そこをずっと人力でどうにかするのか、もしくは「AIを作る人」になりAIの裏側を理解して、AI自体を直して100点に近づけることができる、すなわちスケールしていく手段を身につけられるかで差が生まれると思います。これは画像生成ではなくコードを書くにしても同じ話です。

志賀:結論、AIプロダクトを作る経験を通して「プロンプトが動く / 動かない理由」を説明できたり、アウトプットに対して「LLMってこういうものだからこのような調整をすべきだよね」といった言語化ができたりする人材になるべきなんだと思います。現在のAIの説明可能性は難しい議題ではありますが。

米内:加えて「理想的な仕事を言語化・構造化できること」と「AIの成果を評価できること」が必要だと思います。マネージャー力とも言えるでしょうか。例えば新卒1年目の社員と実務経験10年のベテラン社員に「ペネトレーションテストとは何か、言語化・構造化して」と求めたら当然その解像度は異なるものが出てくるはずです。業務に関するドメイン知識に大きな差があるからです。その業務をAIに実行してもらった時にその成果を評価する手順でも差が存在すると思います。現代だとプロンプト調整以外にも、どこをLLMにやらせて、どこを普通のプログラムで処理するかの判断もすごく大事なのですが、ここにもドメイン知識は効いてきます。

まとめると、「AIを作る人」に必要なのはタスクの言語化・構造化 + アウトプットの評価を行うマネージャー力と、ソフトウェアエンジニアリング力だと思います。かつ、そのソフトウェアエンジニアリング力というものは古典計算機的な要素と、AIの技術的裏側的要素を含みます。

セキュリティエンジニアを志す学生は何に取り組むべきか

――学生時代には何に取り組むべきかという問いが生まれますが、どう考えますか。

志賀:80点を100点に近づけていくとか、業務における正解を学ぶとか、正直学生の立場ではめっちゃ難しいと思っています。どこで身につけたらいいんだろう(笑)

米内:学生時代にはコンピュータサイエンスを学ぶのと、”意思”があれば良いのではないでしょうか。「AIに何かを任せたい」ってかなり意思の話だと思うんですよ。自分は当事者じゃないのでハンバーガー屋さんのオペレーションをAIに任せたいという意思はありません。ハンバーガーは好きだけど。

セキュリティ業界に入りたいと思うなら、世の中を守ることにどれだけの熱量を持てるか。「AIを作らないといけない!」と感じられるくらいのモチベーションがあることが重要だと思います。

――まさにその点で、今後脆弱性診断やペネトレーションテストに従事するオフェンシブなセキュリティエンジニアの業務のあり方はAIによって大きく変わりそうだと思うのですが、どのようなモチベーションを持っている人がフィットするのでしょうか?CTF等で手を動かすことが好きな人が多いイメージはあり、そのモチベーションが今後もフィットするのでしょうか。

米内:自分は「世の中を守りたい」というモチベーションが大事だと考えています。しかし、弊社含め業界全体として「攻める」人をフィーチャーしてPRしすぎてきたという課題感も持ち合わせています。CTFや、Offsec系の資格が代表的な例ですね。若い方がもっと情報危機管理コンテストやハードニングプロジェクトのようなコミュニティに行ってもいいのではないかと思うのですが。自分でWebサイトを運営するのも良いですね。

志賀:ただ、業務ではないので、どうしても守るものの規模的に入門はできてもプロフェッショナルにはなりづらいなと感じます。小さなものを守るのと、大きなものを守るのでは根本的に守り方が変わってくるところもあるでしょうし。

弊社の場合はCTFプレイヤーであることを重視して採用活動を行ってはいないですが、自分の経験を振り返るとCTFも有効な手段だったと思います。自分の場合は、コンピュータサイエンスのまだ知らない部分を学ぶのに便利だったのでCTFをしていただけなのですが、結果的に役に立っています。比較的学生の内から手を出しやすい領域なので、知識をそのようなオフェンシブ領域から学ぶのはアリだと思いますね。

米内:確かに。実際に自分もオフェンシブ領域が入り口だったので、守りの大切さみたいなところは業務の中で気づいていくものと考えてもいいかもしれません。その点、弊社のインターンであれば、どのようにレイヤーの低い「根っこ」の領域を学んでいくか、お客様のプロダクション環境を守るとはどういうことかといった学生では学びづらい部分に関しても伝えられると思うので、ぜひきて欲しいですね。

GMO Flatt Securityのセキュリティエンジニアならどのように「AIを作る」ことにコミットできるか

――GMO Flatt Securityのセキュリティエンジニアならどのように「AIを作る人」として活躍できるのでしょうか。

志賀:まずは、TakumiのようなAIを使役することです。その上で、脆弱性診断・ぺネトレーションテストの業務には80点を100点にしていく作業が必要なので、それができるプロフェッショナルになることが大事です。そして、これらの業務を言語化してTakumiに埋め込んでいって欲しいと思います。これがまさに「AIを作る」にコミットできる部分です。

コードを書く必要はないと思います。書きたければいくらでも書いて良い環境ではありますが。

米内:わかります。言語化を一番シャープにできる人材であって欲しいですよね。弊社のトップリサーチャー・RyotaKさんのTakumiへの関わり方もまさにそのような形で、TakumiのFalse Positiveを減らすために様々な知見・言語化をTakumiに埋め込んでくれています。

僕も同様にコードを書く必要はないと思いますが、「どの船に乗るか」は非常に大事ですよね。もし弊社におけるShisho Cloud byGMOやTakumiのようなプロダクトを作っていない会社に入ってしまうと、その時点で「AIを作る人」になるチャンスが著しく減ってしまいます。

志賀:周囲の話を聞く限り、仮にプロダクト開発部門があっても、セキュリティエンジニアのチームと距離が遠いみたいなパターンが多いと思います。弊社の場合は、そもそもプロフェッショナルサービス部(脆弱性診断・ペネトレーションテスト等を提供するセキュリティエンジニア主体のチーム)でやっていることをそのままプロダクトに落とし込んでいるようなものですし、かなり距離は近いですね。

――最後に、サマーインターン参加を目指す方にメッセージをお願いします!

米内:今このタイミングはAIにおける過渡期です。reasoningが発達したモデルが出てきて、LLMがある程度複雑なセキュリティタスクに使えるようになったのってここ半年〜1年程度の話じゃないですか。このような過渡期だからこそ「AIを作る人」になろうという意思さえあれば、そちらに行けるタイミングだと思うんですね。逆に、行かなかった人との差はどんどん今後開いていく。インターネットが登場した時も、ただ利用するだけだった人と、プロトコルの策定に向かい今や大御所となった人が同様にいたはずです。

だからこそ、サマーインターンでTakumiに触れてみるのは非常に良い一歩目になると思います。実際のところ、今日のAIの限界点を知っている人ってかなり少ないはずです。でも、その感覚がないと未来を予想することはできません。

我々は名実ともに最先端にいると考えています。Takumiを作るにあたって、様々なモデルの性能をMAX引き出せているはずです。Takumiに触れることで、逆に「これからはここを自動化しないといけないんだな」といった感覚も得られると思います。

志賀:本当、まずはやってみないと何事もわからないですよね。我々もTakumiの初期研究の段階で初月100万円くらい溶かしたじゃないですか。それによって得られたものがある一方で、これは学生だと流石に捻出するのが難しい費用だと思います。

まあ、それでチューニングが捗った結果Takumi君は様々な0-day脆弱性を発見できるようになり、バグバウンティプログラムで100万円以上稼いでいるので元はとっているんですが(笑)

TakumiはVimやNext.jsをはじめとして著名OSSに10件以上脆弱性を発見

弊社のサマーインターンであれば、なんなら報酬をもらいながらAIをフル活用できるので、おすすめです。

――ありがとうございました!

おわりに

ここまでお読みいただきありがとうございました。

結論として「『AIを作る人』になるためにAIプロダクトに関わる直接的な経験とコンピュータサイエンスの知識が重要」が大きな結論でした。また、学生のうちにできることはどうしても限られてしまうと思います。そのために「世の中を守りたい」という志とCTFを通じてオフェンシブなセキュリティスキルを身につけることは矛盾しないというトピックにも触れました。

改めて、AIと協働するセキュリティエンジニア業務が体験できる、GMO Flatt Securityのサマーインターンの応募は5月末が締め切りです!ぜひご応募ください。

また、すでにソフトウェア開発の現場にいる開発者の皆様はTakumiの利用をぜひご検討ください。月額7万円(税抜)で、ソースコードの解析を通じて高度なセキュリティ診断を継続的に行います。

ここまでお読みいただきありがとうございました!