トピックス 2021.03.19 サイバー攻撃の脅威を防ぐホワイトハッカーとは？仕事内容や年収事情を詳しく解説！

ホワイトハッカーとは、サイバー攻撃の脅威から企業や組織を守っている人を指します。

ハッカーと聞くと、第三者のコンピューターへ不正にアクセスして、データを盗むなどの犯罪行為する人を思い浮かべる人も多いかもしれませんが、ホワイトハッカーはこうしたハッカーからの脅威を食い止める役割を担っているのです。

そんなホワイトハッカーですが、その仕事内容や年収事情の実態についてあまり知られていません。

そこで今回は、ホワイトハッカーの仕事内容、年収事情の解説、情報セキュリティの脅威、そしてサイバー攻撃の実態に至るまで包括的にご紹介します。

IT分野における高度な知識と技術を持つハッカーは『ブラックハッカー』と『ホワイトハッカー』の2種類に分類されています。

ブラックハッカーは自らが持つ高度な知識と技術力を、社会や人のために使うのではなく、不正アクセスなどの犯罪行為に利用しています。

対するホワイトハッカーは、セキュリティ対策を講じたい企業や組織の依頼を受けて、高度なITスキル活用し、サイバー攻撃からコンピューターやネットワークを守る仕事をしている善良なエンジニアです。

もともとハッカーという言葉には行いの「善悪」に関する意味合いは含まれていませんでした。

しかし、悪事を働く犯罪者のこともハッカーと一括にして呼ぶようになったことから、善意のもとに活動するハッカーを区別するため『ホワイトハッカー』という言葉が生まれたのです。

近年では「セキュリティエンジニア」とも呼ばれ、企業や組織から引く手あまたの状態です。

IT技術者が慢性的に不足している日本において、高い技術力を持つホワイトハッカーは今後ますます需要が高まると言われています。

経済産業省が平成29年に公表した『IT関連産業の給与等に関する実態調査結果』によると、日本国内のホワイトハッカーの平均年収は約760万円で、平均的なSE・プログラマの年収（約570万円）を200万円も上回る高い水準になっています。

こうした傾向は海外でも同様で、特に大手IT企業が数多く存在するアメリカでは特に顕著です。

例えば、Appleは社内ネットワークのセキュリティを担うホワイトハッカーに対して日本円で約3,000万円もの年収を提示しています。

また、Googleやゴールドマンサックスといった企業も同様に、認証システムの脆弱性の発見を目的としたホワイトハッカーチームを擁しており、Googleは日本円で1億円を越える報酬を提示しているのです。

アメリカの平均的なSEの年収が約850万円であることを考えると、ホワイトハッカーたちの年収の高さが際立ちます。

企業とサイバーセキュリティ研究者を繋げる報奨金プラットフォーム「HackerOne」によれば、ホワイトハッカーに対する報酬は年々上昇しており、2016年から2018年までの間に提示される報酬の額は70%も高騰しているそうです。

サイバー攻撃の手口は日々巧妙化され、セキュリティ対策は非常に困難になってきています。

サイバー攻撃を受けて被害があった場合、社会的信用の失墜や巨額の賠償問題に発展するなど、企業・組織として致命的な損害を被ってしまうことも少なくありません。

情報セキュリティが脅威に晒される要因について、主に以下の4つが挙げられます。

本来アクセス権限のない者がサーバーや情報システムの脆弱性を狙い、ハッキングなどをしてセキュリティ内部へ侵入する脅威です。

万が一、サーバーやシステムへ侵入を許してしまうと、機器が停止したり、内部に保管している機密情報が漏えいするなど、企業や組織のイメージに深刻なダメージを及ぼします。

悪意ある者が意図的にウイルスを含む添付ファイルやメール、URLリンクを送りつけて、個人情報や機密情報を盗もうとする脅威です。

ウイルスに侵されてしまうと、感染した機器だけではなくネットワークで繋がっている周囲の機器にまで拡散する恐れがあります。

代表的なサービス妨害に挙げられるのがDos攻撃やDDoS攻撃と呼ばれる攻撃手法。攻撃対象となるサーバーに過度な負荷を与えることでサービスを停止に追い込みます。

内部に留めておくべき機密情報が、何らかの原因により外部に漏れてしまう脅威です。不正アクセスやウイルス感染など外部からの攻撃が原因で漏えいする場合と、USBの紛失やメールの誤送信など内部からの流出も少なくありません。

近年発生した日本国内におけるサイバー攻撃の被害実態と、海外との違いについてご紹介していきます。

毎年、上場企業の情報漏えい・紛失事故を調査している『東京商工リサーチ』によると、2020年に上場企業とその子会社で情報の漏えい・紛失事故を公表したのは88社、事故件数は103件、漏えいした個人情報の数は2,515万47人分となり、調査開始以降、過去最多の件数を記録しました。

事故原因で最も多い理由は、外部からの脅威であるウイルス感染・不正アクセスによるもので、続いて誤送信や誤表示などのヒューマンエラーとなっています。

攻撃者の技術が向上し巧妙な手口が利用されるようになったことに加え、コロナ禍でテレワークやクラウドサービスが広がったことも事故件数増加の一因と考えられます。

続いて、国内と海外におけるサイバー攻撃の被害実態の違いについてご紹介します。

2019年に日本を含む5カ国を対象に実施した情報セキュリティに関する調査によると、日本はヒューマンエラーによる事故が多いのに対して、海外4カ国ではマルウェア等のサイバー攻撃による事故が多い傾向にあることが分かっています。

海外4カ国と比較して日本におけるマルウェア等のサイバー攻撃被害が少ないのは、マルウェアを仕込んだ詐欺メールが海外の攻撃者によるものが多く、文面が不自然であることから詐欺メールだと見破りやすいためです。

しかし、詐欺メールの精度は年々高まっており、日本国内でも今後被害が拡大していくことが懸念されています。

企業や組織は十分な情報セキュリティ対策を実施することで、機密情報や個人情報を正しく管理し、漏えいや紛失を防ぐ社会的責任があります。

サイバー攻撃によって不正アクセスを受けた結果、取引先や顧客の情報が漏えいし被害を与えてしまうなど、気づかないうちに「加害者」となる可能性もあるのです。

情報通信技術の進歩は非常に早く、企業や組織の情報資産を脅かす新しい技術・脅威は次々に生み出されています。

情報管理の担当者はこれらの脅威について日々情報収集し、必要に応じて組織責任者やホワイトハッカーと連携しながら、組織全体の情報セキュリティ体制を継続的に見直していく役割が求められています。

【関連リンク】

・情報セキュリティ分野の人材ニーズについて（経済産業省）
https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/joho_keizai/it_jinzai/pdf/002_03_00.pdf

・IT関連産業の給与等に関する実態調査結果（経済産業省）
https://www.meti.go.jp/press/2017/08/20170821001/20170821001-1.pdf

・Google pays $1.5m to white hat hackers, Toyota says 'thanks'（NIKKEI Asia）
https://asia.nikkei.com/Business/Technology/Google-pays-1.5m-to-white-hat-hackers-Toyota-says-thanks

・Apple pay white-hackers $288,000 for run of company’s network（IT SECURITY GURU）
https://www.itsecurityguru.org/2020/10/09/apple-pay-white-hackers-288000-for-run-of-companys-network/

・Average Systems Engineer Salary（Pay Scale）
https://www.payscale.com/research/US/Job=Systems_Engineer/Salary

・情報処理推進機構（経済産業省所轄）
https://www.ipa.go.jp/files/000013297.pdf

・上場企業の個人情報漏えい・紛失事故（東京商工リサーチ）
https://www.tsr-net.co.jp/news/analysis/20210115_01.html

・サイバー攻撃の最近の動向等について（総務省）https://www.soumu.go.jp/main_content/000722477.pdf

・NRIセキュア調査結果（NRIセキュアテクノロジーズ株式会社）
https://www.nri-secure.co.jp/blog/insight2018-security-risks-and-incidents

TEXT：セキュリティ通信 編集部
PHOTO：iStock