サイバーセキュリティエンジニアの仕事を知る｜SynXが取り組む脆弱性診断とペネトレーションテストの現場／株式会社SynX・芳崎大紀

株式会社SynXのセキュリティアドバイザー・芳崎大紀（よしざき ひろき）さんは、脆弱性診断やペネトレーションテストなど、サイバー攻撃の防御を担う最前線で活躍されています。学生時代にWeb開発で起業した経験を経て、AIが進化しても、脅威を見抜くのは人の想像力。社会の信頼を支える仕事の最前線に、芳崎さんの確かな矜持がありました。近年、サイバー攻撃の脅威は業種を問わず拡大しています。そんな中で、芳崎さんが見つめる“現場のリアル”と、セキュリティの仕事に込める想いを伺いました。

開発の現場から生まれたセキュリティのプロ集団

石塚：
本日のゲストはセキュリティアドバイザーの芳崎さんです。よろしくお願いします。

芳崎さん：
よろしくお願いいたします。
私は脆弱性診断やペネトレーションテストといったサイバーセキュリティの技術領域を担当しています。

石塚：
ありがとうございます。さっそくですが、まずはSynXという会社について教えてください。

芳崎さん：
SynXは、親会社にポールトゥウィン株式会社を持つ企業で、ゲームデバッグ事業を中心に、ソフトウェアテスト、カスタマーサポート、ネットサポートなど、ITサービスを展開している会社です。
その中で、セキュリティ分野を強化していくために立ち上がったのが、このサイバーセキュリティグループです。
私はその中でセキュリティアドバイザーとして、技術監修や診断業務を行っています。

石塚：
もともと開発会社の中にあるセキュリティチームということですね。

芳崎さん：
そうです。開発の知見をもとにしたセキュリティ対策というのが、SynXの強みです。
システムの構造や仕組みを理解したうえで、より安全な状態を設計・提案しています。

学生起業から“ホワイトハッカー”の道へ｜挑戦が導いた転機

石塚：
芳崎さんのキャリアについても伺いたいです。どんな経緯でセキュリティの道に？

芳崎さん：
もともとは学生時代にWeb開発の会社を立ち上げていました。
保育園などからシステム開発を請け負うような受託開発です。
ただ、できることだけを続けるのは違うなと思い、興味のあったサイバーセキュリティの世界に進みました。

石塚：
セキュリティへの関心はもともとあったんですね。

芳崎さん：
はい。きっかけはドラマやアニメで見た“ハッカー”の存在でした。
悪役として描かれていても、その技術や知識の深さに惹かれて。
学生時代から興味が途切れず、Web開発の経験を経て“サイバーセキュリティ”の世界に入りました。

“攻撃者の視点で守る”｜脆弱性診断とペネトレーションテストの舞台裏

石塚：
では、冒頭でお話しされていた「脆弱性診断」や「ペネトレーションテスト」とは、具体的にどのような業務なのでしょうか。

芳崎さん：
脆弱性診断は、企業のシステムに潜むセキュリティホールを洗い出す作業です。
実際のハッカーと同じ手法を使って、どこに弱点があるのかを探していきます。
例えば、特定の入力欄にある文字列を入れると機密データが漏洩してしまう、といった脆弱性を発見するような検査です。

つまり、企業がリリースしようとしているシステムが、外部からの攻撃にどこまで耐えられるかを、事前に技術的に確かめる工程と言えます。
診断によって得られた情報を基に、開発者側が修正や防御策を講じることで、セキュリティリスクを未然に防ぐことができます。

一方で、ペネトレーションテストはもう一段階実践的です。
お客様と合意のうえで、実際にシステムへ侵入を試み、「どこまで情報資産に到達できるのか」を検証します。
脆弱性診断が“発見”を目的とするのに対し、ペネトレーションテストは“侵入できるかどうか”を実際に試す。
いわば、防御の網を本番さながらに試す試験です。

石塚：
まさに“ホワイトハッカー”の仕事ですね。

芳崎さん：
そう呼ばれることもあります。
攻撃者の視点を理解したうえで、どのように防御を設計すべきかを考えるのが私たちの役割です。
一見すると「攻撃する側」と同じことをしているように見えますが、目的は“守るため”。
不正アクセスを防ぎ、企業や組織の情報資産を守ることが使命です。

狙われるのは“大企業だけ”じゃない｜サイバー攻撃が突きつける現実

石塚：
そもそも、なぜ攻撃者はそんなことをするのでしょうか。

芳崎さん：
大きく分けて2つのタイプがあります。
1つは「金銭目的」の攻撃です。
たとえば、ランサムウェアを使ってシステムを暗号化し、「元に戻したければ身代金を支払え」と要求するようなケース。
ここでは、攻撃そのものが“ビジネス”になってしまっている状況があります。

もう1つは、「標的型攻撃」です。
これは特定の企業や個人を狙ったもので、恨みや政治的背景、または社会的影響を狙うケースもあります。
近年では、国家単位で行われる攻撃や、組織的なサイバー犯罪グループによる事例も報告されています。

石塚：
最近では、某大手ビール会社や医療機関の被害も報じられていますね。

芳崎さん：
はい。出荷停止やシステム障害など、実際の業務に直結する被害が出ています。
生産や流通が止まれば、会社の信用や経営にも影響し、当然ながら売上の損失にもつながります。
飲料メーカーであれば、まだ業務の再開や復旧によって取り戻せる部分があるかもしれませんが、医療機関のように人命に関わる業種では、影響の大きさは比較になりません。
それほど、サイバー攻撃の深刻度は年々増しています。

特に、個人情報や顧客データを扱う企業の場合は、漏えいが発生すると損害賠償の責任を負うことになります。
実際に、1件あたりの補償額や対応費用が数千万単位に及ぶケースもあります。
つまり、セキュリティ対策を行わないことで、将来的に数十倍のコストを払う可能性があるということです。

一方で、脆弱性診断やペネトレーションテストの導入は、初期費用こそかかりますが、結果的には企業の損失を未然に防ぐ“投資”と考えることができます。
特に近年は、攻撃の対象が「デジタルサービスを持つ企業全般」に広がっており、もはや一部の大企業だけの問題ではありません。
サーバーを持つ、顧客情報を扱う、クラウドで業務を行う──それだけでリスクは生じます。
サイバー攻撃はもはや“IT部門だけの問題”ではなく、経営全体の課題だと感じています。

AIでは守れないもの｜セキュリティの現場が教える“人の判断”の力

石塚：
AIが進化していますが、この分野もAI化されるのでしょうか？

芳崎さん：
部分的には進むと思います。
AIに攻撃パターンを学習させて自動で診断させる試みもあります。
ただ、AIには“経験値”がありません。
実際の攻撃データは契約上学習に使えないため、
本当に危険なパターンを見抜けるのは人間の判断です。

石塚：
最終的には、人が必要になるわけですね。

芳崎さん：
そうです。AIで検出した結果の真偽を確かめるのも人なので、結局は、攻撃者の想像力を超えるための人間の洞察が求められます。

“技術で信頼を支える”｜SynXが描くセキュリティエンジニアの未来

石塚：
今後、SynXとしてどんな展望を描いていますか？

芳崎さん：
総合セキュリティソリューション企業を目指しています。

芳崎さん：
SynXはシステム開発を中心とした会社ですが、その中でセキュリティ事業を今後さらに強化していきたいと考えています。

現在は脆弱性診断やペネトレーションテストを主軸にしていますが、今後はコンサルティングやSOC（セキュリティ監視）など、より幅広い支援ができる体制を目指しています。

石塚：
個人としてはいかがでしょうか？

芳崎さん：
診断員の育成ですね。
セキュリティエンジニアはまだまだ少ないと思っているので、
“何だか難しそう”というイメージを変えて、仲間を増やしていきたいです。

石塚：
これからこの分野を目指す人たちにメッセージをお願いします。

芳崎さん：
サイバーセキュリティは社会に直結する面白い仕事です。
脆弱性を見つけて報告することで企業の信頼を守れる。
ゲームのように難しくても、突破できたときの達成感は格別です。
ぜひ、一緒にこの世界を面白がってほしいと思います。

編集後記

今回の制作を通して印象に残ったのは、芳崎さんの仕事に対する一貫した姿勢でした。
脆弱性を探し出すことが目的ではなく、「企業が安心して事業を続けられる状態をつくること」が、セキュリティエンジニアとしての使命だと語っていたのが印象的です。

サイバー攻撃の手口が日々変化する中で、AIの進化によって一部の作業は自動化されつつあります。
それでも芳崎さんは、「攻撃者の意図を読み取り、防御の形を考えるのは人にしかできない」と話します。
数値やパターンでは捉えきれない“人の判断”が、最後の防波堤になるという実感が、現場の言葉から伝わってきました。

また、SynXが持つ「開発×セキュリティ」という視点にも強いリアリティを感じました。
攻撃から守るだけでなく、システムを“安全に動かし続ける”ために開発と防御を両輪で支える――その姿勢は、これからの日本のIT産業にとって1つの指針になるのではないかと思います。

技術を突き詰めながらも、人の信頼を守るために挑み続ける。
その静かな熱量こそが、SynXという会社の原動力であり、同じ志を持つ人にとって新しい可能性を見いだせる環境なのだと確かに感じます。