特集

最新のIT技術情報や旬な話題をお届けいたします

セキュリティ・キャンプ全国大会に講師として参加して

セキュリティ・キャンプ全国大会に講師として参加して

※マクニカネットワークス株式会社 セキュリティ研究センター 主席技師 凌 翔太

マクニカネットワークスの「セキュリティ研究センター」は、巧妙化するサイバー攻撃における攻撃手法や防御策を研究し、様々な情報をブログやセミナーなどでの発表を通じて発信しています。その活動のなかで、今年初めて、セキュリティ研究センターの凌 翔太(しのぎ しょうた)が、セキュリティ・キャンプ実施協議会が開催する「セキュリティ・キャンプ全国大会2015」へ講師として参加しました。参加資格が22歳以下の学生のため、社会人になった私たちには、なかなか知ることが出来ない「セキュリティ・キャンプ全国大会2015」の話から、人材不足が叫ばれるセキュリティ人材の話へと発展した今回のインタビューをお届けします。

攻撃者の視点に立ってサイバー攻撃を考えてみる

マクニカネットワークスでは、2013年4月に「マクニカネットワークス セキュリティ研究センター」を設立しました。これはサイバーセキュリティに特化して研究し、主に「サイバー攻撃の手法についての研究」「海外の最先端セキュリティ技術の発信」「セキュリティ対策の提案」などを行っています。

その設立の背景について、同センター 主席技師の凌は、次のように語ります。
 
「サイバー攻撃といっても、戦いの場所がサイバー空間なだけで、結局は人対人の戦いということを意識しなくてはいけません。サイバー攻撃の向こう側には、必ず攻撃を画策する“攻撃者”がいます。その攻撃者が何を考えているのか、次にどんな手を使ってくるのかを想定しながら、防御策を考えていかなければいけません。そこで、まず攻撃者の手口や意図を知る必要があるという認識から、専門に研究するためにセキュリティ研究センターを設立しました。」

昨今のサイバー攻撃は多種多様なテクニックを組み合わせて実行されます。

「もはや、ひとつの対策を施したからといって安心できる時代ではありません。攻撃手法についての情報を共有し、俯瞰的な視点を持って対策を打っていくことが大事です。」

同センターの研究スタンスにおいて特徴的な点は、「攻撃者側に立って防御策を研究する」ことといえます。サイバー攻撃は一回で成功するとは限りません。特に企業を狙うサイバー攻撃は、何らかの目的を持って実行されるため、攻撃が成功しなかった場合は、別の攻撃手法に切り替えて、成功するまで次々と攻撃を行ってきます。

凌は、同センターが設立する前、さまざまなセキュリティ製品のエンジニアを担当していました。当時から攻撃者視点での防御の必要性を感じていた凌は、擬似マルウェア「ShinoBot(シノボット)」を試作しました。そして当時、凌が担当していたIPS製品に対して、ShinoBotを使って実際に攻撃してみて、「攻撃者からはIPS製品の対応がどのように見えるのか」を検証していたのです。

「攻撃者には、IPS製品が機能すると『ブロックされた』とわかります。IPS製品の対応を見ながら、『次にどこを攻めるか』と考える訳です。そうして、攻撃者がどこを攻撃してくるのかを想定しながら、防御策を打っていく。防御策を考えるには、実際に攻撃者の立場に立ってサイバー攻撃を体感することが大事と、強く実感しました。防御側が『ここを攻撃してくるだろう』という部分と、攻撃者が『ここから攻めたい」という部分が一致するとは限らないわけです。」

凌 氏

ちなみに、ShinoBotは2013年に世界最大級のセキュリティ・カンファレンス「Black Hat USA」へと進出しました。
(初出展の際の模様はこちら

若年層向けのセキュリティイベントに講師として参加。攻撃者視点での防御について講義

このような活動をするなかで、2015年8月に開催された「セキュリティ・キャンプ全国大会2015」に凌が講師として参加することとなりました。

「セキュリティ・キャンプ全国大会」は、日本のIT業界を支えるセキュリティ人材を育てるために、2004年に始まり、今年で12回目を迎える合宿形式の勉強会です。全国から選び抜かれた約50名が、1週間かけてセキュリティ業界で活躍するエキスパートによる実践的な講義やワークショップに参加し、セキュリティに関する技術、知識の習得・向上や、ITやセキュリティの世界における仲間、ネットワーク、コミュニティをつくることができるイベントです。このイベントの参加資格は22歳以下の学生に限らており、中学生も含まれていたそうです。

セキュリティ・キャンプ全国大会の公式ページ
http://www.security-camp.org/camp/index.html

凌が担当した講義のテーマは「遠隔操作マルウェアの検知および検知回避」です。これは、凌が「マルウェアの仕様」を伝え、学生たちがその機能を持つマルウェアを実際に作成するという講義です。想定していた課題は以下の通りでした。

  • マルウェアを開発する
  • 完成したマルウェアを検知するためのシグネチャ作成をする
  • 作成したシグネチャをすり抜けるようにマルウェアを改良する

ただし、あまりに課題が多かったために、マルウェアを検知する課題は時間内に終わらず宿題になってしまったそうです。

「サイバー攻撃と防御は、永遠のイタチごっこ。新しい防御策を打ち出すと、攻撃側はそれを乗り越える手法を考えます。すると次はそれに対応する防御策を考え、さらに攻撃者が新たな手法を……、ということが永遠に繰り返されるのです。それをこれからの日本のITを担う若者に、リアルに体感してほしかったのです。」と凌は、講義の目的について語ります。

セキュリティに関心を寄せる若い世代が、1週間ともに活動する意義

セキュリティスキルの高い学生たちが、キャンプが開催された1週間をともに過ごすことは大きな意味を持っています。

「参加者の方は日常生活ではセキュリティについて語り合える仲間がなかなか身近にいません。キャンプに参加して、高いスキルを持つ同世代の仲間と触れ合い、興味を持っている者同士で話ができる場を持てることは大きな意味があるでしょう。参加した学生たちも、仲間ができたことを喜んでいるようでした。
最近は、サイバー犯罪の若年化が問題になっています。せっかく高いセキュリティスキルを持っていても、悪いことに使っては意味がありません。彼らの高いスキルを評価する場として、そしてセキュリティ業界との接点を提供する点でも、セキュリティ・キャンプは意味があります。」

セキュリティ・キャンプは、講師として参加した凌にとっても有意義なものだったといいます。講師陣は、日本のセキュリティ業界の第一線で活躍しているエキスパートばかりでした。そこで人的ネットワークを広げられたことは非常に大きいと考えているそうです。

「自分の講義のない時間には、他の講師の講義を受けられたことも新鮮でした。セキュリティに関する情報は、公にできないことも多々あります。悪用されたら困るという情報もあるからです。講義の中には、取材に来たメディアの人を入れずに、非公開で行う講義もありました。 私たち講師陣も、キャンプの1週間はともに行動するので、いろいろな交流ができました。いま何に関心を寄せているか、どういうアプローチでセキュリティを考えているかなど、様々な情報交換・意見交換は私にとっても多くの収穫がありました。」

セキュリティの人材不足が叫ばれるが、本当に足りないのはどういう人材か?

セキュリティ・キャンプに参加する学生たちの中には、驚くほどセキュリティに詳しく、セキュリティ人材として即戦力になるのではと思うような学生もいたそうです。

「今の時代は、興味を持てばインターネットを使って、情報をどんどん深堀していき知識を深めることが出来る。そうやって彼らは独学で知識を深めていっていますね。」

彼らの知識の深め方は、私たち大人も学ぶところが多いにありそうです。

現在、日本のセキュリティ人材不足が叫ばれており、スペシャリストの育成が望まれています。セキュリティ・キャンプの後、参加した学生たちに将来の進路についてアンケートを取ったところ、半分がセキュリティ業界に進みたいと答えたそうです。半分は別の道を答えたことになりますが、それについて凌は、好意的に考えています。

「私は、セキュリティ人材の不足について、それほど懸念はしていません。人の数が足りないのではなく、人の手を煩わせる仕事が多すぎるのだと考えています。」

例えば、脆弱性を解消するためのパッチの適用、攻撃を受けた際のログの分析、マルウェアの解析などにおいて、現在、人間の手で行っている作業は少なくはありません。しかし凌は、それらはツールを使えばほとんど自動で処理できる作業と考えています。

「オペレーションを自動で処理するためにICTはあります。それでは、人間でなくてはできないことは何か。それは攻撃者の先の先を読むことです。前述の通り、サイバー攻撃は、サイバー空間で行われるものの、結局は人と人の戦いです。お互いが手の内を読み合いながら、次の攻撃、次の防御を考えていきます。
この『相手の考えを読んで、次の手を打つ』仕事は、機械にはなかなかできません。人間がそこに注力できれば、セキュリティ人材の不足の問題は、だいぶ解消できるのではないでしょうか。人材の数を増やすのは賛成ですが、それと合わせてセキュリティツールによる運用の自動化を図っていくべきです。」
 
「セキュリティ人材の定義」についても、凌は拡張すべきといいます。「セキュリティに特化したスキルを持つ人が増えればいいという話ではありません。他の仕事をしている人が、セキュリティを加味して自分のビジネスを考えられることも重要です。

例えば、サイバー攻撃を受けたと判明したときに、『被害を最小限に抑えるには、何を最優先に行動するか? 何を優先に守るか? どういう対処をするか?』を決めるには、経営的な判断が必要です。つまり、自分の会社にとって、もっとも重要な資産は何かを決めて、次の行動を起こさなくてはいけません。だからこそ、経営者にもセキュリティについての理解が必要になってくるのです。

今足りないのは、高いセキュリティスキルを持つ人材だけでなく、むしろセキュリティもわかる経営者、プロジェクトのリーダーではないでしょうか。重要なデータをビジネスで扱えば、狙われるリスクを常に持つことになります。データが奪われたときのリスクを考えながら、ビジネスを推進することが求められる時代になっているわけです。」

なんちゃってセキュリティをなくせ!

凌は、人材不足以上に問題なのは「なんちゃってセキュリティ対策」だと指摘しています。なんちゃってセキュリティとは、資格をクリアするためだけに整えたようなセキュリティ対策のこと。例えば「○○の資格を取るためには、このレベルのセキュリティ対策の整備が必要」とされていますが、それをクリアしたからといって、サイバー攻撃を回避できるという保証はありません。

「攻撃者は、この会社は○○の資格を取ってセキュリティ対策がしっかりしているから、攻撃を諦めようとは考えません。欲しい情報があるから攻撃してくるのです。攻撃を受けたら、防御する側は攻撃者と同等のスキル、もしくはそれ以上のスキルを持っていないと守りきれないと考えて間違いはありません。それを意識して、自分の会社にある情報資産を奪われないようにするには、何のセキュリティ対策製品を導入し、どういうポリシーで守ればいいのかを検討する必要があります。」

そのためにも、マクロな視点とミクロな視点の両輪で、情報資産を守っていく体制を整えていくべきと凌は考えています。マクロな視点とは経営やプロジェクトといったビジネス視点でセキュリティを考える経営者やリーダーの視点。ミクロな視点とは、攻撃者の先を読みつつ防御策を打つ高い専門性を持つセキュリティエンジニアの視点です。その両方があって高いセキュリティを担保できると言えます。

いつか見た景色 from Staff's Albums