平成生まれのセキュリティプロフェッショナル集団がぶった斬り!! 企業におけるセキュリティ対策の実情に迫る!!
ゲヒルン株式会社 代表取締役 石森大貴氏
朝日インタラクティブ株式会社 ZDNet Japan副編集長 田中好伸
ゲヒルン株式会社
代表取締役
石森大貴氏
さまざまなメディアやセキュリティベンダーが、セキュリティリスクの懸念や対策の重要性について声を荒げているにもかかわらず、セキュリティにまつわる事件や事故はいっこうに減る気配を見せない。企業が何らかの対策を講じたとしても、サイバー犯罪のトレンドは刻一刻と変化し、適切に対応し切れていなかったり、対岸の火事と捉えて十分な投資を行っていなかったりするケースが多い。
若くしてセキュリティ・プロフェッショナル集団であるゲヒルンを率いる石森大貴氏は、子供時代からIT技術に触れ、高校生のころからIPA(当時の主催はJIPDEC)のセキュリティ・キャンプに参加して最先端のセキュリティ技術を学び、ブログでの考察や活動がネットを中心に注目されてきた。
石森氏が懸念する最新のセキュリティリスクとは? 今後の企業ITではどのような考え方や対策が必要か? 安全性を高めるポイントとは? ZDNet Japan副編集長の田中好伸が、今日のトレンドについて伺った。
天才肌の少年が立ち上げたセキュリティベンダー
── 2010年にゲヒルンを起業するまで、どのような子供時代や学生時代を過ごしてきたのですか?
石森氏小学生のころから、パソコンに興味を持ちました。ゲームなどに興味をもつころなのでしょうが、私はシステムの中身を知ることに執着していました。2002年、6年生のころには、自宅でサーバーを立てて、レンタルサービスを始めていました。
IPAのセキュリティ・キャンプに初めて参加したのは、高校2年生のときでした。セキュリティ・キャンプの先生から積極的な活動を促されて、CNET Japanのブログを開始したのは2008年です。
── テレビドラマ「ブラッディ・マンディ」※のクラッキングシーンを分析したブログ記事が人気を博しました
※TBS系列で2008年に放送された日本のテレビドラマ。
石森氏ドラマの技術監修を行ったサイバーディフェンス研究所から誘われ、大学進学と同時にサイバーディフェンスの仕事を手伝うようになったのです。
そして、立ち上げたのがゲヒルンです。当初はWeb制作などのサービスを提供していましたが、最終的には現在の「セキュリティ」という得意分野に落ち着きました。
セキュリティ診断でもセカンドオピニオンが重要
── ゲヒルンのメンバーも石森さんのように“コア”なエンジニアばかり?
石森氏そうですね。ゲヒルンの職員は、何か"オモチャ"が与えられると、IT技術を使って便利にしてしまおうと考えて、実際にやってしまうのです。ゲヒルンは、そうした"ハック魂"を持つプロフェッショナル集団なのです。最近では、当社の職員が入社の手土産にSafariとFirefoxの脆弱性を発見してきました。
セキュリティ診断の分野は、すでにさまざまなベンダーがサービスを提供していますが、正直に言えば、当社のサービスも基本的には同じです。
しかし、それぞれのベンダーやセキュリティエンジニアは、必ず得手・不得手やクセを持つものです。つまり、同じことをやっているように見えても、発見できるリスクや場所が異なるのです。あるサービスで発見できなかった脆弱性が、ほかのサービスでは発見できたというケースもよくあります。
そこで私は、複雑な病気を複数の医者に診てもらうように、セキュリティ診断でも「セカンドオピニオン」を検討してもらいたいと考えています。
最適なセキュリティ強化と不正対策はビジネスによって異なる
── 現在の企業ITで特に考慮しなければならないセキュリティリスクにはどのようなものがありますか
石森氏ぜひ考えていただきたいのは、自社のビジネスによって狙われる部分、守るべき部分が異なるという点です。
例えば金融業は、ネットバンクサイトの改ざんやなりすまし、フィッシング、顧客情報の漏えいなど、あらゆる場面・場所でセキュリティ強化や不正対策が必須です。ECサイトであれば、クレジットカード情報や購買履歴、個人情報の漏えいはもちろんですが、昨今はポイントの不正獲得・利用も話題となっています。
ゲームサービスでは、個人情報を持っていないことも多いのですが、「チート」と呼ばれる不正行為が問題視されています。チートとは、たいていはソフトウェアのバグを突いて、不正にプレイヤーの能力を向上したり、課金アイテムを不正に入手したりする行為のことで、サービス内のゲームバランスや公平性に大きく影響します。
最近の製造業などでは、Wi-Fi機能を持った工業機器が注目されています。セキュリティ設定などがデフォルトのままで、いつ不正アクセスを受けてもおかしくない状況のケースもありました。
多くのユーザー企業は、ただ漠然と「セキュリティを強化したい」とだけ考えており、どのような問題を抱えているかという点に気づいていません。企業の存在意義やビジネスの目的を把握し、全体最適化を見据えて適切なセキュリティ向上のための対応を講じなければ意味がないのです。
私たちがコンサルティングを行うときにも、まず顧客のビジネスについてヒアリングを行い理解することから始めます。そうした前提があれば、私たちも適切なアドバイスがしやすく、対策や支援の迅速化が図れます。
── 注意すべき攻撃者のトレンドは?
石森氏さまざまな目的や手法が次々と登場しているため、一概には言えません。
ただしポイントとしては、組織の内外に"攻撃者"が存在することです。さながらスパイ映画のように、内部犯が潜んでいることは大いにありえます。
2015年夏に大きな話題となった年金機構の情報漏えいは、内部犯ではありませんが、運用に大きな問題がありました。セキュアな設計やアプライアンス製品だけでは防ぐことができない、運用と技術の両方が必要であることを示す事例です。しかし、多くの組織ではそれが実現できていません。
ある企業のフォレンジック※対応を行ったとき、きちんとセキュリティポリシーが策定されているのにもかかわらず、システムに正しく適用できていなかったという例がありました。
※フォレンジックとは、仮にセキュリティ事件が起きた際、関係者のパソコンやサーバー、ネットワーク機器などのデータを扱う機器などを押収して記憶装置から証拠となるデータを抽出や、サーバーや通信機器などに蓄積された通信記録から違法行為の証拠となる活動記録を割り出したり、破壊・消去された記憶装置を復元して証拠となるデータを割り出したりするなどの技術・活動のことを言う。
また、コピーや消去、改ざんが容易であるというデータに対応して、データが捏造されたものかどうかを検証する技術や、記録の段階でデータが改ざんできないよう工夫したり、ハッシュ値やデジタル署名などで同一性を保全したりする技術のことも言う。
この数年で話題となっている標的型攻撃は、内部の“人間”を狙った攻撃です。強力なセキュリティ体制を設けている大企業を狙うために、システム連携している子会社や取引先を狙うというのは常套手段です。大企業としては顧客や関連会社も守りたいところですが、さすがに限界があります。結果、組織的なセキュリティホールとなるのです。
システムに保管されるデータは、美術品や貴金属のように、盗まれても気づかないことも多いです。そこで、できるだけ気づかれないように攻撃を仕掛ける技術が発展し、セキュリティ侵害が長期にわたって発見されない例も増えていました。
しかし最近では、貴重なデータを勝手に暗号化し、人質として身代金を要求する「ランサムウェア」攻撃が登場しています。これは従来の手法とは逆で、攻撃を目立たせて被害者に気づかせる必要があります。
攻撃に気づかせるという行為は、密かに攻撃を仕掛ける攻撃者とは相反する手法ですし、彼らの邪魔をすることになります。サイバー犯罪者どうしの喧嘩が起きるのではないかと予想しています。