体験を伝える―『ガジェット通信』の考え方

面白いものを探しにいこう 本物を体験し体感しよう 会いたい人に会いに行こう 見たことのないものを見に行こう そしてそれをやわらかくみんなに伝えよう [→ガジェ通についてもっと詳しく] [→ガジェット通信フロアについて]

カッティング・エッジ領域でセキュリティ技術を高める―NRIセキュアの挑戦とエンジニアたち

ペネトレーションテストで次世代自動車の安全性を評価

ラスベガスで開催されたセキュリティカンファレンス「BlackHat」で、ネットにつながった自動車(Jeep Cherokee)をハッキングする手法が専門家によって披露されたのは2015年のこと。

電子制御ユニットがハックされ、ドライバーの意思に反して急加速したり、燃料計を偽表示させる映像が世界を驚かせた。

一歩間違えれば人命にかかわる重大リスク。車のIT化や自動走行技術が注目を集める一方で、そのセキュリティ強化をめぐる新たな課題が浮上したのだ。

「遠隔地にいながらにネット越しに車を動かすという実証実験の例もあります。これまでの自動車はネットワークにつながっていなかったので、基本的には開発してリリースすればメーカーの仕事は一段落しました。

ところが、ネットワークに常時つながることによって、運用という新たなフェイズが生まれた。同時に、ITと同じレベルかそれ以上のセキュリティも求められるようになりました。脆弱性の管理やソフトウェアへのパッチの適用などを常に考えなくてはならなくなったのです」
と語るのは、NRIセキュアテクノロジーズの野口大輔氏だ。

NRIセキュアテクノロジーズ株式会社 上級セキュリティコンサルタント 野口 大輔氏

サイバーセキュリティ技術開発部の上級コンサルタントとして、主にIoT、中でも自動車のセキュリティ技術を研究し、自動車メーカーやサプライヤーに対してコンサルティングを行っている。
オープン化が進む車両システムに対するセキュリティ診断

自動車に限らず、すべてのモノがインターネットにつながり、データがネットワーク上で行き交う時代。IoTシステムやデバイスを狙ったサイバー攻撃の危険性は増している。

NRIセキュアのIoTセキュリティコンサルティングは、他社含めた動向・事例などを勘案した上で、企業戦略に適合したセキュリティ対策を提案するところに特長がある。

また、米国家道路交通安全局(NHTSA)のガイドラインでも提唱されている自動車のペネトレーションテストにおいて豊富なノウハウを持っているのも強みだ。

設計段階では机上での脅威分析により、リスクシナリオや侵入経路を洗い出す。また、出荷前の実際の車両や搭載機器については、ペネトレーションテスト(実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストする手法)を行い、セキュリティの評価・診断を行う。

「自動車のセキュリティ技術は、欧米やイスラエルが一歩先んじているのは事実。しかし日本も急ピッチでそこに追いつこうとしています。世界的にみても自動車セキュリティの専門家は少ない。

その中で私たちが存在感を示すには、カッティング・エッジの技術を主導していくことが重要。NRIセキュアが世界で初めて発見、分析し、その対策を講じたというようなモデルをこれから作っていこうと思います」と、野口氏は言う。

旗をつかめ──バイナリファイル解析でハッキングの本質を究める

カッティング・エッジの技術を生み出す──これは最近のNRIセキュアでは一種の標語のようになっている。西俣洋佑氏も、その先端で輝くエンジニアの一人。

技術開発部に移る前の8年間は、「セキュリティインシデント・レスポンスチーム(略称NCSIRT)」にいた。いわゆる「SOC(Security Operation Center)」。

エンジニアが24時間365日休むことなくネットワークやデバイスの監視をして、サイバー攻撃の検出と分析、対応策のアドバイスを行う組織だ。

NRIセキュアテクノロジーズ株式会社 セキュリティコンサルタント 西俣 洋佑氏

「アクセスログを集めて、サイバー攻撃に対するアラートを上げることは、それはそれで難しい技術です。膨大かつ多種類のログをハンドリングしなければなりませんし、複数の事象の相関性をみるためのロジックを作るのも、これはこれでテクニックが求められます。

ただ、どんなにセキュリティを完備してもすり抜けてくるものがある。これはエンジニアが自分の目で判断するしかない。顧客のサービスの特性に応じて発生するその顧客ならではの事象もあります。そうした経験値を活かして、顧客に最適化されたアラートを送ることが重要なのです」

西俣氏は社外ではもう一つの顔をもつ。コンピュータセキュリティの技術を競い合う「キャプチャー・ザ・フラッグ(CTF)」というコンテストの常連参加者である。

世界各地で毎週のように何らかの大会が行われているが、最も権威ある大会は米国のDEFCON CTF。毎年春にオンライン予選が行われ、それを勝ち抜いたチームがラスベガスで決勝戦を繰り広げる。

パケット分析、プロトコル解析、システム管理、プログラミング、暗号解読など多くの課題があるが、中でも西俣氏の専門はバイナリファイルの解読だ。

EXEファイルやELFファイルなどの実行ファイルを解析して、意図的に埋め込まれた脆弱性を見つけ出し、エクスプロイトする。

NRIセキュアの社内チームを作って初めてCTFの国内予選に参加したのが、2012年。最初はぼろ負けだった。

企業や学校の枠に縛られない合同チームを結成することで、日本チームの2014年、2016年のDEFCON CTF決勝進出に貢献できたという。

「ハッキングというとネットワークへの侵入だけがクローズアップされがちですが、実は実行ファイルやアプリケーションの仕様をよく知っているか、実装の間違いをいかに発見できるかということこそがハッキングの本質。CTFで鍛えたバイナリ解析のスキルは今の仕事にダイレクトではないにしても、役立っていることはたしかです」

1 2次のページ
CodeIQ MAGAZINEの記事一覧をみる
  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。