ガジェット通信 GetNews

見たことのないものを見に行こう

カッティング・エッジ領域でセキュリティ技術を高める―NRIセキュアの挑戦とエンジニアたち

DATE:
  • ガジェット通信 GetNewsを≫

ペネトレーションテストで次世代自動車の安全性を評価

ラスベガスで開催されたセキュリティカンファレンス「BlackHat」で、ネットにつながった自動車(Jeep Cherokee)をハッキングする手法が専門家によって披露されたのは2015年のこと。

電子制御ユニットがハックされ、ドライバーの意思に反して急加速したり、燃料計を偽表示させる映像が世界を驚かせた。

一歩間違えれば人命にかかわる重大リスク。車のIT化や自動走行技術が注目を集める一方で、そのセキュリティ強化をめぐる新たな課題が浮上したのだ。

「遠隔地にいながらにネット越しに車を動かすという実証実験の例もあります。これまでの自動車はネットワークにつながっていなかったので、基本的には開発してリリースすればメーカーの仕事は一段落しました。

ところが、ネットワークに常時つながることによって、運用という新たなフェイズが生まれた。同時に、ITと同じレベルかそれ以上のセキュリティも求められるようになりました。脆弱性の管理やソフトウェアへのパッチの適用などを常に考えなくてはならなくなったのです」
と語るのは、NRIセキュアテクノロジーズの野口大輔氏だ。

NRIセキュアテクノロジーズ株式会社 上級セキュリティコンサルタント 野口 大輔氏

サイバーセキュリティ技術開発部の上級コンサルタントとして、主にIoT、中でも自動車のセキュリティ技術を研究し、自動車メーカーやサプライヤーに対してコンサルティングを行っている。
オープン化が進む車両システムに対するセキュリティ診断

自動車に限らず、すべてのモノがインターネットにつながり、データがネットワーク上で行き交う時代。IoTシステムやデバイスを狙ったサイバー攻撃の危険性は増している。

NRIセキュアのIoTセキュリティコンサルティングは、他社含めた動向・事例などを勘案した上で、企業戦略に適合したセキュリティ対策を提案するところに特長がある。

また、米国家道路交通安全局(NHTSA)のガイドラインでも提唱されている自動車のペネトレーションテストにおいて豊富なノウハウを持っているのも強みだ。

設計段階では机上での脅威分析により、リスクシナリオや侵入経路を洗い出す。また、出荷前の実際の車両や搭載機器については、ペネトレーションテスト(実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストする手法)を行い、セキュリティの評価・診断を行う。

「自動車のセキュリティ技術は、欧米やイスラエルが一歩先んじているのは事実。しかし日本も急ピッチでそこに追いつこうとしています。世界的にみても自動車セキュリティの専門家は少ない。

その中で私たちが存在感を示すには、カッティング・エッジの技術を主導していくことが重要。NRIセキュアが世界で初めて発見、分析し、その対策を講じたというようなモデルをこれから作っていこうと思います」と、野口氏は言う。

旗をつかめ──バイナリファイル解析でハッキングの本質を究める

カッティング・エッジの技術を生み出す──これは最近のNRIセキュアでは一種の標語のようになっている。西俣洋佑氏も、その先端で輝くエンジニアの一人。

技術開発部に移る前の8年間は、「セキュリティインシデント・レスポンスチーム(略称NCSIRT)」にいた。いわゆる「SOC(Security Operation Center)」。

エンジニアが24時間365日休むことなくネットワークやデバイスの監視をして、サイバー攻撃の検出と分析、対応策のアドバイスを行う組織だ。

NRIセキュアテクノロジーズ株式会社 セキュリティコンサルタント 西俣 洋佑氏

「アクセスログを集めて、サイバー攻撃に対するアラートを上げることは、それはそれで難しい技術です。膨大かつ多種類のログをハンドリングしなければなりませんし、複数の事象の相関性をみるためのロジックを作るのも、これはこれでテクニックが求められます。

ただ、どんなにセキュリティを完備してもすり抜けてくるものがある。これはエンジニアが自分の目で判断するしかない。顧客のサービスの特性に応じて発生するその顧客ならではの事象もあります。そうした経験値を活かして、顧客に最適化されたアラートを送ることが重要なのです」

西俣氏は社外ではもう一つの顔をもつ。コンピュータセキュリティの技術を競い合う「キャプチャー・ザ・フラッグ(CTF)」というコンテストの常連参加者である。

世界各地で毎週のように何らかの大会が行われているが、最も権威ある大会は米国のDEFCON CTF。毎年春にオンライン予選が行われ、それを勝ち抜いたチームがラスベガスで決勝戦を繰り広げる。

パケット分析、プロトコル解析、システム管理、プログラミング、暗号解読など多くの課題があるが、中でも西俣氏の専門はバイナリファイルの解読だ。

EXEファイルやELFファイルなどの実行ファイルを解析して、意図的に埋め込まれた脆弱性を見つけ出し、エクスプロイトする。

NRIセキュアの社内チームを作って初めてCTFの国内予選に参加したのが、2012年。最初はぼろ負けだった。

企業や学校の枠に縛られない合同チームを結成することで、日本チームの2014年、2016年のDEFCON CTF決勝進出に貢献できたという。

「ハッキングというとネットワークへの侵入だけがクローズアップされがちですが、実は実行ファイルやアプリケーションの仕様をよく知っているか、実装の間違いをいかに発見できるかということこそがハッキングの本質。CTFで鍛えたバイナリ解析のスキルは今の仕事にダイレクトではないにしても、役立っていることはたしかです」

CTF参加はあくまでも西俣氏の「趣味の社外活動」ではあるが、広く外部に開かれたCTF攻略のための勉強会には、会社が会場やノベルティを提供してサポートする。

昨年の勉強会で配ったノベルティ「ホワイトハッカ飴」はネーミングが好評だったそう。

「西俣君がやっていることは我々のコア技術を高めるためにも大切なこと。ハッカー西俣に追いつけ、追い越せという気運が特に若手エンジニアの間に生まれ、全体の技術力の底上げにつながっています」
と、直属の上司にあたる野口氏も、業務への間接的な貢献を評価する。

OpenIDの広がりに伴って発生するリスク。AI活用で不正アクセス検知

もう一人、カッティング・エッジな領域で活躍するエンジニアを紹介しよう。

ソリューションビジネス一部上級セキュリティエンジニアの大島修氏。野村総合研究所ではデータ統計解析パッケージ製品を開発していた。

NRIセキュアテクノロジーズ株式会社 上級セキュリティエンジニア 大島 修氏

セキュリティ技術とは縁遠かったが、3年前にNRIセキュアに異動になると、本格的に勉強を始めた。

現在はeコマースやネットバンキングなど消費者向けWebサービスの認証やID連携機能を提供する統合的なIDセキュリティソリューション「Uni-ID Libra」のプロダクトマネージャーを務める。

「消費者向けWebサービスは、OAuth2.0やOpenID ConnectなどのID連携の標準技術の発展により、利便性とセキュリティが向上しつつあります。ただ、その一方で、認証はいまだにパスワードに頼っているのが現状です。

多くの一般消費者は複数のサイトでIDとパスワードを使い回しているため、一度IDとパスワードがどこかのサイトから盗まれると、複数のサイトに不正にログインされて買い物をされたり、たまったポイントを使われてしまう。これはリスト型アカウントハッキングと呼ばれるもので、これによる被害が無視できないほど頻発しているからです」

「Uni-ID Libra」はCIAM(Customer Identity and Access Management)と呼ばれるソリューションで、ユーザーの利便性を損なわずに、セキュアな認証・アクセス制御を実現する。

例えば、ユーザーの利用端末、IPアドレス、接続元地域、利用時間といった特性をもとに、通常とは異なる振舞いを自動的に検知する。不正なアクセスが疑われる場合はユーザーにメールで通知したり、ログイン認証を2段階で行わせるような仕組みを備えている。

昨年、不正アクセス検知の単体機能のパッケージを世に送り出し、今年6月には機能を拡充した統合型パッケージをリリースする予定だ。

「不正アクセスの検知にあたっては、人工知能テクノロジーも使っています。既知の攻撃手法であればルールベースで十分判断できますが、未知の攻撃の検知については教師なし機械学習を活用しています。我々は時系列データ解析に向いている隠れマルコフモデルを利用しています」

「セキュリティの分野では、次々に現れる未知の攻撃への対処に機械学習を活用する余地は大きいはずです。しかし、ただ既存のありものを適用すればいいという分野ではありません。問題に応じて最適なモデル定義、与えるデータの選択を行う必要があります。使いこなせる人材をチームとしても増やしていきたい」と語る。

世界に際立つ尖ったエンジニアたちが、組織をモチベートする

「尖っているエンジニアが多い。セキュリティ分野で世界的にも知られるエンジニアもちらほらいるし、組織全体のモチベーションにつながる」
と、大島氏はNRIセキュアの職場を語る。

NRIセキュアテクノロジーズのオフィス

そうした野性味あふれるエンジニアたちが、プロジェクトをリードし、オープンソースコミュニティなどで活動することを、会社はむしろ率先して応援する風土がある。

開発手法についても、大手SIer系なので大規模システムをウォーターフォール型で開発するというイメージが強いが、実際はそんなことはない。

大島氏のチームが「Uni-ID Libra」を技術リサーチから含めわずか1年でリリースできたのも、アジャイル開発のノウハウがあったからだ。

「たしかに5年くらい前まではNRI本体も含めてウォーターフォール型が多かったのですが、私はNRIにいたころからアジャイルで開発してきました。特にパッケージ開発は、自分たちのリスクでマーケットに必要な機能を提供するというのがミッションなので、素早く必要な機能を開発していくアジャイルが適していると思います」

NRIセキュアにおけるアジャイル開発案件は増えており、大島氏が開発手法や開発組織のあり方について相談を持ちかけられることも少なくない。

現在、IT業界では開発担当者と運用担当者が連携して協力する開発手法「DevOps」が注目されているが、NRIセキュアではさらに一歩踏み込み、製品開発の上流工程にあらかじめセキュリティを考慮した設計を盛り込む「DevSecOps」を推進する。

開発手法についても業界の先端であり続けたいという願望がそこにはある。

ランサムウェアが依然として猛威をふるい、IoTセキュリティも本格的な取り組みが始まった今、セキュリティエンジニアの活躍に期待する声は高まる一方だ。

日本を代表し、グローバルレベルでも注目されるセキュリティベンダーの一つとして、NRIセキュアテクノロジーズが果たす役割も無限に広がっている。

(執筆:広重隆樹 撮影:刑部友康)

【PR】6/7(水)開催!現場が語る「IoT/AI時代のセキュリティ人材」

今回セキュリティ技術を語ってくれた、野口大輔氏と大島修氏がIoT/AI時代のセキュリティ人材を語るイベントが6/7(水)に開催されます。
開催日時:2017/06/07 (水) 19:00 ~ 20:30
開催場所:大手町フィナンシャルシティ グランキューブ 29F
開催内容:以下のとおり。詳細・お申し込みはこちらから!

 - 19:00 – 19:20:IoTデバイス×セーフティ コネクテッドカー時代に求められるセキュリティ人材
  (上級セキュリティコンサルタント 野口大輔氏)
 - 19:20 – 19:40:セキュリティ×AI:機械学習で変わる、振る舞い分析による不正検知への取組み
  (上級セキュリティエンジニア 大島修氏)
 - 19:40 – 20:00:パネルティスカッション「セキュリティ最前線での挑戦」
 - 20:00 – 20:30:懇親会

 ☆詳細・お申し込みはこちらから!☆


NRIセキュアテクノロジーズ公式サイト
NRIセキュアテクノロジーズ求人情報
SE経験が活かせる!【セキュリティ・スペシャリスト】求人情報

カテゴリー : デジタル・IT タグ :
CodeIQ MAGAZINEの記事一覧をみる ▶
  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。