名古屋大学 情報基盤センター 情報基盤ネットワーク研究部門 教授 高倉弘喜先生インタビュー「次世代ネットワークにおける持続的標的型攻撃の検出手法の開発」
情報セキュリティの世界は、一般の人には数式やプログラムの複雑さばかりが目につき、どのような研究が行われているのか、理解しがたいのが現状です。しかし、現状の「悪意ある攻撃状況」を知り、私達が所属する組織の情報セキュリティ対策を理解しておくことは誰しも必要なことに違いありません。高倉弘喜先生は、現在のネットワークセキュリティ研究の創生期からかかわってこられたご経験を活かし「この世界の現状を、一般の人が理論で理解するのは難しく、イメージで鞫曹セほうが得策」と述べられています。名古屋大学キャンパスにて、お話をお聞きしてきました。
「助成研究者個人ページへ」
平成2年九州大学工学部情報工学科卒業、平成4年九州大学大学院工学研究科情報工学専攻修士課程修了、平成7年京都大学大学院工学研究科情報工学専攻博士後期課程修了。博士(工学)。京都大学研究員(同時に米国イリノイ州立大学訪問研究員)、奈良先端科学技術大学院大学助手、京都大学講師・助教授(准教授)を経て、平成22年より名古屋大学教授。現在、名古屋大学情報基盤センターにおいて、情報セキュリティ、次世代ネットワークの実践的研究に従事。また、内閣官房情報セキュリティセンター、総務省、経済産業省、情報処理推進機構などにおいて情報セキュリティに関連する委員会委員など。情報処理学会、電子情報通信学会、地理情報学システム会、システム制御情報学会、Association for Computing Machinery各会員。高倉先生のご専門についてお聞かせください。
情報セキュリティです。いまは主に標的型攻撃といわれるものの対策をテーマとしています。これまでのサイバー攻撃では、不特定多数に対してマルウェア(有害な動作を行う意図で作成された悪意のあるコンピュータウイルス、ワーム、スパイウェアなどソフトウェアやコードの総称)と呼ばれるものが大量にばらまかれていました。これは、攻撃者は単に誰かが感染してくれればよいという目的を持っていたためで、これらに対処するのが私たちの主たる役割でした。いまは、違います。特定の人物、たとえばA株式会社、B県、C大学など秘密や重要な情報にアクセスする権限を持っている人に標的を定め、狙い撃ちにしてくるのです。
その標的型攻撃といわれるものの特徴は何ですか。
皆さんもご存じだと思いますが、不特定多数に対するマルウェアは、一度に広まってしまい、すぐにサンプルが捕獲され解析されますので、市販のセキュリティソフトなどで対処できます。ですが、標的型攻撃では、いってみれば狙った企業や人物に合わせたオリジナルのマルウェアで攻撃してくるわけで、サンプルの確保が難しいのです。それらは市販のセキュリティソフトでは、防御不可能です。
防御不可能ということは、内部のネットワークに侵入されてしまう、ということでしょうか。
はい。これまでの常識としては、セキュリティを強化すれば、外部から侵入を許すことはない──という前提がありました。ですが、いまやこの前提は間違いとなりました。現実には、ファイアーウオールのような防御壁、ウイルス駆除ソフトによる検査を簡単にすり抜けてなかに入ってくるのです。その後も巧妙です。我々のような管理者に見つからないように「さわがず」「静かに」調べてまわります。目的とするファイルを見つけると、管理者に気付かれる前に、一気に攻撃を仕掛け、サッと持ってしまいます。まるで万引きのようです。そのような攻撃が主流になってきているので、一般の方には、セキュリティに対するこれまでの常識を変えていただかないといけないのです。
有効な対処法はあるのでしょうか。
内部での感染を察知したとき、どのように対処すればいいのかというと、じつは、いきなり駆除すると「逆効果」になってしまうこともあるのです。攻撃が見えている間は「泳がせておく」のが基本です。なぜなら、すぐに駆除してしまうと、彼らも賢いですから、さらに巧妙に姿を隠して、潜入してくるからです。
ですから、私の現在の研究対象は「外部からの不正アクセスをぜったいに侵入させない」ためのものではなく、どのようにしてウイルスを見つけるのか、見つけたウイルスをどのくらい放置してどのような情報を集めるのか、その後どのタイミングで駆除するか、そのために必要な管理者の技術と知識の向上教育という、大きな戦略を含めたセキュリティ対策です。
ですから、私の現在の研究対象は「外部からの不正アクセスをぜったいに侵入させない」ためのものではなく、どのようにしてウイルスを見つけるのか、見つけたウイルスをどのくらい放置してどのような情報を集めるのか、その後どのタイミングで駆除するか、そのために必要な管理者の技術と知識の向上教育という、大きな戦略を含めたセキュリティ対策です。
高倉先生がこの分野を目指された、直接のきっかけは何でしょうか。
もともとはデータベースについて研究しており、その過程でGIS(地理情報システム)を元に、携帯電話などのモバイルデバイスを使う匿名性の高い決済システム方法を開発しようとしておりました。そこで検証用のシステムをキャンパスネットワークに構築して実験をはじめたのですが、思わぬ問題に直面しました。そのキャンパスネットワークは学外からマルウエアによる攻撃を頻繁に受けており、危なくて運用できないのです。そこで、キャンパスネットワーク担当の先生にお願いに上がりました。「サーバのセキュリティを強化してもらえませんでしょうか。ネットワークがサイバー攻撃に曝された状況では危なくて研究を進めることができません」と。すると、その先生は「高倉君。“言い出しっぺの法則”って知ってる? 誰かがやってくれるのを皆待ってたんや」と、その流れで大学のセキュリティ担当の助教授に推薦されてしまったのです。これは京都大学にいた時期ですから、ちょうど2000年頃のことです。
その時期、日本の各省庁のホームページが外部から改竄される事件が多発していました。
それまではセキュリティに対する一般的な認識というものは、パソコンショップで、ウイルス駆除ソフトを購入して、インストールすればいい──という今の感覚では信じ難い常識がまかり通っており、学問としての研究対象とはとらえられておりませんでした。
また後から判ったことですが「インターネットが社会に必要不可欠なインフラとして整備されると、必ず不正に利用しようという人達がでてくる、この問題に備えた研究を今のうちから始めなければいけない」という認識を京都大学がもっていて、学内担当者を捜し始めていたのです。
また後から判ったことですが「インターネットが社会に必要不可欠なインフラとして整備されると、必ず不正に利用しようという人達がでてくる、この問題に備えた研究を今のうちから始めなければいけない」という認識を京都大学がもっていて、学内担当者を捜し始めていたのです。
そこで直訴に行かれた高倉先生に白羽の矢が立ったと。
ではその要請に応じて研究をはじめたのだから恵まれていましたね、と単純に思われるかもしれませんが、そのお話を実際にお引き受けするというのは、簡単な決断ではありませんでした。セキュリティを担当するということは、これまでとは全く異なる研究ですので、今までの研究が続けられない、しかも当時そういう研究分野は未開拓でしたから、教員としてのキャリアパスは大丈夫かという不安が大きかったです。私よりも5歳年上の研究者の方だと、大学にポジションを確保するのはほぼ不可能でしたから。
また、関西にネットワークセキュリティの優秀な研究者が集まっていたように思うのですが。
じつは、関東を中心とした研究者の中では「暗号」が主流でした。戦前からの研究の流れもありますので「セキュリティ=暗号」となっていたのです。暗号を研究することも重要ですが、それだけでは限界があります。私がこの分野で身を立てようと志したときに、たまたま関西において、新しいセキュリティ分野を模索する研究者が大勢あつまっていました。私の在籍した京都大学をはじめ、大阪大学、奈良先端科学技術大学院大学、北陸先端科学技術大学院大学などです。これらの研究者が一致団結して研究をすすめることができたことも強みでした。