名古屋大学 情報基盤センター 情報基盤ネットワーク研究部門 教授 高倉弘喜先生インタビュー「次世代ネットワークにおける持続的標的型攻撃の検出手法の開発」
年間に100億円かかっても守るべき価値があるのならよいのですが、売上10億円の中小企業が、100億円かけるわけにはいきませんね。
そこなのです。そこである程度しぼり込んだデータにして、リアルタイムとまではいかないにしても、1時間から2時間後には解析が済み、不正侵入にたいして報告ができるようになるという対策が有効だと考えています。
「膨大なデータのなかから、直感的に悪意ある攻撃を見つける才能も必要」と先生は他のインタビューでおっしゃっていますが…。
1分間に1000回の騙し討ち攻撃が行われ、それらに関る警報が流れ続けるなかで、本命の攻撃に関するたった1行の警報を「これはおかしい」と指摘できるような天才的な動体視力をもつ人物も現実にはいますが、そのような能力を指導して身につけさせることはできません。ネットワーク管理者の養成としては「不正侵入があるようだ」と気付くのが第一段階、実際にどのように動いているのかを知るのが第二段階というふうに、段階別に有効な対策を打ち出していく必要があります。海外、とくにアメリカの大学では、そのようなケーススタディ的な授業がすでに行われています。断片的な情報をもとにして、管理者がどのように適切な判断を下していくのか演習形式で学んでいるのです。セキュリティ対策では、ひとりの天才よりも、ある程度知識と技術をもった平均的な人材を多く育てなければなりません。
つまり、今回のセコム科学技術振興財団での研究テーマでは、標準的なウイルス駆除ソフトを作るというだけではなく、人材の養成まで含まれていると。
はい。攻撃するのはあくまでも人間です。いつまでも同じ方法で攻めてきません。標準的なソフトを作ってオートマティックにやると、かならず弱点をつかれるという限界がでてきます。ですからまずは、一日数万件はあがってくる不正侵入らしきデータを、100件程度の優先度の高いものに、しぼりこむ仕組みを作る。すると、あとは一人の担当者が目視で対応できる範囲になります。
昔は、リアルタイムの警報ログのようなものを、担当者がパソコン画面だけ見つめていれば大丈夫、という時代もありましたが、いまでは件数が多すぎてさすがに無理です。ですから再三申し上げたように、ソフトをつくって自動化すれば安全だという話ではなく、最後には「人による目視」で補うことが不可欠です。
昔は、リアルタイムの警報ログのようなものを、担当者がパソコン画面だけ見つめていれば大丈夫、という時代もありましたが、いまでは件数が多すぎてさすがに無理です。ですから再三申し上げたように、ソフトをつくって自動化すれば安全だという話ではなく、最後には「人による目視」で補うことが不可欠です。
先生の研究テーマを、最初はまったく理解できませんでしたが、何となく分かってきました。
そうですね。ネットワークセキュリティの世界は、専門外の方に数式やプログラムで説明さしあげても理解不能になりますから、イメージで鞫曹ナいただくのが一番よいと思うのです。私の今回の研究は「次世代ネットワークにおける持続的標的型攻撃の検出手法の開発」なのですが、誤解を怖れず言ってしまうと「これは危ないよ」と解析して、セキュリティ対応すべきものを順位付けしてくれる仕組みをつくり、そのための人材を養成する、というひじょうに「曖昧」で「不完全」なものなのです。
「曖昧」で「不完全」とはどういうことでしょうか。
セキュリティという分野で、完全を期そうとすると、逆におかしなものができあがってしまいます。たとえば、最近のマルウェアには暗号がかかっている場合があります。それが先述したように、メールをやりとりするなかで、添付されたワードファイルに仕込まれていたりするのですが、その暗号を一日かけて解読するソフトをつくり「それみろ、このワードファイルは、こんな悪さをするマルウェアだった」とするのは、お金と時間をかけた単なる自己満足にすぎません。いかに短時間で、不完全な状態のままでマルウェアと特定するか、また、マルウェアだとして新種なのか否かを判定するほうが重要です。詳細な解析は、その後、必要な技術であり、今回の研究とはスコープが違うのです。
また、先ほども少しふれたように、完全なネットワークシステムを組もうとすれば多額の費用がかさみます。それよりもワードファイルのなかにおかしなプログラムが含まれている、というものだけを検知してくれる単純なシステムを組み、その動きを管理者が目視でウオッチしておけばいいと思うのです。関西系の研究者は、この不完全な仕組みを「そこそこセキュリティ」と呼んでいます(笑)。
また、先ほども少しふれたように、完全なネットワークシステムを組もうとすれば多額の費用がかさみます。それよりもワードファイルのなかにおかしなプログラムが含まれている、というものだけを検知してくれる単純なシステムを組み、その動きを管理者が目視でウオッチしておけばいいと思うのです。関西系の研究者は、この不完全な仕組みを「そこそこセキュリティ」と呼んでいます(笑)。
それとともに、ネットワークセキュリティに精通した人材の養成こそが、この研究テーマの核だというわけですね。
ただし「セキュリティの専門家」を養成するだけが目的ではありません。「セキュリティの意識をもったエンジニア」が育成できればよい、と考えています。といいますのは、いまの工業製品は、エンジニアが知らない間に、その製品自体がネットにつながっており、さまざまな攻撃をうける対象となってしまっているからです。
たとえば、スマホから操作できるエアコン、地デジテレビといったものも対象になるのでしょうか。私たち一般人からすると、家電がネットでどんどんつながっていくというのは、便利になっていく気がするのですが、手放しで喜べる事態ではないと。
家電全体があぶないですね。たとえば地デジテレビやその録画機ですと、多くのものにはリナックスというOSが組み込まれ、それも1998年頃のような相当古いバージョンだったりします。地デジテレビは、昔とは違い、起動に何秒か時間がかかりますよね。その間にOSが起動しているからです。OSがあるということは、乗っ取りの対象になりますし、普通のパソコンと同じように、そこを踏み台にして、さまざまな攻撃が可能になってしまうのです。つまり、これらの製品の開発エンジニアには、ネットワークセキュリティの知識が必要です。このように、パソコンのネットワーク以外のセキュリティ対策も今回の助成でのテーマとして研究を進めています。
たとえば、スマホから操作できるエアコン、地デジテレビといったものも対象になるのでしょうか。私たち一般人からすると、家電がネットでどんどんつながっていくというのは、便利になっていく気がするのですが、手放しで喜べる事態ではないと。
家電全体があぶないですね。たとえば地デジテレビやその録画機ですと、多くのものにはリナックスというOSが組み込まれ、それも1998年頃のような相当古いバージョンだったりします。地デジテレビは、昔とは違い、起動に何秒か時間がかかりますよね。その間にOSが起動しているからです。OSがあるということは、乗っ取りの対象になりますし、普通のパソコンと同じように、そこを踏み台にして、さまざまな攻撃が可能になってしまうのです。つまり、これらの製品の開発エンジニアには、ネットワークセキュリティの知識が必要です。このように、パソコンのネットワーク以外のセキュリティ対策も今回の助成でのテーマとして研究を進めています。
最後に財団へのメッセージをお願いします。
セコム科学技術振興財団の研究費というのは、自由度が高いのがメリットのひとつだと思います。その意味では、10年先を見越して、社会の発展に大きく寄与できる研究をしてもらいたいなと願います。いま他の助成金というのは、結果を早く求める傾向があります。たとえば「3年後には実験を成功させ、5年後には製品化」などです。もちろん、国民の税金を使ってのことですから、結果を出さねばならないのは、当然のことです。ですが、あまりに志向が短期的になると「いまある技術を少しだけ改善したり、組合せたりして急場をしのぐ」というような小手先のテクニックに走ってしまいがちになります。日本の科学技術の研究者、技術者というのは海外から見て「そこまでやるか」というぐらい緻密な技術開発を極め、経済的発展の後押ししてきました。
一つの目安としては「現状では無理だ。オーバースペックだ」と思われるぐらいでちょうどよいと思います。なぜなら、いまオーバースペックだと思われる研究でも10年後には、オーバースペックでなくなるからです。それぐらいの気概をもって、研究を進めてもらえたらと望んでいます。
一つの目安としては「現状では無理だ。オーバースペックだ」と思われるぐらいでちょうどよいと思います。なぜなら、いまオーバースペックだと思われる研究でも10年後には、オーバースペックでなくなるからです。それぐらいの気概をもって、研究を進めてもらえたらと望んでいます。