CodeIQ MAGAZINECodeIQ MAGAZINE

カッティング・エッジ領域でセキュリティ技術を高める―NRIセキュアの挑戦とエンジニアたち

2017.06.02 Category:インタビュー Tag: , , , ,

  • 20
  • このエントリーをはてなブックマークに追加

野村総合研究所(NRI)グループの情報セキュリティ専門会社として知られるNRIセキュアテクノロジーズ。
顧客企業が抱えるセキュリティ課題を「ワンストップ」で解決するため、最新のテクノロジーを武器にコンサルティングとソリューションの両方を提供し、高い評価を得ている。専門技術者の顔ぶれもそうそうたるもの。その素顔に迫った。
by 馬場美由紀 (CodeIQ中の人)

ペネトレーションテストで次世代自動車の安全性を評価

ラスベガスで開催されたセキュリティカンファレンス「BlackHat」で、ネットにつながった自動車(Jeep Cherokee)をハッキングする手法が専門家によって披露されたのは2015年のこと。

電子制御ユニットがハックされ、ドライバーの意思に反して急加速したり、燃料計を偽表示させる映像が世界を驚かせた。

一歩間違えれば人命にかかわる重大リスク。車のIT化や自動走行技術が注目を集める一方で、そのセキュリティ強化をめぐる新たな課題が浮上したのだ。

「遠隔地にいながらにネット越しに車を動かすという実証実験の例もあります。これまでの自動車はネットワークにつながっていなかったので、基本的には開発してリリースすればメーカーの仕事は一段落しました。

ところが、ネットワークに常時つながることによって、運用という新たなフェイズが生まれた。同時に、ITと同じレベルかそれ以上のセキュリティも求められるようになりました。脆弱性の管理やソフトウェアへのパッチの適用などを常に考えなくてはならなくなったのです」
と語るのは、NRIセキュアテクノロジーズの野口大輔氏だ。

NRIセキュアテクノロジーズ株式会社 上級セキュリティコンサルタント 野口 大輔氏

サイバーセキュリティ技術開発部の上級コンサルタントとして、主にIoT、中でも自動車のセキュリティ技術を研究し、自動車メーカーやサプライヤーに対してコンサルティングを行っている。

自動車に限らず、すべてのモノがインターネットにつながり、データがネットワーク上で行き交う時代。IoTシステムやデバイスを狙ったサイバー攻撃の危険性は増している。

NRIセキュアのIoTセキュリティコンサルティングは、他社含めた動向・事例などを勘案した上で、企業戦略に適合したセキュリティ対策を提案するところに特長がある。

また、米国家道路交通安全局(NHTSA)のガイドラインでも提唱されている自動車のペネトレーションテストにおいて豊富なノウハウを持っているのも強みだ。

設計段階では机上での脅威分析により、リスクシナリオや侵入経路を洗い出す。また、出荷前の実際の車両や搭載機器については、ペネトレーションテスト(実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストする手法)を行い、セキュリティの評価・診断を行う。

「自動車のセキュリティ技術は、欧米やイスラエルが一歩先んじているのは事実。しかし日本も急ピッチでそこに追いつこうとしています。世界的にみても自動車セキュリティの専門家は少ない。

その中で私たちが存在感を示すには、カッティング・エッジの技術を主導していくことが重要。NRIセキュアが世界で初めて発見、分析し、その対策を講じたというようなモデルをこれから作っていこうと思います」と、野口氏は言う。

旗をつかめ──バイナリファイル解析でハッキングの本質を究める

カッティング・エッジの技術を生み出す──これは最近のNRIセキュアでは一種の標語のようになっている。西俣洋佑氏も、その先端で輝くエンジニアの一人。

技術開発部に移る前の8年間は、「セキュリティインシデント・レスポンスチーム(略称NCSIRT)」にいた。いわゆる「SOC(Security Operation Center)」。

エンジニアが24時間365日休むことなくネットワークやデバイスの監視をして、サイバー攻撃の検出と分析、対応策のアドバイスを行う組織だ。

NRIセキュアテクノロジーズ株式会社 セキュリティコンサルタント 西俣 洋佑氏

「アクセスログを集めて、サイバー攻撃に対するアラートを上げることは、それはそれで難しい技術です。膨大かつ多種類のログをハンドリングしなければなりませんし、複数の事象の相関性をみるためのロジックを作るのも、これはこれでテクニックが求められます。

ただ、どんなにセキュリティを完備してもすり抜けてくるものがある。これはエンジニアが自分の目で判断するしかない。顧客のサービスの特性に応じて発生するその顧客ならではの事象もあります。そうした経験値を活かして、顧客に最適化されたアラートを送ることが重要なのです」

西俣氏は社外ではもう一つの顔をもつ。コンピュータセキュリティの技術を競い合う「キャプチャー・ザ・フラッグ(CTF)」というコンテストの常連参加者である。

世界各地で毎週のように何らかの大会が行われているが、最も権威ある大会は米国のDEFCON CTF。毎年春にオンライン予選が行われ、それを勝ち抜いたチームがラスベガスで決勝戦を繰り広げる。

パケット分析、プロトコル解析、システム管理、プログラミング、暗号解読など多くの課題があるが、中でも西俣氏の専門はバイナリファイルの解読だ。

EXEファイルやELFファイルなどの実行ファイルを解析して、意図的に埋め込まれた脆弱性を見つけ出し、エクスプロイトする。

NRIセキュアの社内チームを作って初めてCTFの国内予選に参加したのが、2012年。最初はぼろ負けだった。

企業や学校の枠に縛られない合同チームを結成することで、日本チームの2014年、2016年のDEFCON CTF決勝進出に貢献できたという。

「ハッキングというとネットワークへの侵入だけがクローズアップされがちですが、実は実行ファイルやアプリケーションの仕様をよく知っているか、実装の間違いをいかに発見できるかということこそがハッキングの本質。CTFで鍛えたバイナリ解析のスキルは今の仕事にダイレクトではないにしても、役立っていることはたしかです」

CTF参加はあくまでも西俣氏の「趣味の社外活動」ではあるが、広く外部に開かれたCTF攻略のための勉強会には、会社が会場やノベルティを提供してサポートする。

昨年の勉強会で配ったノベルティ「ホワイトハッカ飴」はネーミングが好評だったそう。

「西俣君がやっていることは我々のコア技術を高めるためにも大切なこと。ハッカー西俣に追いつけ、追い越せという気運が特に若手エンジニアの間に生まれ、全体の技術力の底上げにつながっています」
と、直属の上司にあたる野口氏も、業務への間接的な貢献を評価する。

OpenIDの広がりに伴って発生するリスク。AI活用で不正アクセス検知

もう一人、カッティング・エッジな領域で活躍するエンジニアを紹介しよう。

ソリューションビジネス一部上級セキュリティエンジニアの大島修氏。野村総合研究所ではデータ統計解析パッケージ製品を開発していた。

NRIセキュアテクノロジーズ株式会社 上級セキュリティエンジニア 大島 修氏

セキュリティ技術とは縁遠かったが、3年前にNRIセキュアに異動になると、本格的に勉強を始めた。

現在はeコマースやネットバンキングなど消費者向けWebサービスの認証やID連携機能を提供する統合的なIDセキュリティソリューション「Uni-ID Libra」のプロダクトマネージャーを務める。

「消費者向けWebサービスは、OAuth2.0やOpenID ConnectなどのID連携の標準技術の発展により、利便性とセキュリティが向上しつつあります。ただ、その一方で、認証はいまだにパスワードに頼っているのが現状です。

多くの一般消費者は複数のサイトでIDとパスワードを使い回しているため、一度IDとパスワードがどこかのサイトから盗まれると、複数のサイトに不正にログインされて買い物をされたり、たまったポイントを使われてしまう。これはリスト型アカウントハッキングと呼ばれるもので、これによる被害が無視できないほど頻発しているからです」

「Uni-ID Libra」はCIAM(Customer Identity and Access Management)と呼ばれるソリューションで、ユーザーの利便性を損なわずに、セキュアな認証・アクセス制御を実現する。

例えば、ユーザーの利用端末、IPアドレス、接続元地域、利用時間といった特性をもとに、通常とは異なる振舞いを自動的に検知する。不正なアクセスが疑われる場合はユーザーにメールで通知したり、ログイン認証を2段階で行わせるような仕組みを備えている。

昨年、不正アクセス検知の単体機能のパッケージを世に送り出し、今年6月には機能を拡充した統合型パッケージをリリースする予定だ。

「不正アクセスの検知にあたっては、人工知能テクノロジーも使っています。既知の攻撃手法であればルールベースで十分判断できますが、未知の攻撃の検知については教師なし機械学習を活用しています。我々は時系列データ解析に向いている隠れマルコフモデルを利用しています」

「セキュリティの分野では、次々に現れる未知の攻撃への対処に機械学習を活用する余地は大きいはずです。しかし、ただ既存のありものを適用すればいいという分野ではありません。問題に応じて最適なモデル定義、与えるデータの選択を行う必要があります。使いこなせる人材をチームとしても増やしていきたい」と語る。

世界に際立つ尖ったエンジニアたちが、組織をモチベートする

「尖っているエンジニアが多い。セキュリティ分野で世界的にも知られるエンジニアもちらほらいるし、組織全体のモチベーションにつながる」
と、大島氏はNRIセキュアの職場を語る。

NRIセキュアテクノロジーズのオフィス

そうした野性味あふれるエンジニアたちが、プロジェクトをリードし、オープンソースコミュニティなどで活動することを、会社はむしろ率先して応援する風土がある。

開発手法についても、大手SIer系なので大規模システムをウォーターフォール型で開発するというイメージが強いが、実際はそんなことはない。

大島氏のチームが「Uni-ID Libra」を技術リサーチから含めわずか1年でリリースできたのも、アジャイル開発のノウハウがあったからだ。

「たしかに5年くらい前まではNRI本体も含めてウォーターフォール型が多かったのですが、私はNRIにいたころからアジャイルで開発してきました。特にパッケージ開発は、自分たちのリスクでマーケットに必要な機能を提供するというのがミッションなので、素早く必要な機能を開発していくアジャイルが適していると思います」

NRIセキュアにおけるアジャイル開発案件は増えており、大島氏が開発手法や開発組織のあり方について相談を持ちかけられることも少なくない。

現在、IT業界では開発担当者と運用担当者が連携して協力する開発手法「DevOps」が注目されているが、NRIセキュアではさらに一歩踏み込み、製品開発の上流工程にあらかじめセキュリティを考慮した設計を盛り込む「DevSecOps」を推進する。

開発手法についても業界の先端であり続けたいという願望がそこにはある。

ランサムウェアが依然として猛威をふるい、IoTセキュリティも本格的な取り組みが始まった今、セキュリティエンジニアの活躍に期待する声は高まる一方だ。

日本を代表し、グローバルレベルでも注目されるセキュリティベンダーの一つとして、NRIセキュアテクノロジーズが果たす役割も無限に広がっている。

(執筆:広重隆樹 撮影:刑部友康)

【PR】NRIセキュアテクノロジーズがエンジニア積極採用中!

  • 20
  • このエントリーをはてなブックマークに追加

■関連記事

LINE CTO朴イビン氏に聞く──LINEはクラウドAIプラットフォーム「Clova」で何をするの... LINEとNAVERの技術を集大成である「Clova」と「WAVE」 LINEは2017年9月28日、渋谷のヒカリエホールで「LINE DEVELOPER DAY 2017」を開催した。 コミュニケーションアプリ「LINE」をはじめ、LINEのさまざまなサービスにおける技術領域でのチャレンジや社...
授業中にLINEチャットで教え合う自由教室「Mitchy」に男泣き!_... 「LINE BOT AWARDS」学生部門グランプリ「Mitcthy」チームに突撃! ※本企画はLINE株式会社の提供でお送りします。 「Mitcthy」チームと語り足りない2時間談義 CodeIQ馬場です(略してババQとか、BBQ)。 今回、若狭氏と男泣き紹介するのは、「LIN...
ハンディキャップを持つ人をLINE Beaconとchatbotでサポートする“アンドハンド”に男泣... 「LINE BOT AWARDS」グランプリのアンドハンドチームに突撃取材! ※本企画はLINE株式会社の提供でお送りします。 「大日本印刷」「東京メトロ」「LINE」と連携して事業化へ CodeIQ馬場です(略してババQとか、BBQ)。 前回の「LINE BOT AWARDSの...
VRエキスパートたちが語った、非ゲーム業界のVRテクノロジーとビジネスの可能性は?_... VRエキスパートたちが語る、ビジネスの現状と未来 ※本企画は株式会社Psychic VR Labの提供でお送りします。 都内では常設や期間限定でのVR体験施設が昨年から、続々オープンしています。 そのせいもあり「VR=ゲーム」のイメージが強いですが、VRは非ゲーム分野でも広がっています。ゲーム...
ロバート・タージャン氏を直撃取材―IntertrustはLINEのセキュリティ技術に何をもたらすか?... LINEとIntertrust社が共同でセキュリティ・サミットを開催 LINEは、Intertrust Technologies Corporation(本社:カリフォルニア州、以下:Intertrust)と共催で、アプリケーションセキュリティおよびデータプライバシー強化ソリューションの促進を目的...
池澤あやか直撃!─社会人1年生が、エイベックスの音楽配信プラットフォームを作っちゃった!?... アマチュアアーティストやクリエイター向けの音楽配信プラットフォーム 池澤:まずは、スマートソーシャルさんの事業内容について教えてください。 小田倉:現在はWebシステムやスマホアプリの受託開発を中心とするソリューション事業、ヒューマンリソース事業、マーケティング事業──この三本柱で事業を展開...

今週のPickUPレポート

新着記事

週間ランキング

CodeIQとは

CodeIQ(コードアイキュー)とは、自分の実力を知りたいITエンジニア向けの、実務スキル評価サービスです。

CodeIQご利用にあたって
関連サイト
codeiq

リクルートグループサイトへ