藤井 康広(システムイノベーションセンタ セキュリティ研究部 ユニットリーダ主任研究員)
近藤 賢郎(慶應義塾インフォメーションテクノロジーセンター 助教)
突発的に起こるサイバー攻撃。ネットワークやシステムをこうしたインシデントから守ることは、セキュリティオペレーションにとって不可欠の要件だ。しかし、大規模化し巧妙になる攻撃を、自分の組織だけで守り抜くのは難しい。日立製作所と慶應義塾大学は共同で、インシデントが発生したときに複数の組織が連携して自動的にセキュリティオペレーションを実行できる新手法を開発した。日立製作所でセキュリティ分野の研究を行う主任研究員の藤井 康広と、慶應義塾インフォメーションテクノロジーセンターの近藤 賢郎氏に、「日立と慶應」の協創が生み出したセキュリティオペレーションの新しい姿について語ってもらった。
(2018年9月12日 公開)
藤井今は日立製作所のシステムイノベーションセンタでセキュリティ研究部に属して、セキュリティ分野の研究開発をしているが、学生時代からセキュリティに携わっていたわけではなかった。学生時代の専攻は理論物理学だった。当時、数学をやっている人たちの間で、金融工学やセキュリティの暗号への数学の応用が流行になっていた。就職活動をしていく中で、金融は肌に合わないと感じ、セキュリティの道を選んで現在に至っている。
日立製作所に入社してからは、暗号など数学を駆使した研究開発ではなく、よりビジネスに近い分野を担当することになった。理論だけではなく、実際に世の中に役に立つことをやりたいと思う気持ちがあったので、この進路は向いていたのだと思う。当初は電子透かしやコンテンツを守るセキュリティソリューション「秘文」といった「情報漏洩からコンテンツを守る」ための研究開発が主流だった。ところが5年ほど前から、セキュリティの運用やマルウェア対策、サイバー攻撃対策といった「凶悪なものから守る」部分へと研究開発の中心がシフトしてきた。
近藤日立と慶應の共同研究において、慶應技術インフォメーションテクノロジーセンター(ITC)側の実動メンバーである。ITC本部で仕事をしつつ、慶應義塾の大学院理工学研究科博士課程3年生としての研究活動も並行している。専門はコンピュータサイエンスやコンピュータネットワーキングで、まとまった言い方をすると「インターネット工学」という分野になる。インターネットが「工学」という学問になってきている中で、その研究に取り組んでいる。
2017年4月にITC本部に赴任したことがきっかけになり、セキュリティと直接向き合うようになった。それまでも、相手が誰かを確認する「認証」や、アクセス権限を与える「認可」といったセキュリティの基本的な仕組みの研究はしていたが、クラッカーの攻撃から組織を守るセキュリティオペレーションに本格的に取り組んだのはそのときが始めてだった。日立との共同研究により、攻撃者からシステムやネットワークを守るための新しい運用の形の模索が始まった。
藤井サイバーセキュリティに関する日立と慶應の共同研究のスタートは、2016年3月に遡る。当時の日立の経営幹部と慶應の村井先生(村井純氏、環境情報学部教授、政策・メディア研究科委員長)の間で、一緒にサイバーセキュリティに関する研究をしようと話がまとまった。共同研究では当時3つ、現在5つのワーキンググループ(WG)が設けられ、その中のメインとなるWG1が、私たちがかかわっているセキュリティオペレーションの研究グループになる。
机上論ではなく、実際のインシデント事故やマルウェア被害に対して、慶應のITCでどのように運用しているのかというデータを使って、研究の形に昇華していくことが目的だ。研究成果として技術が確立できたら、慶應や日立の実際の運用にフィードバックし、実際のシステムやネットワークで運用して効果を上げることをめざした。しかし、実際には共同研究で成果を上げるのは難しい。月に1回に定例会議を設けるだけでは研究は具体化しない。
近藤2017年4月になって私がWG1に呼ばれた。研究に専念できる若手をメンバーに加えることで、密な議論を行いながら研究を加速させようという目論見だったのだろう。
慶應の学生や教員が使う教育研究系のネットワークの特徴として、インターネットにつながるネットワークであっても、攻撃を遮断するフィルターなどを入れないというポリシーがある。企業や団体の多くのネットワークでは、内部のネットワークに入るにはフィルターを通過しないとならないが、慶應のネットワークには外部から自由にアクセスできる。そのため、原則的にクラッカーからの攻撃を慶應のネットワークでは観測し放題ということになり、企業のネットワークでは観測できない事象が観測できる貴重な場である。
藤井日立にとっても、慶應のオープンなネットワーク環境は、実務に近いセキュリティオペレーションの研究にとって、またとないフィールドだった。
近藤体制の変化があり、慶應のオープンなネットワーク環境から得られるデータを活用してセキュリティオペレーションの研究を具体化しようとした矢先に、衝撃的な事態に見舞われた。それが2017年5月に起きた、身代金型攻撃を仕掛けるランサムウェア「WannaCry」の大流行だった。
大流行の1カ月ほど前には、トレンドマイクロ社がWannaCryに対する警告を出していた。実は、トレンドマイクロ社の警告の1カ月ほど前に慶應のネットワークでは異常な振る舞いを示す「アノマリー」が見つかっていた。脆弱性があることや、そこを狙ったクラッキングの活動が増加していることを観測していたのだ。しかし、その時にはリアルタイムでランサムウェアの攻撃に対する対応はできなかった。後追いで確認したところ、データが攻撃を示していたというわけだ。リアルタイムに対応できていれば、世界中でこんなに大事にならなくて済んだかもしれない、そういう思いが高まった。
藤井WannaCryの流行があって、WG1の雰囲気が明らかに変わった。それまで大学の先生を含めて抽象論で議論してきたが、実際の出口やその効果がはっきりとわかってきた。
近藤異常検知をリアルタイムでできるようにして、それをセキュリティのオペレーションに反映できれば、WannaCryのようなクラッキングの被害を防げる。アノマリーを見つけたら、セキュリティオペレーションに自動的にフィードバックできる具体的な仕組みづくりを、日立と慶應の共同研究で進めることになった。
近藤WG1のターゲットは「世界ナンバーワンのセキュリティオペレーション技術を開発する」ことだ。WannaCryのようなアノマリーが検知されたとき、自動的にセキュリティオペレーションに反映できることも目標の1つとなる。インシデント時のセキュリティ対応を自動化する「セキュリティーオートメーション」という考え方だ。
藤井それでは、WG1のテーマであるセキュリティオペレーションの高度化を考えた時に、どのように手を打ったら良いか。その1つのアイデアが、分散型セキュリティオペレーションだった。
分散型セキュリティオペレーションとは、1つの組織が中央集権的にセキュリティオペレーションを担うセキュリティオペレーションセンター(SOC)になるのではなく、SOCの機能を分散していろいろな組織でお互いを守り合うもの。自分だけで守るのではなく、他の組織の力を借りながら、情報共有してお互いを守るという考え方である。日立だけでインシデントに対応しきれないときは、慶應のリソースを使って守り合うというもので、セキュリティオペレーションの協創とも言える。
近藤日立と慶應のコラボレーションは、単に相互に守り合うということだけでなく、一歩進んだ協創の形を実現することをめざした。
ネットワークが観測できるデータや、その情報を検知、分析できる技術は、それぞれの組織によって異なる。例えば、学術向けのISP(インターネットサービスプロバイダー)である「WIDEプロジェクト」のネットワークは、ネットワーク資源を多く持っている。IPアドレスを多く保有しているため、その中には接続する機器が割り当てられていないIPアドレス空間である「ダークネット」を作ることができ、ダークネットへの攻撃の情報を得ることができる。慶應のネットワークは、WIDEに接続しながら、フィルターをかけずに運用しているため、企業のネットワークでは得られない情報が入手できる。
藤井一方で日立は、マルウェアの解析システムである「M3AS」(Multimodal Malware Analysis System、多種環境マルウェア動的解析システム)を開発し、高度な分析技術を持っている。この両者がコラボレーションすれば、慶應のネットワークで観測されたメールや添付ファイルなどの「検体」を、日立に送って分析してもらうことが可能になる。それぞれ単独ではできないセキュリティオペレーションの仕組みが作れるのだ。
とはいうものの、検体となるメールや添付ファイルなどは、センシティブな情報でもあり、第三者に渡して分析を依頼するには一定以上の信頼関係が相互の組織間になければならない。信頼関係のある組織であることをどのように確認して、SOCの役割分担を実現していくか、それが分散型セキュリティオペレーションを実現するための課題だった。
近藤複数の組織にまたがってセキュリティオペレーションの機能を持ち合う分散型セキュリティオペレーションでは、通信ログや通信データといったセンシティブな情報を共有する必要がある。しかし単に情報を相手に送りつけたのでは逆にセキュリティリスクが高まってしまい元も子もないことになる。そのために、複数の組織—今回であれば日立と慶應—のそれぞれのSOCの中で、誰がシステムにアクセスし、権限を持っていて、何が履行されているのかを明確にする認証認可の技術が求められた。
今回の実証では、実は「2つの連携」を検証した。実証環境には、慶應の理工学部のネットワークと慶應義塾ITC、日立のM3ASによるマルウェア分析環境—の3つの拠点がある。連携の1つは、理工学部と慶應義塾ITCを結ぶもの。理工学部には13学科に100近い研究室があり、それぞれ独立性の高いネットワークを構築している。この独立性の高い複数のネットワークを、ITCと連携してセキュリティオペレーションを統一化して実施する。もう1つの連携は、慶應義塾ITCと日立のM3ASを結ぶもの。慶應側のネットワークで得られたセンシティブなデータを、日立のM3ASでリアルタイムに分析できるようにする。
藤井こうした連携を実現するには、お互いに信頼関係があることを証明する必要があり、そのためにマルチドメインにまたがった認証認可を実現する仕組みを開発した。動的認証認可技術を駆使したもので、2018年2月にニュースリリースを日立と慶應の連名で行っている。
近藤マルチドメイン認証認可の新技術によって、セキュリティオペレーションが劇的に変わる。1つは、信頼関係のあるドメイン間ではお互いの機能をリアルタイムに確認した上で、センシティブな情報を送り合うことができるようになる。マルウェアの振る舞いなどを迅速により精密に分析できるようになることだ。これまでもセキュリティオペレーションのための標準的なフォーマットやプロトコルはあったが、認証認可の仕組みが整っていないために当たり障りのない情報を交換することしかできなかった。
もう1つが人を介するオペレーションの改善だ。これまで、システム的には当たり障りのない情報しか交換できない状況であったために、センシティブな情報は「人間が電話やメールなどを通じてマニュアルでやり取りしていた」というのが実情だった。これは迅速性と正確性を求められるインシデントへの対応として、大きな問題がある手法だ。新技術が実用化できれば、アノマリーを検知したり、インシデントが起きたりしたときには、自動的に複数組織間で最適な形で情報共有し、高度な分析が行えるようになる。最終的にはCIRT(サイバーインシデントレスポンスチーム)への自動連携が実現できる。
藤井今の共同研究のステータスとしては、まだ動的認証認可技術が「完成」しているわけではない。現状は実際に稼働可能なシステムが出来上がり、改良を続けている段階にある。さらに、分散型セキュリティオペレーションにおいて、どのようなデータが実際に飛び込んでくるのか、どのようなデータが分析に必要なのか、データの種類に対して誰がアクセス権を持てるか、といったことも精査している。日立としては、慶應のネットワークで実際に起きている情報をいち早く研究サンプルにできる「最前線フィールドの旨味」を存分に味わっている。
藤井今回の日立と慶應の共同研究はゼロからスタートしたものだが、実際に研究を進める現場では、現実解を求めながらも当初はどうしても机上論に陥りがちだった。
当初の議論で、BYOD(個人所有端末の業務利用)やIoT(Internet of Things)といった言葉が流行り分散環境が推進されるようになってきた中で、セキュリティオペレーションも分散化すると良いのではという方向性は見えてきた。しかし、WGの月例のミーティングだけでは、実務的な話が進まない。そうした中で2017年4月に近藤先生が共同研究のメンバーに加わった。
近藤議論する場が足りないというのが直感だった。実務的なミーティングをフェースツーフェースで行う場を増やした。日立のセキュリティ研究部のメンバーと慶應のメンバーとのミーティングを倍増させて、ようやく協創が具体的に動き始めた。ありふれた話だが、合う回数を増やし、議論する回数を増やすことで、中身を伴った議論が進み信頼関係が出来上がっていったのではないだろうか。
2017年11月に行われた日立の研究発表会で日立と慶應の共同研究の成果を発表しようと、それを目標に実際の実証実験を始めた。
藤井日立としては、研究所の中に「オープンラボ(日立オープンラボ横浜)」という社外の方々にも気軽にきていただけるスペースを用意している。実際にWG1のミーティングも、このオープンラボのスペースで実施した。
近藤オープンラボの中にはいくつかのラボがあり、その中に「セキュリティオペレーションラボ」があった。「オペレーション」という実運用を名称につけた研究の場所があるということに、問題意識の共通性を感じた。話が通じやすいという気持ちになった。
藤井共同研究はオープンイノベーションをめざすものだったが、実際に体験してみると「えっ」ということも多かった。なぜなら、社外の方々と付き合うこと自体がとても少なかったことに気付かされたからだ。協創には、さまざまな意味が含まれると思うが、外に目を向けられるようになるだけでも重要なことなのだと理解した。
社内にいると、どうしてもバックボーンが同じになってしまう。慶應との共同研究で外部の方々と話すことで、バックボーンが違うという当たり前のことを知るところが第一弾の体験だった。バックボーンが同じ社内で研究していると、短期間でそれなりの結果を出すことができたり、そうした成果を求められたりする。しかしバックボーンが異なる共同研究では、社内のような短いスパンでは答えが出せないこともあるかもしれないが、そうすることで幅広い成果が得られる可能性が高いと感じる。
近藤大学の側からすると、机上論で終わってしまわず現実にフィードバックできる研究を共同研究の成果として生み出せることが大きなメリットだと思う。アカデミックなインパクトだけを狙った論文や成果ではなく、実務に効果がある成果を生み出せるのが協創の意義だ。慶應義塾ITCは、大学の組織でありながらも実務を大切にする文化があり、実務と先端研究の両立をめざす日立とのコラボレーションは相性が良かったと感じている。
藤井今回の分散型セキュリティオペレーションの共同研究は、日立と慶應だけに閉じるつもりはない。分散型のセキュリティオペレーションを有効に活用するには、仲間を増やすことが重要だ。現在までに中部電力が興味を持って、共同研究に加わってくれている。そもそも、同じような業種のSOCが連携しても脅威に対する強度は高まらない可能性がある。SOCの業種に多様性があることで特定の脅威に負けない分散型セキュリティオペレーションが実現できる。だから異業種とたくさん連携できるような協創が1つの理想だと考えている。そのために日本シーサート協議会と連携して、協創のメンバーを募っている。
近藤現在では、機器が吐き出す情報をそのまま分析に利用しているような状況だが、今後は情報をクラス分けしてカテゴライズし、アクセス権限を情報のクラスごとに割り当てるような運用が求められる。多様なCSIRTと連携するための基盤に必要な機能として、開発を進めていく。また分散型のSOCの構築のために連携を広げるには、相互の連携で情報漏洩が起きない仕組みも必要になる。情報共有をエージェント化するシステムも作っていかなければならないと考えている。
藤井分散型セキュリティオペレーションの共同研究は、日立と慶應の協創から始まっているが、協創の範囲は両者にとどまらない。多くの企業や団体とコラボレーションして、インシデントに強いネットワークを「協創」していくことが今後のプロジェクトの成果として現れてくるだろう。
世界の有名人が講演やプレゼンテーションするTED(TED Conferences LLC)は、開始したころから注目していて、今でも毎日欠かさず見ている。イノベーションを生み出す発表が多いことが特徴だと感じている。
印象的なプレゼンテーションとしては、イノベーションをどうやって生み出すかについて、普通は戦略などを掲げるが、「大事なのはタイミングだけ、運が良かっただけ」というものがある。徳川家康ではないが、成果が出るまで待ち続けることも重要なのだと感じさせられた。
TEDにはためになる情報が多いので、ぜひ。英語の勉強も兼ねて。書籍では、村上春樹が好き。
藤井 康広 Fujii Yasuhiro
システムイノベーションセンタ セキュリティ研究部 ユニットリーダ主任研究員
博士(理学)
エンジニアになって良かったなと実感した書籍に「楽観主義者の未来予測」(ピーター・H. ディアマンディス/スティーヴン コトラー著)という上下巻の本がある。メディアも学者も、これからの時代は人口が増えて食料が足りなくなって高齢化が進み、ダメだという論調で語ることが多い。
しかし、この本では「少なくともエンジニアは悲観主義的に語る必要はない」と指摘してくれる。AIやバイオテクノロジーなどキーとなる技術を生み続けることが、問題を解決することにつながるというわけだ。人間はこれまでの幾多のシンギュラリティを乗り越えて生き延びてきた。エンジニアとして考えなければならないことは、課題を解決できる技術を「楽天的に」作っていくことだ。この主張には「そうだよね!」と頷いた。
もう1つ挙げるならば、アップル日本法人の人事部長などを歴任した小杉俊哉氏の「リーダーシップ3.0」。これから必要なのは"支援型リーダーシップ"で、「お前が一番苦労しろ」「お前が一番頑張れ」というエールに、自分も頑張らなければと感じさせられる。
近藤 賢郎 Kondo Takao
慶應義塾インフォメーションテクノロジーセンター 助教
