セキュリティエンジニアの給料を3倍に!NICTのサイバーセキュリティ研究室 井上室長に聞いたサイバー攻撃対策の重要性

2016/01/24 11:00

special_inoue3

インターネットの発達によって多大な恩恵がもたらされる一方、サイバーセキュリティ対策については十分とは言いがたい現状。IoTが急速に普及してあらゆるモノがネット接続されている今、自分たちが気づかない間にハッキングされているケースが激増しています。

 

今後、より一層重要性を増すサイバーセキュリティ分野において、国内で最も先進的な研究を行っている国立研究開発法人情報通信研究機構(NICT)のネットワークセキュリティ研究所サイバーセキュリティ研究室室長である井上大介(いのうえ だいすけ)氏を訪ね、現在取り組まれているサイバーセキュリティ研究について攻殻機動隊 REALIZE PROJECT がインタビューを行いました。その模様を全3回に分けてお送りします。

 

最後となる第3回目は、日本におけるマネジメント面でのサイバーセキュリティの課題や人材育成の一環であるCTFについての概要に加え、攻殻機動隊REALIZE PROJECTへの思いを語っていただきました。

 

サイバーセキュリティエンジニアの適切な待遇とは

 

―日本でサイバーセキュリティのエンジニアの数が少ない現状を解決するにはどうすればよいでしょうか?

image1

解決策は非常に簡単で、セキュリティエンジニアの給料を3倍にすれば良いと思っています。米国では既にそれに近い状態になっていて、エンジニアのなかで一番給料が高い部類に入るのがセキュリティエンジニアなんです。

 

さらに高給なのがCISO(最高情報セキュリティ責任者)です。組織のセキュリティを統括していて、セキュリティインシデント(セキュリティ事故)発生時には、「このネットワークを遮断しなさい」といった判断と、それを実行するための強力な権限を持っており、その重責に見合う報酬を得ています。

米国では経営層も含めサイバー攻撃のリスクに関する理解が進んでいます。組織のリスクアセスメントが浸透しているんですね。一方、日本はまだまだ「セキュリティ根性論」が蔓延っています。人も予算も乏しい環境で、ネットワーク管理の片手間にセキュリティオペレーションを任されて、そしてインシデントが起こると現場が責められるという…。

―ソフトもハードも知っている必要があり幅広い知識が必要となる職種なのに、報酬が低いというのは厳しいですね。

日本は水と安全はタダだという風潮が根強くありますよね。企業を経営していくなかで、株価変動リスクや為替リスクをはじめ、多種多様なリスクが有ると思います。例えば為替レートの変動によって大きな損失を出したとしても、企業のトップがメディアの前で謝罪するようなことは滅多にないです。しかし、サイバー攻撃を受けて個人情報が僅かでも流出してしまうと、大々的なニュースになってトップ自らが頭を下げ、その後の企業活動にも大きな影響を及ぼします。そう考えると、企業の経営リスクのなかでもサイバー攻撃によるリスクは、もはや最大のリスクの一つと言っても過言ではないと思います。

ただ一方で、企業の経営層の方々とお話しすると、だいたい皆さん開口一番「サイバー攻撃のことはよくわからないんですよね」とおっしゃるんです。それは現代企業の経営者としてはかなり危ない。経営者が「為替リスクのことはよくわからないんですよ」なんて口にすると大炎上しかねないですよね。こういった経営層にサイバー攻撃のリスクと対策の重要性を認識してもらうためにも、ビジュアライゼーションというのは1つの有効な手段になると考えています。

 

情報漏えいの原因は殆どがセキュリティマネジメントの不備

image2
―サイバーセキュリティ周りの問題は井上さんのところにもたくさんの相談がきていると思うのですが、このような現状もお話しされているんでしょうか。

相談は多いですね。セキュリティの専門家は皆さんそうだと思いますが、政府系の組織などで大きなセキュリティインシデントが発生した場合には、各所で説明に追われます。今年(2015年)は、やはり日本年金機構の情報漏洩が最大の事案でした。
このようなインシデントは技術的な要因もありますが、多くはセキュリティマネジメントの不備が問題なんです。日本年金機構の事案では、機構内のPCがマルウェア感染したその日に、内閣サイバーセキュリティセンター(NISC)がそれを検知し、監督官庁である厚生労働省を経由して機構に通知がなされました。しかし、厚労省内の責任者である担当課長以上にその情報が伝わったのは、NISCによる最初の通知から2週間以上も経った後だと報告されています。つまり、厚労省内のエスカレーションの仕組みが正しく機能していなかったということです。また、日本年金機構のセキュリティポリシーも、サイバー攻撃を想定した具体的な対応については明確ではなかったとの報告もあり、組織としての備えが十分ではなかったと言えます。
ただ、日本年金機構の事案を契機に、政府・官公庁はこれまでよりも大幅にセキュリティを強化する方向で動いています。しかし、残念なのは日本の組織を守るために様々なセキュリティ機器の導入が進められてはいるものの、そのほとんどが海外製品ということです。それらの機器からアラートが出されても、検知ロジックの核心部分はブラックボックスであることが多いので、検知の本質的な仕組みが分からないままオペレーションしていることになります。

 

―なぜ国内製ではなく、海外製のセキュリティを使うのでしょうか?

 

それには様々な要因が絡んでいますが、一つには日本の景気が長らく低迷していた時代に、ビジネスにならないと思われていたセキュリティ研究を解体して、ユビキタスやWeb2.0、クラウドなどの分野に研究者や技術者を投入した企業が多かったからだと思います。セキュリティの研究開発に適切な投資を行っていなかったのですから、今になって国内製のセキュリティ製品で市場に浸透しているものが少ないのも当然です。

 

とはいえ後悔ばかりしている暇はありません。これから我々が考えなければいけないのは2020年の東京オリンピック・パラリンピック競技大会です。国を象徴する大会をサイバー攻撃からいかに守るか。2020年までに100%は無理にしても、数十%は日本の技術で日本のオリンピック・パラリンピックを守ったと言えるように「セキュリティ自給率」を上げていきたいですね。そのためには、日本のなかでセキュリティ技術を培って、その技術によって日本の組織を守るということを進めていかないといけません。

■セキュリティ系の人材育成の一環として機能している「CTF」

image3

―セキュリティエンジニアの育成についてはどのように考えられていますか?

 

セキュリティエンジニアを含め、セキュリティ系の人材育成の重要性が叫ばれており、様々な試みが始まりつつあります。そのなかでも、「CTF(Capture The Flag)」というセキュリティ競技が世界中で開催されています。

 

模擬的なサイバー空間でハッキング技術を駆使して電子的な旗(Flag)を奪い合う競技で、若きハッカーたちの研鑽の場になっています。国内では「SECCON(セクコン)」という日本最大のCTF大会があり、今年(2015年2月)の決勝大会への出場権をかけたオンライン予選には、58ヶ国から数4千名を超えるCTFプレイヤーが参加し、鎬を削りました。もちろん、CTFだけで人材育成の問題が全て解決するわけではありませんが、CTFには若い人材を惹き付ける魅力があり、この分野に興味を持つきっかけの一つになっていると思います。

 

NICTは2年前からSECCONとタイアップしてCTF専用の可視化エンジンを開発し、SECCON CTF決勝大会をリアルタイムに視覚化する試みを行っています。これがCTF専用の可視化エンジン「NIRVANA改 SECCONカスタム Mk-II」です。中央の青色のタワーが6層に分かれていて、それぞれの層がCTFの問題サーバーを表しています。

例えば「暗号解読」や「バイナリー解析」「トラフィック解析」といったセキュリティの問題が各サーバー上で提供されています。周りのオレンジ色のタワーがCTFの参加チームで、問題サーバーを攻略しようとしている様子が視覚化されています。

 

CTFはサイバー空間で白熱した戦いが繰り広げられるのですが、フィジカル空間ではハッカーたちがひたすらキーボードを叩いているだけで、絵的に全然映えないんですよね。せっかくクールな攻防戦をしているのだから、それをクールに視覚化したい、という思いでNIRVANA改 SECCONカスタムを作りました。ここまでリアルタイムに攻防戦の様々な要素を視覚化しているCTFって世界中どこを探してもないと思います。

 

海外のプレイヤーからも、「日本のCTFは凄かった」と高く評価してもらえて、そのハッカーたちが本国で口伝てに広めてくれているようで。最近は海外で「お前達か、あれ作ったのは!」なんて言われることも増えてきました。

 

女性だけのCTF「CTF for Girls」×「攻殻機動隊 REALIZE PROJECT」

image5

―2015年11月7日に攻殻機動隊REALIZE PROJECTとCTF for Girlsのコラボレーション大会が開催されますね。

 

「CTF for Girls」という取り組みはこれまでSECCONで3回ほど、女性限定のワークショップ(CTF勉強会)として開催されていました。サイバーセキュリティの世界で女性のエンジニアや研究者はまだまだ少ないのですが、CTF for Girlsのワークショップの募集をかけると、わずか数日で80人の枠が埋まったそうで。実はCTFに興味があったけど、なかなかハードルが高くて参加できなかったという女性が多かったそうです。今回、11月に神戸で開催される「CTF for Girls」×「攻殻機動隊 REALIZE PROJECT」、通称「攻殻CTF」は、これまでのワークショップ形式とは違い、日本初の女性限定CTF大会となります。
攻殻機動隊は、「草薙素子」という女性の超ウィザード級ハッカーが主人公として活躍する物語ですので、女性のサイバーセキュリティ人材をもっと発掘したいという共通の思いが、攻殻REALIZE PROJECTとCTF for Girlsを結びつけて、攻殻CTFというコラボレーションが実現しました。そもそもCTF for Girlsは、中島明日香さんという女性研究者が中心となって企画されたプロジェクトなのですが、個人的には中島さんが一番草薙素子に近い存在なのではと思います…

 

CTF for Girls専用可視化エンジン「AMATERAS零」

 

攻殻CTFは jeopardy(ジョパディ)と呼ばれるクイズ形式のCTF大会ですので、これまでのSECCON CTF決勝大会の攻防戦とは対戦形式が異なります。ですので、現在、攻殻CTF専用の可視化エンジンを開発しており、「AMATERAS零(アマテラス・ゼロ)」と呼んでいます。

零はプロトタイプという意味ですが、「AMATERAS」はもちろん日本神話の女神、天照大神からとっています。攻殻CTFは女性の大会ですので、女神の名前を冠したシステムにしたかったんです。また、アマテラスの弟であるスサノオがヤマタノオロチを倒した際、その尾から出てきたのが「草薙剣」。そして、草薙剣はスサノオからアマテラスに献上されます。そういう日本神話の流れを汲んで、「草薙を見つけだす」という希望も込めて「AMATERAS零」と命名しました。

 

攻殻機動隊をモチーフにした可視化エンジンを作る日が来るとは夢にも思っていませんでしたが、攻殻機動隊をRealizeできれば、日本オリジナルなセキュリティ技術で世界に打って出ることも夢ではないと思います。

image6