【インタビュー】サイバーセキュリティの今(国立研究開発法人NICT~求められているのは”可視化”と”教育”)

上部写真)NICT サイバーセキュリティ研究所所属 研究員の津田侑さん

NICT(National Institute of Information and Communications Technology/情報通信研究機構)は、総務省所轄の国立研究開発法人。「ICT(Information and Communication Technology)を専門とする唯一の公的研究機関」を謳っており、最先端の情報通信技術の研究および、社会実装に向けた取り組みを行なっています。今回は、その取り組みの中でも、近年特に注目度が増しているサイバーセキュリティ分野について、同機関のサイバーセキュリティ研究所所属の研究員、津田侑さんにお話をお伺いしてきました。

“可視化”によってサイバーセキュリティ分野を革新

――まずはNICTがサイバーセキュリティの分野においてどのような取り組みを行なっているかを紹介していただけますか?

津田さん:NICTのサイバーセキュリティ研究所にはシステム側のセキュリティを研究する「サイバーセキュリティ研究室」と、暗号と暗号理論を研究する「セキュリティ基盤研究室」の2つの研究室が存在します。私が所属しているのは前者で、主にサイバーセキュリティの最新動向や脅威情報の分析、勧告などを担当しています。

サイバーセキュリティ研究室では多くの研究が行なわれていますが、その中で最も力を入れているのが、サイバー攻撃を“可視化”する研究です。サイバー攻撃には大きく分けて「無差別型攻撃」と「標的型攻撃」の2つがあるのですが、それを観測し、目に見えるようなかたちに表現するという技術の開発を行なっています。

――その具体的な成果についてもう少し詳しく教えてください。

津田さん:まず第1の基板技術となっているのがインシデント分析センター「NICTER(ニクター)」です。これは、世界中でどのような無差別型攻撃が行なわれているかを把握するための仕組み。ダークネット上の約30万アドレスに静的/動的センサーを配置し、そこに飛んでくるパケットを補足することで無差別攻撃を観測しています。

NICTERは約10年前から稼働しているのですが、2013年頃から検出数が倍々ゲームで増加。特に最近はIoTデバイスを対象とした攻撃が急増しています。「NICTER」はこうした動向を世界地図上の重ね合わせて表示するなど、さまざまな見せ方で提示。より直観的に、今、サイバーセキュリティの最前線で何が起きているのかを把握できるようにしています。

(動画はNICTERの基本UI。矢印の色が通信の種類、高さが対象となっているポートを示している。ほか、多くの表示モードを用意。
一つ一つの矢印がダークネットに飛んでいるパケットをあらわしている。矢印の色でパケットの種類を区別。地球儀タイプの画面では矢印が”飛ぶ高さ”でポート番号の違いを表現している。飛ぶ高さ”が低いほど、若い数字のIPとなる。)

津田さん:もちろん、ただ観測しているだけではダメ(笑)。そこで、NICTERの観測結果をもとに、悪さをしている側、されている側に警告を送るシステムも作りました。それが対サイバー攻撃アラートシステム「DAEDALUS(ダイダロス)」です。

DAEDALUSができたのは、ちょうどセキュリティ業界で境界防御技術が流行ったころ。当時は何よりもまず“感染しない”ことを重視していたのですが、長らくサイバー攻撃を観測していた我々は、もう“感染は防ぎきれない”という結論に達していました。もちろん、感染しないようにすることは大前提なのですが、それよりも感染したことを少しでも早く知る事のほうが大切だろう、と。組織外からの攻撃をネットワーク境界で検出する境界防御技術と、組織内からの攻撃をネットワーク広域で検出するDAEDALUSを相補的に運用していくことで、被害を小さくしようということです。

――今ではもうこうした考え方は一般的なものになっていますよね。ちなみに、DAEDALUSは実際に世の中に提供されているんでしょうか?

津田さん:DAEDALUSは2013年11月から地方自治体に提供を開始し、現在では550を越える自治体で利用されるようになっています。提供開始当初は47自治体だったので、3年で10倍以上に増えた計算となりますね。また、一般企業に技術供与するというかたちで(編集部注:NICTは独立行政法人情報通信研究機構法によって業務内容が厳密に定義されており、一般企業への商用サービス提供を行なえない)、DAEDALUSに基づく商用アラートサービスや、レスポンスサービスを展開しています。また、国内に留まらず、ASEAN諸国へのアラート提供も行なっているんですよ。

(動画はDAEDALUSの基本UI。中心にある球がインターネットを、外部を回る球がそれぞれのネットワークを意味している。
中心の網目の球体がインターネット全体を、またその周辺を複数漂っている青色の”リング”が、各ダークネットをあらわしている。”リング”の濃い青色の部分がダークネットで、明るい青色の部分が利用中のIPアドレス(身元がはっきりしているIPアドレス)。利用中IPアドレスやダークネット同士が線でつながれており、どこから・どこに・何が、送信されているかがわかるようになっている。注意が必要な領域には”警”マークで、注意を促している。)

――NICTERとDAEDALUSは共に「無差別型攻撃」への対策技術ですよね。「標的型攻撃」についてはどういった対策技術を開発しているのでしょうか?

津田さん:はい、それが、サイバー攻撃統合分析プラットフォーム「NIRVANA改(ニルヴァーナかい)」となります。標的型攻撃とは、特定の組織を狙って侵入し、情報を奪ったり、サーバーを落としたりするのが目的です。例えば、特定の独立行政法人の職員に、その人の職務に関係した添付ファイル……実はマルウェア付きのメールを送るというかたちで侵入を試みます。職員が添付ファイルを開くとアウト。怪しいファイルなんて開かなければいいじゃんと思ってしまうのですが、残念ながらこれに引っかかる人がとても多いのが実情です。ですので、実際には、“その後どうするのか”を考える必要があります。

そこで、NIRVANA改では組織内のネットワークを監視し、何か不自然な動きがあれば、それをすぐに止められるようにしています。例えばIDS(不正侵入検知システム)とサンドボックス機器が同じIPアドレスに反応していたら、そこは緊急対策しなければならないとか、アラート内容を分析して、対策の優先順位を付けるような仕組みを作りました。オペレーターは可視化されたアラートを見て対策を判断していくことになります。

(動画はNIRVANA改の基本UI。アラートを発信している機器や、その重要度などをアイコンやアニメーションなどで分かりやすく表示してくれる。
敷き詰められた”タイル”が、対象ネットワークのIPアドレスを現している。動画は0.0.0.0/0から10.250.251.0/24まで掘り下げて表示したところ。さらに各端末(エンドポイント)まで掘り下げて分析することができる。インシデント等の発生により対象ネットワークを遮断すると”封”マークが表示される。)

津田さん:NIRVANA改も、NICTER、DAEDALUSも、これまでテキストログで見ていた情報をビジュアル化することで直観的に状況を把握できるようにしたものです。これには、セキュリティ担当者の負担軽減という意味のほか、セキュリティ技術に明るくない上司に逼迫した状況を分かりやすく伝えるという狙いもあります。ログを見せても素人には何が起きているのか分かりませんが、画面が真っ赤になってすごい勢いで動いていたら、さすがに大変なことが起きているのだと分かるでしょう? そういう意味でも可視化には意味があるんですよ。

……もちろん、単純にセキュリティをカッコ良く見せたいという気持ちもあります(笑)。

今後は“教育”分野においてもセキュリティ業界に貢献していきたい

――続いて、日本国内のセキュリティ市場の現状について教えてください。日本は諸外国と比べてセキュリティの面で遅れているのでしょうか?

津田さん:DEFCON(デフコン)」という、ラスベガスで毎年行なわれているハッカーの祭典があるのですが、ここで開催されているセキュリティ技術を競う大会で上位に食い込むのはたいていアメリカあるいは韓国のチームですね。日本のチームも参加しているのですが、入賞には至っていません。

――米国チームと日本チームの違いはどこにあるのでしょう?

津田さん:海外の強いチームに共通しているのは、彼らが若い頃からコンピューターサイエンスをずっと学んできて、その上でサイバーセキュリティ分野に取り組んでいること。もう基礎力が図抜けているんです。日本はその点がまだまだですね。

――基礎力が違う、と。

津田さん:そうですね。大学でコンピューターの基礎的なところをみっちり教えて、そこで学んだことをサイバーセキュリティの最前線で発揮するという「パス」ができると、国内セキュリティ分野の未来も明るいと思うのですが、残念ながらそうはなってはいません。

――それはなぜでしょうか? コンピューターサイエンスを学ぶ学生が少ないということでしょうか?

津田さん:これはあくまで私見なのですが、大学でコンピューターサイエンスを学ぶ人の数は今も昔もさほど変わっていないように感じています。IT業界はその数少ない学生を奪い合ってきました。しかし残念ながら、そこでセキュリティ業界は優秀な人材を引っ張ってくることができていなかったのではないかと。

なぜか?と聞かれると、とても言いづらいところなのですが……分かりやすいところではサイバーセキュリティ関連職の給与ですよね。金額自体は必ずしも低くないのですが、負わされる責任に見合っていないなという気持ちはあります。上手くできてあたりまえだと思われているし、一体、何から守っているのかも理解されにくいですから。

――そう考えると、その面でも“可視化”には意義がありそうですね。一般人に、セキュリティ技術者がやっていること、大変さを目に見えるかたちで伝えてくれる効果も期待できそうです。NIRVANA改などを見て、すごいことをやってるんだな、と思う人も多いのでは?

津田さん:そうであるとうれしいですね。サイバーセキュリティ研究室の室長である井上も、常日頃から、給料を上げろ、イメージを良くしろ、夢を与えろ、と言い続けています(笑)。

なお、NICTでは、今年の4月から「セキュリティ人材育成センター」を新設し、先日公開された「第四期中期計画」の元、セキュリティ技術者を育てていく取り組みをスタートしています。ここでは「CYDER(CYber Defense Exercise with Recurrence/実践的サイバー防御演習)」と銘打ち、年間50回以上の演習を実施。担当者が日本全国の行政機関、地方公共団体、独立行政法人などを行脚しています。

実はNICTは本来、そういった教育分野での活動はできない組織だったのですが、このためにわざわざ独立行政法人情報通信研究機構法を改正。研究だけでなく、教育も行なえるようにしたんですよ。

また、それとは別に国内のセキュリティコンテスト「SECCON(セクコン)」の運営にも協力。実行委員会の一員として、NIRVANA改をコンテストのカスタム提供しています。SECCON会場に行くと、大きなスクリーンにNIRVANA改の画面が表示されているというのは、今ではおなじみの光景なんですよ。

――SECCONにはさくらインターネットもスポンサーとして協力させていただいていますね。これらのほか、NICTが教育分野で行なっている取り組みがありましたら教えてください。

津田さん:草の根の勉強会などにも講師として参加するなどしています。私自身、勉強会にお呼びいただいて、サイバー攻撃可視化の裏の仕組みを説明したりということを何度もしています。

――「可視化」や「人材育成」のほかに、サイバーセキュリティ研究所が手がけていることはありますか?

津田さん:個人的な取り組みとしては、サイバーレンジ環境という、演習のための環境を作る仕組みを開発しています。

標的型攻撃の研究が難しいとされる理由の1つに、被害にあった企業や組織が具体的な情報を出したがらないという問題があります。結果、実際に自分たちで環境を作ってやってみようということになるのですが、その環境を作るのはとても面倒。被害者の環境だけでなく、疑似マルウェアを作って、攻撃者の環境も用意してと、とにかく手間が掛かるんです。サイバーレンジ環境はそれを手軽に再現できるような仕組み。元々はCYDERで使えたら良いなと、細々とやっていたのですが、最近は本腰を入れて作り込み始めています。

――今後、NICTがどういった取り組みをしていくのかについても教えてください。

津田さん:今年のテーマは、サイバーセキュリティ研究所で開発した技術を実際に使えるものにしていこうというものでした。NIRVANA改は今年で4年目になるのですが、見た目の奇抜さもあって、ずっと懐疑的な目で見られ続けてきた面があります。ベテラン担当者ほど「こんなもの、本当に使えるの?」と感じられるようで……。今後はさらに運用に即した機能を実装していく方向に進化させていきたいと考えています。

また、今年のバージョンではあえて国産技術を積極的に導入しました。国立研究開発法人という立場上、そういった音頭をとりやすいこともあり、FFRIさんや、アラクサラネットワークスさんらと上手に連携を取って、オールジャパンでやっていければな、と。セキュリティ関連製品のスタンダードが、何となく海外製品占められている状況を変えていくきっかけになると良いんですが……。

なお、毎年の可視化システムのUIのテーマは、室長の井上からトップダウンで降りてきます。攻殻機動隊とのコラボなど、面白い取り組みも多数行なっているので、どうぞ、これからの活動にもご注目いただければ。よろしくお願いいたします。

■関連リンク
NICT 国立研究開発法人 情報通信研究機構
https://www.nict.go.jp