更新日:2019/11/01

    挑戦する研究者たち
    「誰もが正しく物事を理解し、選択して、活用できるセキュリティ技術」を創造する
    秋山 満昭
    NTTセキュアプラットフォーム研究所
    上席特別研究員

    ※記事本文中の研究所名が、執筆・取材時の旧研究所名の場合がございます。

    多種多様なサイバー攻撃の未然防止で数々の成果を上げている

    現在手掛けている研究を教えていただけますでしょうか。

    近年、サイバー攻撃という言葉がさまざまなメディアに出てきています。サイバー攻撃は、自己顕示、社会的・政治的主張、諜報活動などの多様な目的がありますが、一般のユーザの多くが直接的に巻き込まれ得るのは経済的利益を目的としたサイバー攻撃です。経済的利益を目的とする以上、攻撃者は「いかに効率的に攻撃を実施し、コストに見合った利益を獲得するか」を考えます。
    こうしたサイバー攻撃に対応して、ユーザの安心・安全を守るためのサイバーセキュリティについて研究しています。サイバーセキュリティ研究といっても、分野は多岐にわたっています。その中で、①サイバー攻撃の特徴を分析、情報蓄積し(サイバー攻撃対策用インテリジェンス)、それを活用して将来発生し得る類似の攻撃を防ぐことをテーマとした研究、②攻撃者の視点に立ってシステムやサービスの潜在的なセキュリティ・プライバシ脅威を発見し、対処することで攻撃を未然に食い止める、オフェンシブセキュリティの研究、③セキュリティ・プライバシ脅威発見のための実験方法や発見した脅威の公開方法など、先進的研究成果を正しく社会に還元するためのサイバーセキュリティ研究倫理に関する活動、④システム・サービスに対するユーザのセキュリティ・プライバシ意識や行動の把握に基づいて、より安全な行動の判断ができるシステム設計をめざす、ユーザブルセキュリティの研究を行っています(図1)。

    具体的な評価、成果は得られましたか。

    私がNTTに入社した2007年ごろはマルウェア感染端末を踏み台としたサイバー攻撃が猛威を振るっていたこともあり、組織を越えて技術者・研究者が集まってICT-ISAC(Information Sharing And Analysis Center) Japan等で現場の情報共有や対策のアイデアを議論していました。総務省が主導するサイバー攻撃対策の実証実験では、ICT-ISACや日本の主要ISP(Internet Service Provider)各社やセキュリティベンダが参画し、私たちが開発したハニーポットが活用され、大規模なマルウェア感染の実態調査と悪性通信のフィルタリング対策の効果が検証されました。これらの結果は、一般社団法人電気通信事業者協会等の電気通信事業者関連団体が共同で検討し、発行する「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」策定の後押しとなりました。
    一方、人々の生活をより豊かにするために進化し続けるICT社会、それを支える部品として新しいソフトウェア・ハードウェア・プロトコル等が日々開発され続けています。しかしこれら部品そのものが膨大になっていること、また部品の組み合わせ方が複雑になっていることから、設計ミスやバグに起因するセキュリティ上の欠陥がシステムやサービスに混入してしまう問題があり、これを根本的に解決することが難しい状況にあります。このような状況では、攻める側が圧倒的に有利な状況であり、守る側は次から次に明るみになる問題をパッチワークで対処することで精一杯になってしまいます。このような防戦一方な状況を転換するために、攻撃者の視点に立ってシステムやサービスの潜在的な欠陥を発見する、オフェンシブセキュリティの取り組みによって、攻撃者に先んじて潜在的な欠陥を発見し、悪用される前に対策を講じることができます。多様なWebサービス上のセキュリティ・プライバシ脅威の発見を目的に数年前から取り組んでいますが、世の中の多くのシステム・サービスに影響するような深刻な脅威をすでにいくつか発見しました。攻撃に悪用される前に脅威の影響を受ける大手ソーシャルWebサービスに通知して対策を実施したことで数億人規模のユーザをセキュリティ・プライバシ脅威から守れたこと等の成果を上げています。

    1. ハニーポット:システム等を脆弱なシステムやサービス等を装う「おとり」として動作させておくことで、攻撃者を誘い込んでさまざまな攻撃の手口を明らかにする技術。
    図1 ユーザの安心・安全を守るためのサイバーセキュリティ研究の対象
    図1 ユーザの安心・安全を守るためのサイバーセキュリティ研究の対象

    前例のない領域の問題を扱うと同時に、倫理的課題に直面する

    世の中へのインパクトが大きい成果を次々と挙げられているのですね。

    サイバーセキュリティの研究は、十分に前例のない領域の問題を取り扱う場合があると同時に、社会に対して直接的な影響を与え得るため「倫理的」な問題にも直面します。例えば、サイバー空間に蔓延する脆弱なデバイスを発見するためのネットワークスキャンの許容範囲、セキュリティ上の欠陥を発見するために実在するシステムに対して行う実験、欠陥や脆弱性を発見した場合に発見者がとるべき行動等で、研究活動やその結果の世の中への伝え方を誤ったが故に、世間から批判される事例や法廷闘争に発展する事例が多々あります。…

    関連するコンテンツ