この記事を読んでいただいている方々は何らかの形でサイバーセキュリティに関心を持ち、さまざまな機会を捉えては情報を収集なさっているのではないでしょうか。そんな皆さまにとって、他社で起きているセキュリティの生の現場を知り、そしてそれを踏まえて自社で何を考え、行動すればよいかについて、示唆を得られる絶好の機会が11月9日に開催される「2017 MPOWER:Tokyo」です。
今回、「セキュリティリサーチャからの提案」と題して講演いただく、ソフトバンク・テクノロジー株式会社 技術統括 セキュリティソリューション本部 シニアセキュリティリサーチャー 辻 伸弘 氏に講演内容を伺いました。
当日は、ソフトバンク・テクノロジー(SBT)が7月~8月にかけて公表した「不正アクセスによる情報流出の可能性に関する詳細調査のご報告(最終報)」 について、報道の裏側でどのような動きがあり、会話がされていたのか、当事者として関わっていた辻氏からその裏側を単独公演としては初めてお話しいただきます。
セキュリティリサーチャーという仕事
マカフィー:今回は「セキュリティリサーチャからの提案」ということで、カバー範囲が広いように見受けますが、普段どのようなリサーチ活動をされていますか?
辻氏:リサーチ活動というのは講演概要にも記載した通り多岐にわたりますが、ハクティビスト、標的型攻撃、ランサムウェア、DDoSなどを普段リサーチしていますね。
幅広い対象領域の中、 どういう基準で選定してリサーチしているかという話ですが、まず、仕事を通して得た情報ってあまり公開できなかったりします。お客さんとの契約もあったりしますので。なので、結構仕事と趣味って境界が曖昧で、基準としては、まず自分の興味を惹くような事件ですね。
それに加え、多くの方に影響がありそうだなとか、多くの方が関心を持ちそうなこと。たとえばWindowsに脆弱性が見つかったりすれば、多くの方が影響を受ける可能性が高いですよね。あとはランサムウェアがばらまかれているとか。そして、他の方があまり調べていなかったり、公開しないようなものを選んでいます。
マカフィー:ご自身の興味と世間の関心に加えて、あまり出回っていない情報ですね。それはどのように調べているのでしょうか?
辻氏:国内外のニュース、ブログ、ベンダーのホワイトペーパー、SNSなどを見ています。
それをきっかけに、世間の人が興味ありそうなものや影響ありそうなものを絞っていって、公開情報をもとに調査を行っています。場合によっては調査内容に関係する方にコンタクトを取り取材をすることもあります。
取材する相手はランサムウェアの被害者・被害組織だったり、ちょっとギリギリのところですがハクティビストであったり。攻撃者の話についてはどこまで信ぴょう性をもって聞くかはありますが、参考情報としてコンタクトを取る場合もあります。
それらの内容は自身のSNSアカウントやブログや記事、セミナーなどで発信しています。
リサーチというのは意味が広い言葉で、調査研究とか、マルウェアリサーチャーというと解析する人だったりします。僕がやっているリサーチというのは、発信・情報共有というのを皆さんにしていくことを意識したリサーチです。
つまり、誰かの役に立つことですね。攻撃手法であれば、こんな脆弱性が利用されましたとか、(情報を)出していけばこういうことに気を付けようとなりますよね。そういったことを意識してリサーチしています。
様々なスタンス、種類がありますが僕の場合は、発信、情報共有を意識したリサーチですね。
攻撃者よりも守る側の意識が重要
マカフィー:膨大なインシデントなどの情報に触れている中で、最近の事件・事故について、傾向や以前と変わってきたなと思う点はありますか?
辻氏:種類が増えているというのはあまり感じていないです。ただ、発生する頻度や(応用系のような)パターンが増えてきているように思います。その割に守る側の協力体制については、少しずつは進んではいるもののまだまだ効果的になっているとはいい難い状況が続いているように思います。守る側の意識がついていっていないというのもあって。
マカフィー:守る側の意識が高くないという印象ですか?
辻氏:そうですね、攻撃者側はあまりお金をかけずにできることもありますが、守る側は結構組織動かしたり大変だったりしますよね。そういったところでまだまだだな、というのは感じたりします。
攻撃側の変化よりも、守る側の変化が追いついていないことが課題なのかなと感じています。
今回のセッションはリサーチした内容をもとに、僕が実際に見て、感じたことを伝えて参加者の方といっしょに考える時間にしたいなと思っています。
夏にSBT社が発表した不正アクセスの可能性、その裏側
マカフィー:今回御社で7月に発生した「不正アクセスによる情報流出の可能性」 に関する報道についてもお話しいただけるとのことですが。
辻氏:弊社で7月にインシデントかも、というので公表した件(実際には漏洩していません)については実際に対応に関わっていました。このとき、ニュースリリースを考えたり、何を公表するかとか、誰が何をするかとか、リリースの裏側で何が動いていたのかって普通は公開されないじゃないですか。会社のトップがどういうことをしたかとか、どういう会話があったかとか、リサーチではないですが、リサーチャーの立場から今回の講演でお伝えしようと思います。
マカフィー:それって講演で話しても大丈夫ですか?
辻氏:トップの許可をとったので大丈夫です。私がこの件を単独公演で話すのはMPOWERが初めてですね。
11/9に講演で伝えたいこと~セキュリティ担当者にとっての最適解とは
マカフィー:インシデント対応の生の現場を聴けるというのは大変貴重ですね。
どんな人にこのセッションを聞いて欲しいですか?
辻氏:とにかく今何が起きているかを知りたい人ですね。私からはできる限り最新の事例などを共有します。
来場される方はアンテナの高い方が多いと思いますが、メディアから出てくる情報というのは一気にまとまったものがなかったりして、新事実、新事実・・・と五月雨でニュースを目にしたりして、結局何だったんだろうというのは多いんですよね。
そのときは話題になって関心を持つんですけど、のど元過ぎると結局何もしていないってことも多かったりします。そういったところで何が起きているのか、何すればいいのか、について悩み・迷っている方はぜひ来て欲しいですね。
迷っている人への話といっても、僕はお金の匂いのしない話をしますので(笑)。商品とかの話ではなく、私の考えを包み隠さず私の言葉でお伝えします。
そして、一緒に考えましょう!
マカフィー:セキュリティ担当者は人数が少なかったりして一人で抱えている人もいると思います。そういった人も共感できる内容が多そうですね。最後に、このセッションを受けた人に何を持って帰って欲しいですか?
辻氏:さきほどとかぶりますが、今何が起きているのか。今何をどう考えるべきか。今何が大切なのか。
そういったことを考えるきっかけにして欲しいと思っています。対策の仕方とか優先度とかって各組織で違うと思うので、これが一番だということを決めるつもりはないです。ただ、僕の話の中で皆さんが答えにたどり着けるような一歩になれるようなお話をしようと思っています。
それに加えてセキュリティの話はどうしても暗くなりがちです。「こんな大変なことになってます」「これやらなかったらエライことになります」とか。ダメなことばかり言われ、対策は山積み、といったようになって、みんな(セミナー聞いた後に)肩落として帰っていくみたいなのは嫌なんですよね。そんなセキュリティだからこそマイナスをゼロにする、利益生みませんということもあると思うんですけど、だからこそ今回は一握りの希望でも、それだったら自分たちにもできるかもとか、こういう風な方向性で行けばいいのかなといった希望ですよね。それを持って帰っていただけるような話を心がけようと思います。
マカフィー:当日のセッションは7月の報道の裏側も気になりますが、セキュリティ対策に対する前向きな考え方・姿勢を皆さんと共有できる場になるよう我々もサポートさせていただきます。
本日はありがとうございました。
著者:MPOWER事務局
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)