●セキュリティとの出会いは偶然から

藤井：今は日立製作所のシステムイノベーションセンタでセキュリティ研究部に属して、セキュリティ分野の研究開発をしているが、学生時代の専攻は理論物理学だった。当時、数学をやっている人たちの間で、金融工学やセキュリティの暗号への数学の応用が流行になっていた。就職活動をしている中で、金融は肌に合わないと感じ、セキュリティの道を選んで現在に至っている。当初は電子透かしやコンテンツを守るセキュリティソリューション「秘文」といった「情報漏洩からコンテンツを守る」ための研究開発が主流だったが,5年ほど前から、セキュリティの運用やマルウエア対策、サイバー攻撃対策といった「凶悪なものから守る」部分へと研究開発の中心がシフトしてきた。

近藤：日立と慶應の共同研究において、慶應技術インフォメーションテクノロジーセンター（ITC）側の実動メンバーである。ITC本部で仕事をしつつ、慶應義塾の大学院理工学研究科博士課程3年生としての研究活動も並行している。専門は「インターネット工学」という分野になる。2017年4月にITC本部に赴任したことがきっかけになり、セキュリティと直接向き合うようになった。それまでも、「認証」や「認可」といったセキュリティの基本的な仕組みの研究はしていたが、クラッカーの攻撃から組織を守るセキュリティオペレーションに本格的に取り組んだのはそのときが始めてだった。日立との共同研究により、攻撃者からシステムやネットワークを守るための新しい運用の形の模索が始まった。

●日立と慶應、サイバーセキュリティに関する共同研究が始まる

藤井：サイバーセキュリティに関する日立と慶應の共同研究のスタートは、2016年3月に遡る。当時の日立の経営幹部と慶應の村井先生（村井純氏、環境情報学部教授、政策・メディア研究科委員長）の間で、一緒にサイバーセキュリティに関する研究をしようと話がまとまった。共同研究では当時3つ、現在5つのワーキンググループ（WG）が設けられ、その中のメインとなるWG1が、我々セキュリティオペレーションの研究グループになる。実際のインシデント事故やマルウエア被害に対して、慶應のITCでどのように運用しているのかというデータを使って、研究の形に昇華していく。慶應や日立の実際の運用にフィードバックし、実際のシステムやネットワークで運用して効果を上げることをめざしている。

近藤： 慶應の学生や教員が使う教育研究系のネットワークの特徴として、インターネットにつながるネットワークであっても、攻撃を遮断するフィルターなどを入れないというポリシーがある。企業や団体の多くのネットワークでは、内部のネットワークに入るにはフィルターを通過しないとならないが、慶應のネットワークには外部から自由にアクセスできる。そのため、原則的にクラッカーからの攻撃を慶應のネットワークでは観測し放題ということになり、企業のネットワークでは観測できない事象が観測できる貴重な場になる。

●WannaCryの攻撃がワーキンググループの空気を変える

近藤：体制の変化があり、慶應のオープンなネットワーク環境から得られるデータを活用してセキュリティオペレーションの研究を具体化しようとした矢先に、衝撃的な事態に見舞われた。それが2017年5月に起きた、身代金型攻撃を仕掛けるランサムウエア「WannaCry」の大流行だった。

これでWG1の雰囲気が明らかに変わった。それまでの抽象論から離れ、実際の出口やその効果検証がはっきりできるようになってきた。

異常検知をリアルタイムでできるようにして、それをセキュリティのオペレーションに反映できれば、WannaCryのようなクラッキングの被害を防げる。アノマリーを見つけたら、セキュリティオペレーションに自動的にフィードバックできる具体的な仕組みづくりを、日立と慶應の共同研究で進めることになった。

●世界ナンバーワンのセキュリティオペレーション技術を開発せよ

近藤：WG1のターゲットは「世界ナンバーワンのセキュリティオペレーション技術を開発する」ことだ。WannaCryのようなアノマリーが検知されたとき、自動的にセキュリティオペレーションに反映できることも目標の1つとなる。インシデント時のセキュリティ対応を自動化する「セキュリティーオートメーション」という考え方だ。

藤井：そのアイデアの一つが、分散型セキュリティオペレーションだった。分散型セキュリティオペレーションとは、1つの組織が中央集権的にセキュリティオペレーションを担うセキュリティオペレーションセンター（SOC）になるのではなく、SOCの機能を分散していろいろな組織でお互いを守り合うもの。自分だけで守るのではなく、他の組織の力を借りながら、情報共有してお互いを守るという考え方である。日立だけでインシデントに対応しきれないときは、慶應のリソースを使って守り合うというもので、セキュリティオペレーションの協創とも言える。

近藤：日立と慶應のコラボレーションは、単に相互に守り合うということだけでなく、一歩進んだ協創の形を実現することをめざした。

ネットワークが観測できるデータや、その情報を検知、分析できる技術は、それぞれの組織によって異なる。例えば、学術向けのISP（インターネットサービスプロバイダー）である「WIDEプロジェクト」のネットワークは、ネットワーク資源を多く持っている。IPアドレスを多く保有しているため、その中には接続する機器が割り当てられていないIPアドレス空間である「ダークネット」を作ることができ、ダークネットへの攻撃の情報を得ることができる。慶應のネットワークは、WIDEに接続しながら、フィルターをかけずに運用しているため、企業のネットワークでは得られない情報が入手できる。

藤井：一方で日立は、マルウエアの解析システムである「M3AS」（Multimodal Malware Analysis System、多種環境マルウエア動的解析システム）を開発し、高度な分析技術を持っている。この両者がコラボレーションすれば、慶應のネットワークで観測されたメールや添付ファイルなどの「検体」を、日立に送って分析してもらうことが可能になる。それぞれ単独ではできないセキュリティオペレーションの仕組みが作れる。

とはいうものの、検体となるメールや添付ファイルなどは、センシティブな情報でもあり、第三者に渡して分析を依頼するには一定以上の信頼関係が相互の組織間になければならない。信頼関係のある組織であることをどのように確認して、SOCの役割分担を実現していくか、それが分散型セキュリティオペレーションを実現するための課題だった。

●信頼できる情報交換により分散型のセキュリティオペレーションを実現

近藤：複数の組織にまたがってセキュリティオペレーションの機能を持ち合う分散型セキュリティオペレーションでは、通信ログや通信データといったセンシティブな情報を共有する必要がある。しかし単に情報を相手に送りつけたのでは逆にセキュリティリスクが高まってしまい元も子もないことになる。そのために、複数の組織──今回であれば日立と慶應──のそれぞれのSOCの中で、誰がシステムにアクセスし、権限を持っていて、何が履行されているのかを明確にする認証認可の技術が求められた。

今回の実証では、実は「2つの連携」を検証した。実証環境には、慶應の理工学部のネットワークと慶應義塾ITC、日立のM3ASによるマルウエア分析環境──の3つの拠点がある。連携の1つは、理工学部と慶應義塾ITCを結ぶもの。理工学部には13学科に100近い研究室があり、それぞれ独立性の高いネットワークを構築している。この独立性の高い複数のネットワークを、ITCと連携してセキュリティオペレーションを統一化して実施する。もう1つの連携は、慶應義塾ITCと日立のM3ASを結ぶもの。慶應側のネットワークで得られたセンシティブなデータを、日立のM3ASでリアルタイムに分析できるようにする。

藤井：こうした連携を実現するには、お互いに信頼関係があることを証明する必要があり、そのためにマルチドメインにまたがった認証認可を実現する仕組みを開発した。動的認証認可技術を駆使したもの で、2018年2月にプレスリリースを日立と慶應の連名で行っている。

近藤：マルチドメイン認証認可の新技術によって、セキュリティオペレーションが劇的に変わる。1つは、信頼関係のあるドメイン間ではお互いの機能をリアルタイムに確認した上で、センシティブな情報を送り合うことができるようになる。マルウエアの振る舞いなどを迅速により精密に分析できるようになることだ。これまでもセキュリティオペレーションのための標準的なフォーマットやプロトコルはあったが、認証認可の仕組みが整っていないために当たり障りのない情報を交換することしかできなかった。もう1つが人を介するオペレーションの改善だ。こちらは最終的にはCIRT（サイバーインシデントレスポンスチーム）への自動連携を実現した。

藤井：今の共同研究のステータスとしては、まだ動的認証認可技術が「完成」しているわけではない。現状は実際に稼働可能なシステムが出来上がり、改良を続けている段階にある。また、データの種類に対して誰がアクセス権を持てるか、といったことも精査している。日立としては、慶應のネットワークで実際に起きている情報をいち早く研究サンプルにできる「最前線フィールドの旨味」を存分に味わっている。

●オープンな「セキュリティオペレーションラボ」の存在と「人」の交流

藤井：共同研究の当初からBYOD（個人所有端末の業務利用）やIoT（Internet of Things）といった言葉が流行り分散環境が推進されるようになってきた中で、セキュリティオペレーションも分散化すると良いのではという方向性は見えてきた。しかし、実務的な話が始まったのはで2017年4月に近藤先生が共同研究のメンバーに加わってからだと思う。

近藤：実務的なミーティングをフェースツーフェースで行う場を増やした。日立のセキュリティ研究部のメンバーと慶應のメンバーとのミーティングを倍増させて、ようやく協創が具体的に動き始めた。ありふれた話だが、合う回数を増やし、議論する回数を増やすことで、中身を伴った議論が進み信頼関係が出来上がっていったのではないだろうか。

2017年11月に行われた日立の研究発表会で日立と慶應の共同研究の成果を発表しようと、それを目標に実際の実証実験を始めた。

藤井：日立としては、研究所の中に「オープンラボ（日立オープンラボ横浜）」 という社外の方々にも気軽にきていただけるスペースを用意している。実際にWG1のミーティングも、このオープンラボのスペースで実施した。

●異なるバックボーンを持つからこそコラボレーションが生きる

藤井： 社内にいると、どうしてもバックボーンが同じになってしまう。慶應との共同研究で外部の方々と話すことで、バックボーンが違うという当たり前のことを知るところが第一弾の体験だった。バックボーンが異なる共同研究では、社内のような短いスパンでは答えが出せないこともあるかもしれないが、そうすることで幅広い成果が得られる可能性が高い。

近藤：大学 としては、机上論で終わってしまわず現実にフィードバックできる研究を共同研究の成果として生み出せることが大きなメリットだ。アカデミックなインパクトだけを狙った論文や成果ではなく、実務に効果がある成果を生み出せるのが協創の意義だ。慶應義塾ITCは、大学の組織でありながらも実務を大切にする文化があり、実務と先端研究の両立を目指す日立とのコラボレーションは相性が良かったと感じている。

藤井：この共同研究は、日立と慶應だけに閉じるつもりはない。SOCの業種に多様性があることでこそ特定の脅威に負けない分散型セキュリティオペレーションが実現できる。だから異業種とたくさん連携できるような協創が1つの理想だと考えている。そのために日本シーサート協議会と連携して、協創のメンバーを募っている。

近藤：今後は情報をクラス分けしてカテゴライズし、アクセス権限を情報のクラスごとに割り当てるような運用が求められる。多様なCSIRTと連携するための基盤に必要な機能として、開発を進めていく。また分散型のSOCの構築のために連携を広げるには、相互の連携で情報漏洩が起きない仕組みも必要になる。

藤井：分散型セキュリティオペレーションの共同研究は、日立と慶應の協創から始まっているが、協創の範囲は両者にとどまらない。多くの企業や団体とコラボレーションして、インシデントに強いネットワークを「協創」していくことが今後のプロジェクトの成果として現れてくるだろう。

藤井康広（Fujii Yasuhiro）
システムイノベーションセンタセキュリティ研究部ユニットリーダ主任研究員
博士（理学）

世界の有名人が講演やプレゼンテーションするTED（TED Conferences LLC）は、開始したころから注目していて、今でも毎日欠かさず見ている。イノベーションを生み出す発表が多いことが特徴だと感じている。戦略・戦術・技術そのものを解説することでイノベーションをどうやって生み出すことができたか、ということについての印象的なプレゼンテーションも多いが、「大事なのはタイミングだけ、運が良かっただけ」というものも意外と多い。徳川家康ではないが、（研究者としては）成果が出るまで待ち続けることも重要なのだと感じさせられる。TEDにはためになる情報が多いので、英語の勉強も兼ねて閲覧されることをお勧めする。

近藤賢郎（Kondo Takao）
慶應義塾インフォメーションテクノロジーセンター助教

「楽観主義者の未来予測」（ピーター・H. ディアマンディス/スティーヴンコトラー著）が参考になる。 この本では「少なくともエンジニアは悲観主義的に語る必要はない」と指摘してくれる。AIやバイオテクノロジーなどキーとなる技術を生み続けることが、問題を解決することにつながる。人類はこれまでも幾多のシンギュラリティを乗り越えて生き延びてきた。エンジニアとして考えなければならないことは、課題を解決できる技術を「楽天的に」作っていくことだ、という本書の主張には大いに共感する。

＜関連情報＞

複数セキュリティ対応チーム間で連携して迅速なインシデントレスポンスを実現する「分散型セキュリティオペレーション」を実証
慶應義塾大学と日立が「超スマート社会」の実現に向けたサイバーセキュリティ分野の共同研究を開始
IoT時代を支えるサイバーセキュリティ（日立評論）
日立製作所、慶應義塾大学と共同で「分散型セキュリティオペレーション」の実証環境を構築（ZDNet）