スペシャルインタビュー
SecureGRID Portal開発事例
高度化するサイバー攻撃に備えるため、組織間の脅威情報の共有・連携を図る目的で生まれたWebサイト「Secure GRID Portal」。その狙いや社会的背景、セキュリティ分野の最新動向などについて、本プロジェクトを率いた株式会社ラックの次世代セキュリティ技術研究所長・小笠原恒雄氏にお話を伺いました。
株式会社ラック
サイバー・グリッド・ジャパン 次世代セキュリティ技術研究所長
小笠原 恒雄
[SecureGRIDアライアンスとは]
日々狡猾に進化するサイバーリスクに対抗するには、単独の組織だけではできません。そこで、国内のさまざまな組織が有するサイバー脅威情報を共有し、脅威分析に取り組むための効果的な組織間連携を目的としてスタートしたのが、「SecureGRIDアライアンス」です。参加組織は、Webサイト「SecureGRID Portal」を活用することで、アライアンスメンバーの各組織から提供される脅威情報を蓄積するオープンソースの脅威情報共有プラットフォーム「MISP(Malware Information Sharing Platform)」での相互検索が可能となり、情報共有・連携体制の強化を通じて、自組織の脅威分析やセキュリティ対応能力の向上を図ることを目指します。
取材/2022年2月
高度化する、サイバー攻撃
― 今回の開発に至る背景と経緯についてお聞かせください。
小笠原:IT機器が社会の隅々に行き渡る現在、ネットワークを通じて特定の組織や企業、個人のコンピュータシステムを標的として、情報の改ざんや搾取、システムの破壊などを仕掛けるサイバー攻撃は、その手口が日々進化、巧妙・複雑化しており、対策は喫緊の課題となっています。自組織単独での対応はもちろんのこと、他組織と連携を図り、情報を共有しなければ、高度化するサイバー攻撃に太刀打ちできなくなっています。基本的にサイバー空間では、攻撃を受けた場合、通信相手を識別するための番号であるIPアドレスによって、どこから攻撃してきたのかがわかります。攻撃者が使ったツールや手口、悪意のあるプログラムやソフトウェアとなるマルウェアの痕跡など、残された情報を解析することで、背後にいる攻撃者の目的や背景が見えてくるのです。こうした脅威情報を“サイバー脅威インテリジェンス”といい、この脅威情報を共有し、他組織でも活かす仕組みを構築できないかと考えたことが、開発のきっかけです。多様な組織の参加を募り、組織間連携を図りながら、脅威情報や分析結果を共有することで、他の組織が同様の手口による攻撃を受けないよう、セキュリティレベルの向上を目指すことをコンセプトに、ベースとなるツールの開発を内部で進めてきました。
― 最近のサイバー攻撃には、どのようなものがみられるのでしょうか。
小笠原:例えば、ランサムウェアという不正プログラムは、身代金を意味する“ランサム”と“ソフトウェア”の造語です。これは、システムに感染するとディスクやファイルが暗号化されてしまい、制限解除の代償として身代金を要求してくるようなマルウェアの一種です。最近は、足のつきにくいビットコインでの支払いを要求するケースが増えています。また、以前のランサムウェアは、PCをターゲットにしていましたが、最近では企業をターゲットとしています。実際に攻撃者が組織内部に侵入して感染を拡大させることから、“侵入型ランサムウェア攻撃”と呼ばれています。この攻撃の中には、侵入して単にデータを暗号化するだけではなく、被害に遭った事実を特定サイトで不特定多数に暴露したり、暗号化する前に情報窃取を行い、暗号化したデータの復元とは別に、窃取した内部情報を公表するとして金銭を要求したりします。後者の手口は“二重脅迫型ランサムウェア攻撃”と呼ばれています。このように、より巧妙な手口も発生しており、複雑化しています。
脅威情報を共有し、備えるためのプラットフォーム
― 今回の開発は、どれくらいの期間を要しているのでしょうか?
小笠原:脅威情報の収集と分析を始めたのが、約4年前。そのデータを蓄積する環境づくりを進めるうちに、データが集まってきたので、研究に活用するためのベースのシステムを開発し始め、分析環境を整え、一昨年、社内のアナリストに使ってもらうものをリリースしました。1年ほど運用して、次のステップとして外部からの参加を募るため、今回の取り組みを開始しました。
これまではインシデントが起きると、攻撃の事実を隠したいという意識が働き、情報が組織外に出なかったため、同様の手口が繰り返されていました。それでも、同じ手口ならば、人を介してネット上にレポートや情報が公開されることで、セキュリティ対策は可能でしたが、特定の組織をピンポイントで狙う標的型の攻撃が現れたことで、他の組織が攻撃に備える術がなくなり、情報共有が大きな課題となっていました。こうした状況を背景に、個人発信に依存しない、システムを介した情報連携、情報共有を可能にするプラットフォームづくりを目指したのです。
ベースとなるバックエンドの開発は、視覚障がいのある弊社メンバーが構築しました。部署メンバーの半数は視覚障がいがありますが、サイバーセキュリティに関する総務大臣奨励賞を受賞したメンバーもおり、コロナ禍の中、フルリモートで、みんなでワイワイやり取りしながら開発を進めました。フロント部分も内部で手掛けたのですが、社内の検証が終わり、対外的に活動を展開していくにあたり、ユーザーが直接触れるフロントエンドに関しては、使い勝手も含めてしっかり作り込みたいと考え、外部ベンダーに依頼することにしました。
アップフロンティアを選んだ決め手とは
小笠原:サイトの運営にあたり、研究業務に支障が生じないよう運用やメンテナンスには、あまり労力をかけたくないと考えていました。それと、もともとアプリ化も視野に入れていたので、PCサイトに加えて、AndroidやiOSのネイティブアプリを作るとなると、ソースコードの管理が煩雑になります。できれば、一つのソースコードで開発できないかと考え、React Native(※1)という技術を使えないかと数社に相談したところ、親身に具体的な提案までしていただいたのが、アップフロンティアさんでした。今回、React Nativeはコスト面で見送りましたが、将来的にソースコードの一元化を目指すのであれば、React Nativeでの開発も見据えた上で、アップフロンティアさんに依頼するのがベストと考えました。
UPFT:今回はReact(※2)による開発で、Webサイトがメインでしたが、スマートフォンのブラウザでも開けるように作っています。ただ、アプリではないので、PCとスマートフォンでは見え方が若干異なっており、その表示の細かい調整と作り込みには、かなりこだわりました。
小笠原:スマートフォンで見られるようにした理由は、手軽さや緊急時の対応力です。インシデント対応は、いつどこで起きるかわかりません。会社にいない時でも対応しなければならないので、スマートフォンの方が便利で使いやすいし、即応性の面で役立ちます。
※1/React Native(リアクトネイティブ): Facebook(現Meta)が作成したオープンソースの開発用モバイルアプリケーションフレームワーク。JavaScriptで開発でき、iPhone、Androidのどちらでも動かすことが可能。
※2/React(リアクト):Facebook(現Meta)主導でコミュニティと開発したユーザインタフェース構築のためのJavaScriptライブラリ。
― アップフロンティアサイドとして開発に際し、苦労したこと、工夫した点はありますか?
UPFT:当初、セキュリティに関する専門用語やデータ構造の理解に苦労しました。専門用語については、用語集を作成し、わからないことは都度、確認しながら進めました。データ構造に関しては、データの関連性を図表化し、裏側でシステムがどういうことをしていて、出てきたデータを画面上でどう見せるか、そこをしっかり理解するよう努めました。インタフェースを見やすくし、どのような使い勝手にするかという部分を丁寧に擦り合わせながら、画面仕様書を作り、設計に落とし込んでいきました。
小笠原:フロントエンドはアップフロンティアさん、バックエンドはLACという役割分担でしたが、もともと内部で開発したインタフェースはとりあえずの仕様だったため、ドキュメント類が整理されておらず、要件も定まっていませんでした。そのため、相談しながら一緒に方向を探り、いろいろアドバイスをいただけたことで納得して進めることができました。柔軟な対応で、とても助かりました。かなりいいインタフェースに仕上がったと思っています。
― どういうユーザーの参加を想定されているのでしょうか?
小笠原:対象は、データを保有している企業や研究組織ですが、こうしたプラットフォームを介して情報交流できるようになると良いと考えています。もう一つは、当社がお客様対応しているエンドユーザーや日々セキュリティ対策を行っている産学官組織です。実際にインシデントが起きた場合の情報ソースとして活用していただくことを想定しています。
セキュリティ分野は人材不足で、脅威情報の共有は、個人発信に頼っている状況です。これを組織発信で行えるようシステム化を行い、情報を安定的に他の組織に横展開し、同様の手口に遭わないよう連携・共有することで、他の組織の防御に役立てることができます。現状のシステムでできるのは検索までですが、今後は共有された情報をチェックし、問題なければ、自組織のセキュリティデバイスに適用し、検出されたら告知する、そういう自動連携の仕組みを目指していきたい。まずは参加組織を増やし、情報を蓄積する必要があります。広範囲から情報を集めることで、それがノウハウになる。多様な脅威情報をつなぐことで、そこからわかることがあると考えています。情報を辿る作業を通じて、見えない攻撃者の活動が見えてくるかもしれないし、その分析結果をセキュリティ対策に活かすことで、対策自体の厚みも増します。SecureGRID アライアンスは技術研究の場でもあり、その研究活動で得られた脅威情報をMISPに格納し、SecureGRID Portalを介して、アライアンスメンバーに公開・提供するというのが、核となるコンセプトです。こうした一連の取り組みを通じて、参加組織の分析力を高めてほしい。日本は、海外のセキュリティ製品に依存していて、受け身の状態です。自分たちの組織でセキュリティ分析をして、解析能力、対応能力、対策力を高めることに、SecureGRID Portalを活用してほしい。それによって各組織の担当者や研究者の方のセキュリティレベルの向上につなげていくことが、このプラットフォームの目的と考えています。
情報共有・情報連携の、その先へ
小笠原:今回アップフロンティアさんと開発したことで、ある意味、第三者的な目線で開発を捉えられるようになりました。追加機能の必要性や新しい方向性など、いろいろ気づきもあり、次のステップでどう進化させていくかのイメージも掴めました。外部に向けて発信するために、品質をしっかり保持して、期限を決めて進めていくという経験は、研究機関としては貴重です。今後は通知機能の強化と分析機能、双方向で情報収集する仕組みなどを考えながら、将来的には、スマートフォンで手軽に分析ができるようにしたいと考えています。組織間連携を通じたコミュニティづくりも進めて、今後の脅威動向やセキュリティ対策に関する議論ができる場にもしていきたいと考えています。人のつながりも含め、将来を見据えてシステマチックな環境になっていくといいなと思います。
UPFT:今回の開発経験で、セキュリティの重要性を痛感しました。プライバシーマークの取得やセキュリティに対する知見を社内で共有していましたが、それだけでは、日々進化するセキュリティ要件の理解には限界があることに気づかされました。SecureGRID Portalは、会社・組織間の垣根を越えて連携することで、広く情報収集・情報共有できるサイトですが、本プロジェクトで得た知見を活かし、アプリの付加価値の一つにセキュリティを据え、社内研究活動によるミニ分科会なども開いていきたいと考えています。サイバー攻撃という脅威が身近に迫っているという危機意識を肌で実感できたことも、この開発を通じて得た成果の一つといえます。
どうも、ありがとうございました。