AI時代のサイバー攻撃にセキュリティの「ハイマスター」が立ち向かう

国内外で多くの企業を混乱に陥れるランサムウェアや機密情報を狙う標的型攻撃、Webサイトを改ざんしての情報窃取など、いまやサイバー攻撃に関する話題は後を絶ちません。こうした様々な脅威から企業や組織を守るには、最先端のセキュリティ技術はもちろん、様々な分野の豊富な知見を持つ専門家の力が不可欠です。

そこで富士通グループでは、こうしたニーズに対応するため、セキュリティの専門人材を認定する「セキュリティマイスター」の制度を設けています。

そして、富士通研究所 セキュリティ研究所には、セキュリティマイスターの「ハイマスター」として認定されている、脅威動向の調査から防御に関する研究など、最高レベルのセキュリティスキルを持つ研究員が在籍しています。異色の経歴を経てセキュリティ研究のキャリアを積み上げ、現在、シニアセキュリティコーディネーターとしてハイマスター認定を受けている海野由紀もその1人です。

海野は、元々は研究者ではなく、事業部門でネットワーク運用管理に関するミドルウェアの開発に携わっていました。

「1990年代後半は世の中にインターネットが普及し始め、コンピュータウイルスやワームが登場してサイバーセキュリティに関心が高まった頃でした。そのとき、どうすればミドルウェアに脆弱性を作りこまず、安全にシステムを構築できるかという問題意識を抱き始めました」（海野）

そうした折に、富士通研究所でアプリケーションセキュリティに携わる人材の社内公募があったことから、思い切ってチャレンジし、研究所に移籍。安全なミドルウェアを開発し、脆弱性を減らすにはどうすればいいか、メンバー皆でアイデアを持ち寄って方法論の確立に取り組み始めました。開発者時代に痛感した『脆弱性をつくってはならない』という考えが、いまでも自身の研究に根付いているといいます。

2010年代に入ると富士通社内のみならずIT業界全体に、システムの企画・設計段階から情報セキュリティ対策を施しておくという「セキュリティ・バイ・デザイン」の考え方が広がりはじめ、アプリケーションセキュリティ分野が成熟してきました。一方で、日本の企業や組織を狙う標的型攻撃の存在が明らかになり、実被害も報じられるようになってきた時期でもあります。

その中で海野が次のテーマとして選んだのが、現在も取り組んでいるサイバーセキュリティ領域です。その対象は、脅威の検知はもちろん、脅威が侵入した後の分析・対処やフォレンジックといった分野に広がり、さらに、その手法も統計学や機械学習などを駆使したものへと進化しています。

海野は今、国内外のカンファレンスや学術情報をウォッチしながら、サイバーセキュリティ領域の研究に取り組んでいます。「大学などアカデミックな世界での研究にも素晴らしい面は多々ありますが、自分たちが作った技術が実際に何らかの形になり、世の中の役に立つことがうれしく、研究開発のモチベーションにつながっています」といいます。

例えば、海野らが開発したマルウェア検知技術は、グループ会社であるPFUが提供する「iNetSec SF」の中に活かされています。社内のネットワーク通信を自動的に解析してサイバー攻撃の状況を効率的に分析する「高速フォレンジック技術」は、富士通が提供するグローバルマネージドセキュリティサービスで活用されています。

目下、海野が取り組んでいるのは、検知・解析の次のステップです。機械学習技術を用いてログや痕跡情報を分析して適切に判断を下し、バックドア削除やネットワーク遮断といったアクションをとるところまでを自動化・効率化するというものです。この背景にあるのが、標的型攻撃の高度化です。

「2000年代前半に標的型攻撃が登場した頃は、まだ攻撃のペースも緩やかであり、対策に十分な時間を取ることができました。しかし最近では、攻撃者の間である種のエコシステムができ上がり、ツールの共有や自動化が進んだため攻撃のペースも速くなっており、対策側も一層のスピードアップが必要です」（海野）

そこで現在研究中の技術では、機械学習を用いて、収集した痕跡の中から業務に関連するものと外部からの攻撃などそうでないものをスピーディーにより分け、攻撃の全体像を描き出そうとしています。今は人手に頼ることの多い作業を機械が肩代わりすることで、攻撃に負けないスピードで対応していくことが狙いです。現在はすべての処理を自動化できるわけではありませんが、自動化できる領域を増やすべく、現場での検証を進めています。

こうした取り組みの中で活かされているのが、実際にミドルウェア開発に携わっていた経験です。

「『新しい技術やツールを導入したのはいいけれど結局使えない、活用できない』では意味がありません。現場で本当に運用できるものを適切に提供するために、エンジニアやSOC（Security Operation Center）のメンバーなど、多様な現場の仲間と意見交換しながら改良を進めています」（海野）

先に触れたように、セキュリティマイスターの認定を受けている海野は、技術開発のほかにも様々な役割をこなしています。

1つは、富士通グループの様々な技術者から寄せられる相談への対応や情報交換です。例えば、新しい攻撃が報告されたときに、その性質や危険度を判断する材料を提供するなどの役割を担っています。

セキュリティに関する知見と現場の経験を活かすことで「メディアでは大きく報じられているが、現実のシステム構成ならば大きな影響が及ばないから、そこまで危険視しなくてもいい」という冷静な判断を下せます。

例えば2017年、世界的に広がったランサムウェア「WannaCry」が拡散した時に海野は、その性質を踏まえ、どこが検知のツボになり、どのくらいのスピード感で対応すべきかといった経験者ならではのアドバイスを行いました。これは2000年前半流行した「CodeRed」などのワームに対応した経験が活かされています。このように、セキュリティ研究者ならではのナレッジとウィズダムを伝えるのも重要な役割です。

もう1つは、富士通の「顔」として対外的に、情報発信やコミュニティ活動を促進していく役割です。様々なコミュニティやカンファレンスで積極的に発表し参画していくことで、活動の幅を広げています。

例えば、2018年から情報セキュリティコミュニティ「BSides」の日本版となる「BSides Tokyo」が国内外の有志によって立ち上げられた際も、富士通からは同じくハイマスターの1人、青山荘也（富士通統合システム研究所）とともに初期メンバーとして参画し、いまでもともに運営に携わっています。

「国内には数々の素晴らしいセキュリティカンファレンスがありますが、BSides Tokyoでは少し毛色を変え、なるべくハードルの低い、参加しやすい場にしたいと考えています。同時に、日本の優秀なセキュリティ技術者や研究者が世界に向けて情報を発信する支援の一助となるよう努めています」（海野）

自分自身も楽しみながら、これからセキュリティに関わろうと考える若い技術者にとっても役立つ場を企画していく海野の姿に、富士通研究所の目指す「まず自分たちでやってみよう」という研究開発のスタンスが重なります。

富士通研究所では、海野のように様々なバックグラウンドを持った人たちが、それぞれの知見と研究活動を活かし、活躍しています。AI、ネットワーク、ハードウェア、ソフトウェア、数学、法律など様々な分野の専門家が連携し、高いダイバーシティの中でセキュリティに関する議論・研究を推進しています。

海野も大学では統計学を学び、最初の業務はミドルウェア開発といった、セキュリティとは無関係の分野を歩んでいましたが、セキュリティというすべての分野に関わる課題、壁にぶつかったことで、セキュリティ分野へと舵をきり、研究者としての歩みを進めています。

その間、出産、子育ても経験し、育児休暇や時短勤務を経ながら研究に取り組んできた海野は、いままさに推進されているテレワークも早い段階で活用できたことに感謝していると話します。

「周囲に助けられながら様々なツールを駆使していましたが、どうしても時間は限られてしまいます。『いつまでにこれをクリアしよう』という明確な目標を自分の中で立て、小さいゴールをクリアすることをひたすらに繰り返して両立を図ってきました」

最後に、研究員としての海野が将来を見据え話します。

「機械学習を用いたセキュリティ対策が広がるにつれ、敵対的なサンプルを入れてデータを汚染し学習モデルを攻撃する様々な手法が発表されています。こうした手法による被害はまだ報告されているわけではありませんが、安全な社会をつくるという富士通研究所の使命のもと、常に先を見越した研究を行い、安全なAI・機械学習のシステムを作らなければならないと考えています。こうした使命のもと、データサイエンスとサイバーセキュリティを融合させるなど技術の組み合わせによる研究も重ね、また新しい技術をつくっていけたらと考えています」