セキュリティ
特別対談企画第二弾!川口洋さんに聞いた 『セキュリティ普及啓発の勘所』
Masato Kaneko
特別対談企画第二弾の今回は、情報セキュリティ業界で活躍されている、川口洋さんをゲストとしてお迎えしました。川口さんは、昨年に独立し「株式会社川口設計」を設立され、その代表取締役として様々なところで活躍をされています。
独立前は、国内の大手情報セキュリティ企業に所属し、セキュリティ監視センターに配属され、顧客組織のセキュリティ監視やインシデント対応の業務に携わられてきました。また、それと同時に、内閣サイバーセキュリティセンター (通称 NISC) に出向し、官公庁全体のセキュリティインシデント対応、一般国民向けのセキュリティ普及啓発活動などに尽力されてきたほか、次のような立場でも活躍をされています。
- 内閣府本府 情報化参与
- NICT CYDER 推進委員
- Hardening Project 実行委員
- 日本セキュリティオペレーション事業者協議会(ISOG-J) セキュリティオペレーション技術WG リーダ
- セキュリティ・キャンプ講師
全国各地での講演実績や、セキュリティアドバイザーという立場で様々な組織のセキュリティ課題に向き合ってきた実績を持つ川口さんに、情報セキュリティの普及啓発の大変さや課題解決の難しさ、多くの業界や組織の陥りがちな問題に対してどのようなアプローチで対策を推進されてきたのかなど、川口さんの経験に基づいた貴重なお話を伺いました。
ここからは、川口さんとの対談形式でその内容をお伝えします。
セキュリティ業界進出のきっかけ
金子「最初に、川口さんがセキュリティ業界に進出することになったきっかけを教えてください。」
川口さん「自分が大学院生だった頃、大学院 (研究室) のシステムの管理を任されたのですが、そのシステムがいつのまにか外部の何者かによりハッキングされていて、自分で直さなくてはいけなくなったのがきっかけです。『セキュリティ対策をしっかりやらないと、家に帰れない。』ということに気付かされました。もともとは普通のインフラエンジニアやシステムエンジニアを目指すつもりだったんですが、それがきっかけで自分のシステムのセキュリティの甘さや重要性に気づき、セキュリティ対策は必要不可欠なもの、という考えに変わったんです。
そして、侵入されているシステムを直しているうちに、セキュリティを面白いと思うようになりました。就職先を考える頃には、情報セキュリティの道に進みたいと思ってはいたのですが、当時、情報セキュリティを専門に扱っている会社は日本にほとんどありませんでした。その中で、雑誌に多くの記事を書いていたり、コミュニティ活動もやっていたのが LAC 社 (独立前に所属していた企業) でした。そこで LAC 社への就職を決意したんです。」
金子「自分が不正アクセスの被害を受けた、というのはなかなか大きな衝撃ですね。そこから必要に迫られて自分でセキュリティについて勉強していったんですね。」
川口さん「そうですね。当時は今とは全く状況が違い、情報セキュリティに関する書籍や情報もなければ、セキュリティの名を冠したコミュニティもなく、情報セキュリティを自分で学習するのが大変だったのを覚えています。研究室のサーバでは Linux を利用していたので、Linux におけるセキュリティの話に特に興味を持っていたんですが、外部の勉強会やセミナーで Linux のセキュリティに関する話題を取り上げている人がほとんど居ませんでした。私が知っている中で唯一、その当時に Linux のセキュリティというトピックで講演をしていたのが、岡田良太郎さんという方でした。そして、学生の身分ながら岡田さんの講演を聞きに行ったんです。学生だった私が最前列の真ん中で講演を聞いていたこともあり、岡田さんに興味を持っていただき、そのご縁もあり Hardening Project やセキュリティ・キャンプ事業などで一緒に活動する機会にも恵まれるようになりました。他にも、学生時代に知り合って、お世話になった方々と今でも繋がりがあり、その恩恵は大きいと感じています。IT も満足に使いこなせなかった学生時代、不正アクセスの被害にあって初めて必死にセキュリティのことを学んだのが大きなきっかけでしたね。」
金子「セキュリティを、他人事ではなく、自分事として考えることが出来たのが結果的に良かったんですね。」
取り組まれている事業内容について
金子「独立された現在、川口さんが取り組まれている事業内容を簡単に紹介していただいても良いでしょうか。」
川口さん「前職に引き続いて、全国各地で情報セキュリティに関する講演を行ったり、組織のアドバイザーや顧問に就いてセキュリティ対策のアドバイスをしたり、人材育成を手伝って欲しいという要望に応えたりなどをしています。顧客の組織毎にニーズが異なるので、そのそれぞれに沿ったものを提供している、という感じですね。最近、特に多く依頼をいただくのが、Micro Hardening (マイクロハードニング) を活用したトレーニングの提供です。」
Micro Hardening という言葉が出て来ましたが、Micro Hardening の詳しいお話をお聞きする前に、Hardening Project について簡単にご紹介します。
Hardening Project とは
Hardening Project とは、次のようなマニフェストを掲げているプロジェクトです。(以下、公式サイトより引用)
Hardening Project 2019 – 「衛る技術」の価値を最大化することを目指す、全く新しいセキュリティ・プロジェクト
WASForumは、2011年に発足したHardening Projectにより、2012年よりセキュリティ堅牢化の競技会を開催しています。このイベントは、最高の「衛る」技術を持つトップエンジニアを発掘・顕彰するものであり、技術競技(コンペティション)と、全チームの展開したセキュリティ施策の発表会の形式としています。
Hardening Project の競技会は、チーム対抗で行われ、8 時間という競技時間の中、脆弱性のあるビジネスシステム (EC サイト) へのハードニング (堅牢化) 力の強さを総合的に競い合うイベントです。問われるのはサイバー攻撃に対処する技術的な能力に留まらず、顧客からの問い合わせメール対応や取締役会での役員への報告、イベント会場内に仮想的に設置される IPA、JPCERT/CC 等のセキュリティ関係機関への情報提供、人事異動に備えた引き継ぎ資料の作成など、評価対象は多岐に渡り、現実的な問題解決能力も問われます。
それでは、続いて Micro Hardening の詳細に進みましょう。
金子「Micro Hardening を活用したトレーニングの提供とは、どのようなものでしょうか?」
川口さん「Micro Hardening は、サイバー攻撃に対処する能力をゲーム感覚でカジュアルに磨くことを目指す、Hardening Project から派生したサブプロジェクトです。通常の Hardening 競技会は、8 時間の一本勝負という競技なので、競技終了後の解説を聞いた後で、反省を生かすためにもう一度競技に戻ることはできませんが、Micro Hardening は 45 分間を 3 回、4 回と繰り返す形式を取っていて、解説を聞いた後で作戦を練り直して再チャレンジできる機会を設けているんです。いわゆるアクションゲームのように、プレイヤーには最初からいくらかの残機が与えられており、たとえミスをしたとしても残機の残っている限り再チャレンジできる。人は、最初に失敗しても、トライ・アンド・エラーを繰り返すことで次第に学習していき、だんだんと出来るようになるという特性を持っているので、それを教育に活かすようなかたちでトレーニングとして提供しています。何度も繰り返す、ということが成長において大事だと思うんですよね。顧客組織向けのトレーニングに活用する際は、一社単独で 10 人や 20 人などのエンジニアを対象として開催する感じです。」
金子「面白いコンセプトですね。通常の Hardening の競技会に参加した後は、悔しさが残ることが多く、その捌け口がないことでまた悩んだりしますが、Micro Hardening ではその悔しさをすぐまた次に生かせるのは良いですね。Micro Hardening ではどのようなシナリオを題材に取り上げているんですか?」
川口さん「Micro Hardening では、インターネット向けの EC サイトを守るというシナリオで開催している点は通常の Hardening と変わりません。EC サイトと言っても、ウェブアプリケーションのみが対象ではなく、動作に必要な他の関連サービスも対象になっていて、それらの堅牢化もチームの成績に影響してきます。通常の Hardening 競技会と違うのは、各種サービスを単一のサーバに集約しており、守らないといけないサーバの台数はチーム毎に 1 台のみ、という点です。4 人で 1 チームという想定で、チーム毎に 1 台ずつサーバを割り当てています。1 台であれば準備する手間も抑えることができるという理由もありますが、45 分間で 1 台のサーバだけを守るので、自分達にもできる、という感覚を参加者に持ってもらうのも狙いのひとつです。」
金子「なるほど。Micro Hardening を活用したトレーニング提供の強みはどういうところですか?」
川口さん「通常の Hardening 競技会は、運営としてどんなに良いシナリオを作成して提供することができても、それ以降に同じシナリオを使い回すことはしないんです。また、開催場所も限られていたり、開催回数も年に 2 回と決まっています。それによって、学びのチャンスや参加できる人数は限られてしまう。ですが、Micro Hardening であれば、システムはすべてクラウド上に構築していて、攻撃の全てを完全に自動化してあるので、場所や回数といった制約に縛られずに楽に開催することが出来る点を強みとして、川口設計の売り物にしてトレーニング提供をしています。また、偏差値も出すことができ、参加企業のエンジニアチームの成績を出して全国平均と比較することもできてしまうので、参加者は気を抜けませんよ (笑) 最近の事例だと、オリンピック・パラリンピック組織委員会向けのサイバーコロッセオの中でも提供しました。」
金子「攻撃を自動化している点もすごいですが、エンジニアのスキルを定量的に測ることが出来るのは、参加企業に対する大きなメリットにもなり、素晴らしいですね。」
川口洋流、セキュリティ普及啓発の勘所
金子「社会問題となっているサイバー攻撃の話は、情報システムの仕組みを知らないと脅威や対策を理解するのは容易ではないと思うんですが、そんな中でも情報セキュリティ対策の重要性を多くの人に伝えていかないといけないところに難しさがあると思います。川口さんはそんな難しさに対してどのような工夫をされていますか?
川口さん「聞いている人が何を聞いたら自分事としてやらなきゃと思ってくれるかを見極めて話すことが大事だと思っています。聞く側のプロフィールが分からないと、どこに焦点を定めて話をすれば良いのかを見極めるのが難しいです。逆に、例えばひとつの企業の社員向けに話すのであれば、企業活動に関連する話を取り上げれば伝わりやすいので楽でしょう。聞く人の属性が一様でないときは、様々な話題を散りばめながら話をするようにします。また、多くの方が共通して守りたいと思っているものとして、「お金」に関連する話を取り上げると、納得してもらいやすいと思います。例えば、自分の銀行口座を守るための方法なら大事ですよね、という感じで、そのためにパスワードを強固なものに設定したり、明細をきちんと確認してくださいね、というような働きかけをします。お子さんを持つ親御さんに向けた場所で話すときは、ランサムウェアに感染してしまうと、大事なお子さんの写真がすべて復元できない形に強制的に暗号化されてしまう可能性があるので、バックアップの取得が大事ですよ、という感じで話します。65 歳以上の方々に向けて話す機会もあるのですが、そこではなるべく難しい話はせず、例えば「いまお使いのパスワードに 1 文字だけで良いので足したものを設定して明日からお使いください。」という風に、難しいことは極力お願いしないスタンスで話をするようにしています。ただそれは、多くの方から見れば、そんな対策にどれほどの効果があるのか、と考えてしまうのも無理はありません。もちろん、セキュリティの専門家としては、本当のところはもっと本質的なところできちんと対策をしていただきたい気持ちがあります。ですが、色々と本質的な対策を提案したところで、結局何もしてもらえない、ということになってしまうよりは、ほんの小さな一歩でも良いから前進して欲しい、という思いで話をしています。聞いた人に「しょうがない、やってやるか。」と思わせるような話をするように心がけています。」
金子「1 文字だけ増やしたパスワードにしてもらうことを提案するなんて、自分には全く発想がありませんでした。セキュリティの世界に身を置いていると、本質的な対策が唯一の対策であると当たり前に考えてしまっていましたが、おっしゃるように、正論を並べたところで一歩も先に進まないようでは良いとは言えないですね。特に中小企業では、セキュリティ対策にかけるお金がない、という理由で対策が進まない組織も多いと思います。そういう場合はどうすれば良いでしょうか?」
川口さん「まず、お金をかけずにできる対策から始めましょう、という話をします。標準でインストールされているセキュリティ対策ソフトや機能があるのに活用できていない、ということは往々にしてあります。手元に既にあるもので、使い方次第で少しでも安全になる方法があるのなら、まずはそれについて言及します。お金をかける対策はたくさんありますが、お金をかけなくてもできる対策もたくさんあるんですよ、ということを伝えていくのも大事です。川口洋のセキュリティのコンセプトは「いかに早く楽に 90 点を取るか」です (笑) 90 点から 100 点満点にするには、お金も時間もかかる。100 点満点を目指したい人は、お金はかかりますが個別にセキュリティコンサルにお願いするのが良いでしょう。まずはやっていない人に一歩を踏み出させることが大切です。」
金子「最初から 100 点を目指さないセキュリティ対策、心に響きますね。お金の話に関連すると、首都圏と地方ではセキュリティ意識や予算感などに格差があるように感じています。地方でセキュリティ対策を普及させていくには、どういう風にアプローチすれば良いでしょうか?」
川口さん「地方では予算がないからセキュリティ対策はできない、という話になってしまうことが多いですね。それに対しては、先ほどの話でお金をかけずにできる方法を提供していくのが良いんじゃないかと思います。他には、公共機関に働きかけて対策を推進していただいたり、地域のコミュニティを活用していくのが良いと思います。先ほど紹介した Micro Hardening も、地方では無償で開催しています。誰でも少し頑張ればセキュリティ対策ができる、という小さな成功体験を持ち帰ってもらうのが狙いです。地方ではコミュニティを盛り上げて行くことが長期的に考えて良い方向に向かう方法のひとつだと思っています。」
IT 以外の業界へのセキュリティ普及のアプローチ
金子「IT 以外の業界では、セキュリティ対策の水準はまだまだ多くの課題があるように感じています。他の業界でセキュリティ対策を推進していくポイントは何ですか?」
川口さん「まずひとつは、法律による規定・規制があるかどうかという点だと思います。重要インフラ業界は、法律による規定・規制があるので、監督官庁の定めるガイドラインなどにきちんと従っているかどうかを軸に考えるのが大事だと思います。もうひとつは、IT やサイバー空間の活用がビジネスにとってどれだけ重要か、それらがどれだけビジネスに依存しているかという点です。重要インフラではないが、IT そのものがビジネスの中心にあるような組織では、ビジネスに大きな影響を与える可能性のある要因のひとつにセキュリティがあることはいうまでもありませんよね。逆に、IT やサイバー空間にビジネスが依存していないのであれば、対策の優先度や予算額も必然的に低くなりますが、最低限の対策として、銀行口座のお金を守る方法などは、どの業界にも共通しているはずなので、提案できるかもしれません。例えば、法人の銀行口座を二つに分散して持っておくなど。情報漏洩よりも金銭的な損失の方が企業へのダメージは大きいんですよね。」
金子「なるほど。金銭的な被害は直接的にビジネスの継続性に影響するのは間違い無いですね。大変参考になりました。是非これから活用させていただこうと思います!」
さいごに
全国各地でセキュリティ対策の普及啓発活動に取り組まれてきた実績をお持ちの川口さんならではの考え方は、私だけでなく、みなさんにとっても新しい気づきを得るきっかけになったのではないでしょうか。
まずはお金をかけずにできることから始められるセキュリティ対策もあるはずです。
みなさんの組織でも、できることから少しずつ始めてみませんか?
川口さん、貴重なお話をありがとうございました!