どこからやってきたのか、サイバーセキュリティ?
サイバーセキュリティというと、どんなシーンが思い浮かぶだろうか?暗い部屋に青白く光るスクリーンが何枚も並んでいて、何やらカタカタとやっているかもしれない。どこかの研究所であれば、スクリーンにはリアルタイムのサイバー攻撃がマッピングされていて、まるで宇宙船の操縦室のようなシーンかもしれない。アメリカのテレビドラマだと、例えばMr. Robotでは前者のシーンが近いし、CSI:Cyberでは後者のようなクールなオフィスが展開されている。筆者はSFが大好きなのでひいきがかかっているが(実際のサイバーセキュリティの場面がどうかは、この際おいておく)とにかく、ぜひ見てみてほしい。
もちろん、サイバーセキュリティに関わる前の筆者のイメージは、テレビドラマのまんまであった。そして、そういうイメージを話すと、多くの企業人から、「うんうん、そんな感じ」という答えが返ってきて、日本含め多くの国では、「だから、そんなことウチではできないんだなぁ」という線の回答が返ってくる。やる気満々の企業でさえ、アウトソースをする企業さんが多くて、「自社の防衛の中枢を第三者に引き渡すなんて」と考える筆者は、迷惑な心配をしてしまうのである。こういう会話に共通しているのが「サイバーセキュリティは複雑で難解だ」という認識である。でも、本当にサイバーセキュリティはこんなにも複雑で難解なものなのだろうか?昨今、不足が叫ばれているサイバーセキュリティ技術者は、ギャップを埋めるべく育成できるものなのだろうか?
今回は、サイバーセキュリティの根底にある技術に焦点をあてて、上記の疑問を検証したい。
サイバーセキュリティ、実はフォレンジック調査?
もとをただせば、サイバーセキュリティは電子調査(デジタル・フォレンジック)に帰結する。刑事ドラマのように証拠品を分析しながら「どこで何がどのように起こったのか」を筋道立てて再構築していく、その作業の電子版である。電子機器やネットワークに対して犯罪が行われたら、刑事事件と同じように、それを調査する。
証拠品を素手で触ってはいけないのと同じように、電子データもただコピペをしたり、そのままファイルを開いたりしてはいけない。一見目に見えない指紋や洗い流された血痕と同じように、削除されたり巧妙に隠されたデータを復元することもできる。当然、それには特殊なIT技術が必要なのだが、その根本にあるのが「カーネル層レベルでのデータ収集」である。OSのそのまた下の層、0と1の機械語の一歩手前まで深堀りするのだ。そうしないと、どこかでデータの改ざんや取り逃しがあるかもしれないからである。
証拠収集のプロセスが押さえられたら、今度は地道に証拠物件をつなぎ合わせていく。もちろん、経験はものをいう:どういうところを先に検証するか、どういう証拠隠滅方法があるのか、そういう経験則的な手がかりがあればあるほど捜査は加速するし、新米の調査員ではなかなか解けない謎も解決できる。
ちまたに出回っているサイバーセキュリティ製品に組み込まれている「ブラックリスト」や「ふるまい分析」というような華やかな機能は、その地道な作業の結果、「どのような点に注意すれば、攻撃を検知できるのか」「こういう攻撃手法なので、こうすれば復旧できる」という、この調査知識の二次的、三次的産物である。この結果的産物だけ見ると、確かに「複雑」で「難しい」サイバーセキュリティ、というイメージも理解できる。でもサイバーセキュリティの大部分は、こういう地道な作業なのである。とはいうものの、「デジタル・フォレンジックの技術」がサイバーセキュリティの根底に走る一次産物である、ということを認識できている人は、意外に少ない。
実際、サイバー攻撃を受けてしまったとき、その後始末はほとんどデジタル・フォレンジックの技術に頼る。どういう攻撃だったのかを詳細にまとめ上げる必要があるとともに、生のデータをもとに影響範囲や適切な復旧方法まで、様々な場面で「事件の全貌を一から正確に組み上げていく」技術が必要になるのである。それに加えて、「改ざんを防げる」深さでのデータ収集の技術は、転じて「どんなに深入りしたマルウェアでも削除できる」という信頼できる武器にもなる。どんなに派手なアラート機能を搭載していても、どんなにセキュリティポリシーがしっかりしていても、そういうものは、事件を知らせてくれても、それを解決してはくれない。こればっかりはデジタル・フォレンジック技術に頼るしかないのである。サイバーセキュリティの技術者でも、デジタル・フォレンジック分野での経験の長さによって、攻撃の全貌をどれだけ暴けるか、その知識をもとにどれだけ強固なセキュリティ対策を考案できるか、実践の場で差が出てくる。
基本技術から捉えなおすサイバー
デジタル・フォレンジックをちょっと知っているだけで攻撃に対処できる時代はもうとっくに終わっているが、その知識があれば、サイバーセキュリティの基本は押さえられているといえる。複雑で「とてもうちではできない」と思っている組織のみなさんには、第一歩として「デジタル・フォレンジック」という分野を意識してもらいたい。根底にある技術が分かれば、なにも難解に考えることはないし、内部育成の道筋も見えてくる。
そこから派生して、サイバーセキュリティの製品やベンダーを考えるにあたって、一次産物である「デジタル・フォレンジック」にどれだけ精通しているのかというところも、新たな視点として加えたい。サプライチェーンマネジメントの視点で、最終的な製品だけでなく、「その部品たる産物に対してどれだけ知識やコントロールがあるのか」を考えるのである。ワクチンであれば、最終的なアセンブリ(薬品の注入)だけを担当している会社よりも、動物の飼育から培養育成までのプロセスを一貫して管理できている会社のほうが、品質にも自信が持てるだろう。「このワクチンはなぜ効くのですか?」と聞いて「さぁ…」なんて言われようものなら、打てるものも安心して打てない。
サイバーセキュリティ製品を作っている会社に置き換えると、デジタル・フォレンジックの製品からその電子証拠の法廷利用のソフトまで、一貫して「データ」に関わる製品を作る技術を持っている会社のほうが、自信が持てる。攻撃が複雑化し、経路も多層化するいま、サイバーセキュリティの二次的、三次的産物を製品化しているだけでは分からない根本的な技能は、これからもっと問われるであろう。
まとめーYes we can.
話をはじめにに戻すと、サイバーセキュリティは、そのもととなる技術を理解さえすれば、普通の人間に理解できないような代物ではないし、ほかの産業技術と同じように、順序立てて人員の育成だってできる。オバマ時代もさることながら、Yes we canなのである(ベタで申し訳ない)。そんなこともあってか、欧米では社内でのサイバーセキュリティ部門の立ち上げが一般化しつつある。その構成は、また別の回で参考程度にみてみるとしよう。