サイバーセキュリティ研究室の発足
世の中がサイバーセキュリティの重要性に気づきはじめた2000年頃がターニングポイントに
僕が大学の研究室に入った1997年は、まだサイバーセキュリティはそれほど注目を集める分野ではありませんでした。その当時はセキュリティというと暗号研究が主流で、私自身は情報ハイディングという、ダミーの情報のなかに秘密の情報を埋め込んで秘密裏に運ぶという研究を行っていました。サイバーセキュリティが注目を浴びたターニングポイントは2000年頃でしょうか。中央省庁のWebページが改ざんされる事件があって大きく報道されたことで、世の中がその重要性に気づきはじめました。
その結果、NICTでもセキュリティの研究をしなければならないとなったんですが、それでも当時のNICTのサイバーセキュリティ研究はまだマイナー中のマイナーで、はじめは4、5人の小さな研究グループとしてスタートしました。私は学生時代の2000年に研修生としてはじめてNICTのなかに入ったんですが、当時は非常時通信グループと呼ばれていて、災害が起こったときに必要な通信と、その一環としてセキュリティの研究を行っていました。そこから少しずつサイバーセキュリティ研究に対する理解や認識が高まるとともに、研究グループの規模が拡大、2005年からサイバー攻撃の観測分析システムNICTERの研究開発をスタートさせました。これがセキュリティ研究室(CSL)のはじまりのはじまりです。そして、2011年、サイバーセキュリティ研究室(CSL)が発足しました。
CSL独自の開発技術とそのあゆみ
NICTERを活用するプロジェクトの始動と、システムの派生
いまCSLで行っている研究は無差別型攻撃の大規模観測網であるNICTERから派生したものと考えてもらっていいかと思います。このNICTERを活用するプロジェクトを始動させ、とにかくデータをたくさん集めることに注力したのが第1期となる2011~2015年度です。NICTERは未使用のIPアドレスに届く通信を観測することで、インターネット上で発生しているサイバー攻撃を捉えるもので、沢山のIPアドレスを観測するほど多くの攻撃を捉えられます。ですので、いろんな組織と連携を行って少しずつ未使用のIPアドレスをお借りすることで観測網を構築しました。今では約30万アドレスまで増えていて日本最大の規模になっています。そうすると今度は、収集したデータを日本の社会のなかで実際にどう活用していくかという視点が必要になります。そこで、大規模ダークネット観測網であるNICTERを活用した対サイバー攻撃アラートシステムDAEDALLUSを外部組織へ展開するプロジェクトもスタートさせました。
第2期(2016~2020年度)では、収集するデータの量だけでなく、種類を増やすことを目指しました。例えばNICTERは無差別型攻撃を対象にしていましたが、特定の組織を狙う標的型攻撃の観測も行うために開発したのがNIRVANA改です。組織のなかのネットワークにおけるトラフィックデータや、対サイバー攻撃のアラートなどのデータを集めるといった、ローカルな観測をすることによりセキュリティオペレーションを効率化する統合分析プラットフォームとなります。また、WARPDRIVEはWebの世界の攻撃を対象にしています。NICTERのようにパッシブに待ち受けていれば届く攻撃とは違い、Web系の攻撃はユーザのブラウザアクセスをトリガーに攻撃が行われるため、ただ待っていても攻撃は観測できません。そこでユーザのブラウザ上で動くセンサーを一般ユーザに配布してWeb媒介型攻撃の情報を収集しつつ、悪性のWebサイトにユーザがアクセスしそうになったらブロックするという仕組みを始めました。他にも、大規模なダミーのネットワーク空間で人間の挙動、攻撃者の行動をステルスに観測するSTARDUSTなど、多種多様なサイバー攻撃に対応したデータ収集基盤を第2期では研究開発してきました。
現在の取り組み
未来志向なセキュリティ研究の2本立てで進行
第3期となる今期(2021~2025年度)は、データ駆動型サイバーセキュリティ技術とエマージングセキュリティ技術という未来志向なセキュリティ研究を2本立てで進めています。
前者の技術のひとつが、第2期の中盤から開発を行ってきたCURE(サイバーセキュリティ・ユニバーサル・リポリトジ)であり、これまでに開発してきたシステムで得られるサイバーセキュリティ情報をより大規模かつ定常的に収集し、それらを自動分析する仕組みを実現しようとしています。サイバー攻撃は必ずしも独立したものではなく、その裏では同一の攻撃グループによるものであったり、大きな攻撃インフラが複数の攻撃活動に用いられていたりと、何かしらの関連性があったりします。それらのサイバー攻撃の隠れた構造や関係性などを機械学習などの技術を用いて自動で見つけ出せないか研究開発を進めています。
後者は今後普及していく新しい技術に対応したセキュリティ技術の研究開発に取り組んでいます。例えば、5GやB5Gなどの新しいネットワークでは今までなかった機能や特徴があり、そこには新たなセキュリティリスクが潜んでいます。このような新しいネットワークのセキュリティ検証を行う技術の研究開発を進めています。他にも、ハードウェアや基板に不正なチップや機能が仕込まれていないかを解析するローレイヤでのセキュリティ技術や、ユーザブルセキュリティという人間に着目したセキュリティの研究分野へも取り組んでいます。
研究者として、室長として
「研究室のフィールドを作るのもひとつの実験」小学校でのコンピュータとの出会いから、マネジメントへの移行まで
私自身がサイバーセキュリティという分野に興味を持ったのは、小学校や中学校時代の経験が大きく影響しています。小学校ではじめて出会ったコンピュータはシャープのポケットコンピュータという、自分でプログラミングをして動かすことができるもので、子どもながらプログラミングに没頭していました。また、1982年の「トロン」というCGを使った世界初の映画があって、コンピュータのなかに人間が取り込まれて戦うんですが、その中に青い水を飲むとエネルギーがアップするというシーンがあります。私はこういうコンピュータ系のSFが好きで、コンピュータの世界のなかにハッキング技術などで入っていける、そういう世界観にのめりこんでいった。いつか自分も青い水を飲みたい、という思いが、サイバーセキュリティ分野の研究者になる最初のモチベーションになったと思います。
研究者というのは、最初はひとりで研究をはじめて論文を書き、良い国際会議で採択されてやっと研究者として立ち上がっていきますが、ことサイバーセキュリティ分野においては、ひとりの研究者だけでできることは非常に限られています。大規模な環境を作ってデータ観測するということになると、当然、エンジニアの人と連携しなければならず、研究者も複数人が必要になります。つまり、プロジェクト単位で活動しなければ、本当に使える技術を開発することができない。そういったことが研究をはじめたころにわかるようになり、組織づくりや体制づくりといったマネジメントへ移行していきました。
CSLでのマネジメントは、面白い人たちを集めてきて共存させると、アメーバーみたいにサブチームできて、そこから新しいものができていく。そういうフィールドを作ることです。研究室のフィールドを作るのもひとつの実験かと思っていて、楽しんでやっています。
終わらない戦いの先へ
攻撃者の一歩先をゆく研究開発を行う組織であり続けるために
かつてサイバーセキュリティ研究がマイナーだった要因のひとつには、サイバーセキュリティというものを正しく理解してもらうことの難しさにあったと思います。この分野の特殊性は、相手が物理現象ではなく人間であるということです。物理現象であれば、シャノン限界という通信容量の限界がある。しかし、ことサイバーセキュリティに関しては相手が人間ですから、どんどん進化していきます。当時からよく言っていたのは、犯罪行為は未来永劫なくならないであろう、ということです。それはサイバー空間でも同じです。
いたちごっこがいつ終わるのか――この質問に関しての回答は「終わらない」ということになります。しかし、サイバー空間での犯罪行為を察知する方法や防御する方法、ひいては犯罪行為する人たちをうまくやめさせる技術開発を続けていていくことはできる。そのために、あらゆるサイバー攻撃の観測をし、データを収集し、状況を把握する仕組みをつくることが重要であり、その役割を担っているのがCSLです。
CSLはこれからも、攻撃者の一歩先をゆく研究開発を行う組織であり続けたいと思っています。