助成研究者情報(高倉弘喜先生2)|安全安心な科学技術の振興:セコム科学技術振興財団

名古屋大学 情報基盤センター  情報基盤ネットワーク研究部門 教授 高倉弘喜先生インタビュー「次世代ネットワークにおける持続的標的型攻撃の検出手法の開発」


ですが、誰もが研究していない「道なき道」をいかれたのは苦労の連続だったのではないでしょうか。

 2005年ぐらいまでは、大きな研究費がなかなかもらえませんでした。ですが、幸運なことに、2000年に助教授に着任したその日に、京都大学のキャンパスネットワーク総入れ替えプロジェクトに補正予算が付きました。これは京都大学のあらゆる教育、研究、事務組織など、これまでバラバラだったネットワークを一括で管理するために抜本的に構築しなおすという壮大なものです。合計15億円程度のプロジェクト経費でしたから、私にとっては大きな研究費をいただいたようなものでした。そのかわり、着任初日から泊まり込みになり、自宅でのお祝いの夕食はキャンセルになりましたが。

ネットワーク構築のどの部分を担当されたのですか。

 予算要求時に済んでいた基本設計を除けば、その後の詳細設計、調達、導入計画の立案、ネットワーク管理方針の策定などのほぼすべての指揮を任されました。もちろん、回りの先生たちや技官さんたちに助けて頂きました。基本的に京都大学構内にあるすべての教室、研究室、事務室と1万本以上のLANケーブルを新規に敷設することにしたのです。総計1万2千個もの情報コンセントを全部、データベースで管理できるようにしました。ネットワークのアクセスも「教授の部屋から学生の部屋にアクセスは可能だが、その逆は不可能」というように細かく制御しており、現在では4000個に細分されたネットワークを制御しているとのことです。
 おそらく普通の大学では、よくてフロア単位までしかセンター管理のLANケーブルは引かれていないはずです。個々の部屋への配線は、各自でおまかせしますという発想です。しかし、これを認めてしまうと、配線の付け替えを個人が勝手に行えてしまうため、末端がどこまで伸びているのか、誰が使っているのかを把握できません。いざマルウェアに感染したとき、ネットワーク管理者は「どこにある誰のコンピュータが感染しているのか」を突きとめることから始めねばならず、無駄な時間がかかってしまいます。仮にその初動捜査に30分かかったとしますと、その30分があとあと命取りになってくるのです。

どういうことでしょうか。

 大学のどこかの部屋のパソコンがマルウェアに感染したとします。すると、たとえ短時間であってもフロアまたは棟全体にまで広がってしまう可能性があるのです。こうなるともはや、ネットワーク全体への侵攻を止める術はありません。しかし、京都大学では、部屋毎にラインを管理できていますので、見つけた瞬間、そのラインだけをシャットダウンすれば、被害をその部屋だけに留めることができ、隣の部屋への侵攻を阻止することができます。
 当時、情報コンセント1個1個を完璧に把握できるネットワークシステムを構築するということを学会で発表すると「無理だ」「理想と現実は違う」「運用コストがかかりすぎる」というように受け止められました。しかし、いまの時代になってやっと、それは正解ではないかと、言われはじめています。

そうした柔軟で強固なネットワークシステムを、京都大学で立ち上げられましたが、それでも現在の悪意ある攻撃は、どんどん進化しているのですね。

 はい。冒頭でも少し述べたように、現在の攻撃の特徴は「見えない」ことです。どういうことかといいますと、何度か申し上げているように、従来のウイルス駆除ソフトで察知できるものは、すでにどこかのネットワークを攻撃し、セキュリティ会社などが検知済みのものです。ですから新しいマルウェアについては、基本的に「見えない」ので、対処しようがないということになります。また、ウイルス駆除ソフトというのは、その種類が、攻撃者に分かると、対策されてしまうという落とし穴があります。例えばメールサーバを外部から調べれば、そこに搭載されているウイルス駆除ソフトが特定できることがあります。ウイルス駆除ソフトは攻撃者も簡単に入手できますので、同じものを使って検知できないマルウェアを作ってしまえばいいのです。

ソフトを特定後、そのソフトが検知できない仕組みで攻撃をしかけてくるということですね。

 はい。方法はたいへん巧妙です。企業なら広報担当者、人事担当者など、外部の不特定多数の人とメールのやりとりをしなければならない端末が狙われます。
 たとえば、人事担当者に面接希望者から履歴書がワードファイルで送られてきたりします。ワードファイルのなかに、マルウェアがしこまれていたりします。でも、普通に見ただけでは、区別がつきませんし、会ったことがない人からのメールであっても、職務上、担当者はそのファイルを開けてしまうでしょう。ですから、不特定多数の外部の人と頻繁にデータをやりとりするパソコンは、内部のネットワークから切り離しておく必要があります。

サーバ内のすべてのファイルにアクセス権限を設けるという情報対策がありますが、これは有効ではないのでしょうか。

 最近では効果が薄まりつつあります。なぜならアクセス権限のある人のパソコンを乗っ取った上で、めざすファイルにアクセスされればこれを阻止することは不可能だからです。
 また、数年前は「夜中に動いている端末が怪しい」として、検知ができていましたが、いまのマルウエアは昼に動きます。朝9時に出社してきてパソコンを起動、ワードやエクセルが起動したのと同時に、使用者が知らないうちに裏で攻撃をはじめるプログラムが仕込まれているからです。
 さらに現在のネットワーク攻撃では、騙し討ちの攻撃が多いことが特長として挙げられます。1分間に何千回という全く効果のない攻撃を仕掛けながら、たった一発の攻撃で乗っ取りに成功してしまう。そうすると、通常のセキュリティ監視システムでは、つねに警報が鳴りっぱなし──という状態になります。これでは管理者は、全て一つひとつに何に対して対処をすればよいかわからなくなります。

では実際の現場では、どのようなセキュリティ対策が行われているのでしょうか。

 たとえば軍事機密情報を扱うネットワークなどは、あらゆる通信箇所に監視デバイスを設置して、すべてをチェックするという方式をとります。つまり、流れている通信データをすべてディスクに一旦保管し、リアルタイムで解析をするのです。解析の結果、不審な通信を検知できれば、瞬時にネットワーク管理者に報告があがるようになっています。しかし、これを一般的な組織で行うと、膨大な費用と労力がかかることがネックです。先ほどお話しした京都大学の規模なら、年間100億円になります。