セキュリティ診断の「切り込み隊長」、イエラエセキュリティが拓くフォレンジックの先にある地平 | ScanNetSecurity
2020.07.02(木)

セキュリティ診断の「切り込み隊長」、イエラエセキュリティが拓くフォレンジックの先にある地平

フォレンジックという従来からあったサービスに、果たしてイエラエセキュリティがどんな価値を追加するのか。その目的と展望を、牧田氏と同社フォレンジックチームに本誌編集長上野が話を聞いた。

製品・サービス・業界動向 新製品・新サービス
株式会社イエラエセキュリティ 代表取締役社長 牧田 誠 氏
株式会社イエラエセキュリティ 代表取締役社長 牧田 誠 氏 全 6 枚 拡大写真
 株式会社イエラエセキュリティ。脆弱性診断サービスについて少しでも調べればこの会社の名前を見ないことはまずない。

 「イエラエセキュリティは変わったものを診断しているイメージがある」とは、ScanNetSecurity編集長上野宣の言葉。

 セキュリティ診断を主事業とする同社だが、2018年にロシアで行われたハッキングコンテスト「MeterH3cker」で準優勝したときのテーマは「スマートシティ」がテーマだった

 「技術的に面白ければやるのがイエラエセキュリティのスタンス」そう語る代表の牧田氏は、社員の研究用になんとテスラの電気自動車を購入すらした。クルマ以外にも、スマホアプリ、 IoT 、ドローンなど、片っ端から新しい診断対象領域を切り開いてきた。

 セキュリティ診断という、決して新しくなかったサービス領域に、これまでなかった付加価値を技術力によって創造できることを証明したイエラエセキュリティが、4月にフォレンジックサービスを新たに立ち上げた。

 マルウェア感染調査や内部不正調査に加えて、クラウドフォレンジック調査も提供するという。

 フォレンジックという従来からあったサービスに、果たしてイエラエセキュリティがどんな価値を追加するのか。その目的と展望を、牧田氏と同社フォレンジックチームに本誌編集長上野が話を聞いた。


今回お話を聞いた人物:
株式会社イエラエセキュリティ 代表取締役社長 牧田 誠 氏
同社 高度解析部 フォレンジック課 課長 神崎 智敬 氏
同社 会川 尚太郎 氏
同社 寺岡 良真 氏


●CSIRTを助けたい

上野(以下「――」)ペネトレーションテストで侵入後に見つけたファイルを調べたりするのはフォレンジック的なところがあると前から思っていました。今までイエラエセキュリティは脆弱性診断がメインですが、フォレンジックサービスを今後増やしていく計画なんですか。

ScanNetSecurity 上野 宣
ScanNetSecurity 上野 宣

【牧田】フォレンジックは第二の事業としてやっていきますが、その先にもう少し広い世界があると思っています。セキュリティ診断などの予防策でインシデント発生確率を下げつつ、それでも発生してしまったらフォレンジックを提供してCSIRT を助ける役目を果たしたいなと思っています。技術力でCSIRTを助けていく、というのを今後のイエラエセキュリティの大きい軸にしていきたいと思っています。フォレンジックチームは6名でのスタートになります。

株式会社イエラエセキュリティ 代表取締役社長 牧田 誠 氏
株式会社イエラエセキュリティ 代表取締役社長 牧田 誠 氏

――素晴らしいですね。どこにそんなにフォレンジッカーがいたんですか?

【牧田】結構いるんです。相当面白いメンバーが集まっています。

●インシデント対応からフォレンジックまで「セキュリティ観点の支援」を提供

――CSIRTを助けるフォレンジックという意味だと、刑事・民事のどちらかというと、民事寄りのフォレンジックになるんですか?

【神崎】民事か刑事かという分け方はしていません。インシデントが起きた、もしくはインシデントなのかよく分かっていない方も、とりあえずイエラエセキュリティに相談いただければ、インシデントレスポンスやフォレンジックなど多方面でお手伝いします。

株式会社イエラエセキュリティ高度解析部 フォレンジック課 課長 神崎 智敬 氏
株式会社イエラエセキュリティ高度解析部 フォレンジック課 課長 神崎 智敬 氏

――緊急対応も受けるんですか?

【神崎】メニューに用意しています。現地に行って火消しを行うインシデントレスポンスからフォレンジック調査まで幅広く対応します。

――要請があればいつでも駆けつける119番的なサービスなんですか。

【寺岡】まだ 24/365 のサービスを提供できるほどメンバーが集まっていないのですが、今後は可能性があると思います。

株式会社イエラエセキュリティ 寺岡 良真 氏
株式会社イエラエセキュリティ 寺岡 良真 氏

●技術的に難しいスマホやクラウドのフォレンジックに挑戦

――イエラエならではのフォレンジックサービスの特長はどういうところにありますか?

【牧田】Windowsのみではなく、難しいと言われている iPhoneや Mac OS 、クラウドのフォレンジックも対応していきます。技術的に難しくてやりがいがあるところをイエラエセキュリティは積極的にやっていきます。いまのフォレンジックはPCやオンプレサーバーだけの世界ではありません。クラウドを使っていてインシデントが発生した場合の調査も必須になっています。

【神崎】もうひとつ挙げられる点としては、メンバーが新卒ではなく他社から来ていることです。それぞれ得意分野や経験も違うので、多角的な視点でインシデントレスポンスや調査にあたることができます。会社によって色があって、こういう依頼だったらここにしよう、あの会社はこういった案件が強いという個性が、イエラエセキュリティ社に結集していることも強みだと思っています。

――どんなサービスに育てたいですか?

【神崎】セキュリティの手助けがほしいとなった時「とりあえずイエラエに相談しようか」と言われたいですね。元々ある脆弱性診断やペネトレーションテストも含めて、セキュリティに関しては「技術力の高いイエラエにとりあえず相談しよう」ってなってもらえたらと。

【寺岡】求人という視点では、診断に飽きたらイエラエセキュリティのフォレンジックに来てほしいですね。3年ぐらい経って「診断に飽きたなー」ってなったら、「じゃあ今度は守る側をやってみない?」とか。

【神崎】そうですね。フォレンジック課としては、攻撃者の視点を持つ技術者が来てくれれば嬉しいですね。

●攻撃側視点のフォレンジックサービス

――攻撃者視点の技術者の存在はフォレンジックサービスの質を高めるでしょうね。

【寺岡】セキュリティって攻防じゃないですか。やっぱり攻めの知識を持っている人ってフォレンジックも強いと思うんですよ。

――見てると「俺だったらこう攻撃する」って思いますからね。

【寺岡】そうそう。フォレンジックをしていて「俺だったらこうする」「あ、やっぱり」みたいなことがよく出てくる。やっぱり攻撃目線は大事です。

――イエラエセキュリティはやっぱり CTF で活躍されている方も多いので、攻撃目線は最大の他社との違いですね。

【寺岡】最近の攻撃は痕跡が残りづらかったり、「こんなアクロバティックなことをしてくる奴がいるんだ」みたいなところがあったりするので、CTF などで研鑽を積んでいることで対応できることが増えているかもしれません。上野さんは Hardening でも毎回色んな企画をされていますけれども、あれも大変だろうなと思います。

――Hardeningは変化に合わせて色々ネタを用意しなくてはいけないですが、フォレンジックも最新技術にどんどん対応していく必要がありますね。

【寺岡】環境もどんどん新しくなるので早さと柔軟性が求められますよね。守る側は一度攻撃を受けないと、なかなか対応が難しい。どうしても受け身になってしまうので初動は不利になってしまいます。しかし、逆に最初の攻撃についてその情報共有をうまくすれば、2回目は絶対同じ攻撃を食らわないようにできる。Threat intelligence じゃないですけれども、その辺りの活動は非常に重要じゃないかと思っています。

――マルウェア系の案件の場合はマルウェアの解析までやるんですか?

【神崎】マルウェア解析はメニューの一部です。主に、なぜ感染したのか「感染原因」と、何が起きたのか「被害範囲」の調査を行います。

●クラウドフォレンジックとは

――さきほど、クラウドのフォレンジックという話がありましたが、まだ馴染みがない人が多いと思います。具体的にどういうことをするのか教えて下さい。

【寺岡】クラウド環境って全部インターネットの仮想環境にあって、データは各データセンターに分散して置かれています。仮想のアプライアンスに対して調査を行うとなると、通常のディスク保全とは手段が変わってきて、仮想ハードディスクを保全したり、インスタンス単位でいろいろ対応したりすることが必要になります。

基本的な解析の手法はそこまで違いはありません。特に AWS の EC2 であったり、Azure の仮想マシンは、解析自体は基本的にそこまで難しくはありません。しかし実際には、AWS の侵害となった場合、一つのインスタンスではなく、環境全体・アカウント全体に対して侵害が起きている可能性もあるので、クラウドベンダーが提供するサービスごとに対応を見ていく必要があります。通常のフォレンジックではサーバ1台とか、範囲が広くてもネットワーク1つという単位ですが、クラウドの場合、範囲が広い点で大変な作業になります。

――特に、クラウドのマネージメント側の環境のフォレンジックは、ログも少なそうですし、難しそうに思います。

【寺岡】おっしゃるとおりで、ほとんどログが残ってないケースがよくあります。Office 365など、プランによってログの出力がだいぶ変わってくるので、そもそもログがないことすらある。AWS の話ですと例えば CloudTrail などを活用していないとなると、必要な情報がなかったりして追うのが非常に難しくなります。

――クラウド使っているところが増えて、特にゼロトラストで社内に何も置かなくなってくる時代ですから、これからはクラウドフォレンジックが主力になり得ると私も思っています。フォレンジック系の案件はすでに何件か実施例があるんですか。

【神崎】4月に立ち上げたばかりですが、引き合いはもう何件か来ていて、ヒアリングはすでにやらせていただいています(編集部註:取材は4月に実施されました)。

――新型コロナウイルスの現状で具体的にどうやってフォレンジックを行いますか?

【神崎】現地に行ってお客さんと一緒にインシデントレスポンスの対応をするのは難しいと思います。クラウドフォレンジック以外は、パソコンやハードディスクを送っていただいて対応していきます。

【会川】新型コロナウイルスの影響でテレワークを急遽実施した会社も多くあるので、ウィルス感染、不正就労、内部不正、データ持ち出し、情報漏えいなどが増えることを懸念しています。ネットワーク上で、個々の端末上で、いつ何をやっていたか、どこにいたかが重要になってくるでしょう。

株式会社イエラエセキュリティ 会川 尚太郎 氏
株式会社イエラエセキュリティ 会川 尚太郎 氏

――リモートワークが最初から出来ているところは、結構少ないと思います。自宅の PC をそのまま使うケースもあるかもしれない。データがどこから漏れたか、調べる範囲はさらに広がってくるでしょうね。

【会川】リモートワークでは、いままでの環境以上にログをとれていないと思います。

――そうですね。デフォルト設定でしょう。

【会川】デフォルト設定で Windows の機能のみ、Android の機能のみ、iPhone の機能のみで出たログしかない、という厄介なケースが増えると思います。従来のフォレンジックの観点でもネットワークやデータのマッピングが難しくなったり、何が起こっていたのか把握が難しくなったり、環境が統一されてなかったり。そういう際にはイエラエセキュリティのフォレンジックサービスにご用命いただければと思っています。

●ハラスメント対策の内容

――サービスの中で気になっているのが、インシデントレスポンスの中のハラスメントの対策です。これって一体どんなサービスなんですか?

【会川】メールや LINE、Slack のコミュニケーション履歴を解析して、どれくらいの時間にどう労働していたか、働かされていたか、どのようなコミュニケーションを行っていたのかなどを特定していくサービスです。個々の案件に応じた事実確認と、その後の調整が重要なサービスです。

――幅広いですね。フォレンジックを頼むときに「iPhone や Android、果てはハラスメント調査まで、 Windows 以外の要素が含まれていたらイエラエセキュリティ」となるといいですね。

【神崎】これは構想段階ですが、将来的に IoT のフォレンジックにも挑戦していきたいなと思っています。

―― IoT フォレンジックも需要がありますね。メモリも入っていますし、クルマはディスクがあるものも多いですし。

【会川】クルマは車種によっては分解と取り外しが一番の課題かもしれませんね。

――そうですね。車は中身がバラバラですね。ところで牧田さん、御社のテスラはまだ元気ですか?

【牧田】バラバラに分解されましたが、元気ですよ(笑)

――(笑)

イエラエセキュリティ社の「研究資料」、在りし日のテスラ・Model S 75(分解されバラバラになる前の姿)
イエラエセキュリティ社の「研究資料」、在りし日のテスラ・Model S 75
(分解されバラバラになる前の姿)

――最後に担当のお三方から、抱負やメッセージを最後に一言ずついただけないでしょうか。

【寺岡】イエラエセキュリティにフォレンジック課ができたばかりですが、かなりいいメンバーが集まっています。一言相談いただければ、頑張って対応いたします。よろしくお願いします。

【会川】攻撃にせよ内部不正にせよ、まじめにやっている人が損をしないように、不正を糾弾していくという思いで、精一杯全力でサポートします。ご用命いただければと思います。

【神崎】究極的にはフォレンジックサービスの提供を通じて、テレワークやクラウドなどの新しい技術やサービスを、セキュリティ不安を感じずに使うことができるような社会に貢献したいと思っています。

――ありがとうございました。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)

    サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)

  2. 「不正なデバイスの検知でau IDをロックした」au騙る偽メール(フィッシング対策協議会)

    「不正なデバイスの検知でau IDをロックした」au騙る偽メール(フィッシング対策協議会)

  3. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  4. 自宅での作業用に254件のアドレス記載したメールを誤送信(横浜市)

    自宅での作業用に254件のアドレス記載したメールを誤送信(横浜市)

  5. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  6. 不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

    不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

  7. ScanNetSecurity BASIC MEMBERS 会員限定記事 ログインパスワード発行 URL のおしらせ  (対象:2015 年7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさま)

    ScanNetSecurity BASIC MEMBERS 会員限定記事 ログインパスワード発行 URL のおしらせ (対象:2015 年7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさま)

  8. テレワーク実施実態調査:都道府県別・業界別・職種別

    テレワーク実施実態調査:都道府県別・業界別・職種別

  9. LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

    LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

  10. クラウド侵害の半数近くがホストアプリを経由(日本IBM)

    クラウド侵害の半数近くがホストアプリを経由(日本IBM)

ランキングをもっと見る