「イエラエセキュリティは変わったものを診断しているイメージがある」とは、ScanNetSecurity編集長上野宣の言葉。
セキュリティ診断を主事業とする同社だが、2018年にロシアで行われたハッキングコンテスト「MeterH3cker」で準優勝したときのテーマは「スマートシティ」がテーマだった。
「技術的に面白ければやるのがイエラエセキュリティのスタンス」そう語る代表の牧田氏は、社員の研究用になんとテスラの電気自動車を購入すらした。クルマ以外にも、スマホアプリ、 IoT 、ドローンなど、片っ端から新しい診断対象領域を切り開いてきた。
セキュリティ診断という、決して新しくなかったサービス領域に、これまでなかった付加価値を技術力によって創造できることを証明したイエラエセキュリティが、4月にフォレンジックサービスを新たに立ち上げた。
マルウェア感染調査や内部不正調査に加えて、クラウドフォレンジック調査も提供するという。
フォレンジックという従来からあったサービスに、果たしてイエラエセキュリティがどんな価値を追加するのか。その目的と展望を、牧田氏と同社フォレンジックチームに本誌編集長上野が話を聞いた。
今回お話を聞いた人物:
株式会社イエラエセキュリティ 代表取締役社長 牧田 誠 氏
同社 高度解析部 フォレンジック課 課長 神崎 智敬 氏
同社 会川 尚太郎 氏
同社 寺岡 良真 氏
●CSIRTを助けたい
上野(以下「――」)ペネトレーションテストで侵入後に見つけたファイルを調べたりするのはフォレンジック的なところがあると前から思っていました。今までイエラエセキュリティは脆弱性診断がメインですが、フォレンジックサービスを今後増やしていく計画なんですか。
【牧田】フォレンジックは第二の事業としてやっていきますが、その先にもう少し広い世界があると思っています。セキュリティ診断などの予防策でインシデント発生確率を下げつつ、それでも発生してしまったらフォレンジックを提供してCSIRT を助ける役目を果たしたいなと思っています。技術力でCSIRTを助けていく、というのを今後のイエラエセキュリティの大きい軸にしていきたいと思っています。フォレンジックチームは6名でのスタートになります。
――素晴らしいですね。どこにそんなにフォレンジッカーがいたんですか?
【牧田】結構いるんです。相当面白いメンバーが集まっています。
●インシデント対応からフォレンジックまで「セキュリティ観点の支援」を提供
――CSIRTを助けるフォレンジックという意味だと、刑事・民事のどちらかというと、民事寄りのフォレンジックになるんですか?
【神崎】民事か刑事かという分け方はしていません。インシデントが起きた、もしくはインシデントなのかよく分かっていない方も、とりあえずイエラエセキュリティに相談いただければ、インシデントレスポンスやフォレンジックなど多方面でお手伝いします。
――緊急対応も受けるんですか?
【神崎】メニューに用意しています。現地に行って火消しを行うインシデントレスポンスからフォレンジック調査まで幅広く対応します。
――要請があればいつでも駆けつける119番的なサービスなんですか。
【寺岡】まだ 24/365 のサービスを提供できるほどメンバーが集まっていないのですが、今後は可能性があると思います。
●技術的に難しいスマホやクラウドのフォレンジックに挑戦
――イエラエならではのフォレンジックサービスの特長はどういうところにありますか?
【牧田】Windowsのみではなく、難しいと言われている iPhoneや Mac OS 、クラウドのフォレンジックも対応していきます。技術的に難しくてやりがいがあるところをイエラエセキュリティは積極的にやっていきます。いまのフォレンジックはPCやオンプレサーバーだけの世界ではありません。クラウドを使っていてインシデントが発生した場合の調査も必須になっています。
【神崎】もうひとつ挙げられる点としては、メンバーが新卒ではなく他社から来ていることです。それぞれ得意分野や経験も違うので、多角的な視点でインシデントレスポンスや調査にあたることができます。会社によって色があって、こういう依頼だったらここにしよう、あの会社はこういった案件が強いという個性が、イエラエセキュリティ社に結集していることも強みだと思っています。
――どんなサービスに育てたいですか?
【神崎】セキュリティの手助けがほしいとなった時「とりあえずイエラエに相談しようか」と言われたいですね。元々ある脆弱性診断やペネトレーションテストも含めて、セキュリティに関しては「技術力の高いイエラエにとりあえず相談しよう」ってなってもらえたらと。
【寺岡】求人という視点では、診断に飽きたらイエラエセキュリティのフォレンジックに来てほしいですね。3年ぐらい経って「診断に飽きたなー」ってなったら、「じゃあ今度は守る側をやってみない?」とか。
【神崎】そうですね。フォレンジック課としては、攻撃者の視点を持つ技術者が来てくれれば嬉しいですね。
●攻撃側視点のフォレンジックサービス
――攻撃者視点の技術者の存在はフォレンジックサービスの質を高めるでしょうね。
【寺岡】セキュリティって攻防じゃないですか。やっぱり攻めの知識を持っている人ってフォレンジックも強いと思うんですよ。
――見てると「俺だったらこう攻撃する」って思いますからね。
【寺岡】そうそう。フォレンジックをしていて「俺だったらこうする」「あ、やっぱり」みたいなことがよく出てくる。やっぱり攻撃目線は大事です。
――イエラエセキュリティはやっぱり CTF で活躍されている方も多いので、攻撃目線は最大の他社との違いですね。
【寺岡】最近の攻撃は痕跡が残りづらかったり、「こんなアクロバティックなことをしてくる奴がいるんだ」みたいなところがあったりするので、CTF などで研鑽を積んでいることで対応できることが増えているかもしれません。上野さんは Hardening でも毎回色んな企画をされていますけれども、あれも大変だろうなと思います。
――Hardeningは変化に合わせて色々ネタを用意しなくてはいけないですが、フォレンジックも最新技術にどんどん対応していく必要がありますね。
【寺岡】環境もどんどん新しくなるので早さと柔軟性が求められますよね。守る側は一度攻撃を受けないと、なかなか対応が難しい。どうしても受け身になってしまうので初動は不利になってしまいます。しかし、逆に最初の攻撃についてその情報共有をうまくすれば、2回目は絶対同じ攻撃を食らわないようにできる。Threat intelligence じゃないですけれども、その辺りの活動は非常に重要じゃないかと思っています。
――マルウェア系の案件の場合はマルウェアの解析までやるんですか?
【神崎】マルウェア解析はメニューの一部です。主に、なぜ感染したのか「感染原因」と、何が起きたのか「被害範囲」の調査を行います。
●クラウドフォレンジックとは
――さきほど、クラウドのフォレンジックという話がありましたが、まだ馴染みがない人が多いと思います。具体的にどういうことをするのか教えて下さい。
【寺岡】クラウド環境って全部インターネットの仮想環境にあって、データは各データセンターに分散して置かれています。仮想のアプライアンスに対して調査を行うとなると、通常のディスク保全とは手段が変わってきて、仮想ハードディスクを保全したり、インスタンス単位でいろいろ対応したりすることが必要になります。
基本的な解析の手法はそこまで違いはありません。特に AWS の EC2 であったり、Azure の仮想マシンは、解析自体は基本的にそこまで難しくはありません。しかし実際には、AWS の侵害となった場合、一つのインスタンスではなく、環境全体・アカウント全体に対して侵害が起きている可能性もあるので、クラウドベンダーが提供するサービスごとに対応を見ていく必要があります。通常のフォレンジックではサーバ1台とか、範囲が広くてもネットワーク1つという単位ですが、クラウドの場合、範囲が広い点で大変な作業になります。
――特に、クラウドのマネージメント側の環境のフォレンジックは、ログも少なそうですし、難しそうに思います。
【寺岡】おっしゃるとおりで、ほとんどログが残ってないケースがよくあります。Office 365など、プランによってログの出力がだいぶ変わってくるので、そもそもログがないことすらある。AWS の話ですと例えば CloudTrail などを活用していないとなると、必要な情報がなかったりして追うのが非常に難しくなります。
――クラウド使っているところが増えて、特にゼロトラストで社内に何も置かなくなってくる時代ですから、これからはクラウドフォレンジックが主力になり得ると私も思っています。フォレンジック系の案件はすでに何件か実施例があるんですか。
【神崎】4月に立ち上げたばかりですが、引き合いはもう何件か来ていて、ヒアリングはすでにやらせていただいています(編集部註:取材は4月に実施されました)。
――新型コロナウイルスの現状で具体的にどうやってフォレンジックを行いますか?
【神崎】現地に行ってお客さんと一緒にインシデントレスポンスの対応をするのは難しいと思います。クラウドフォレンジック以外は、パソコンやハードディスクを送っていただいて対応していきます。
【会川】新型コロナウイルスの影響でテレワークを急遽実施した会社も多くあるので、ウィルス感染、不正就労、内部不正、データ持ち出し、情報漏えいなどが増えることを懸念しています。ネットワーク上で、個々の端末上で、いつ何をやっていたか、どこにいたかが重要になってくるでしょう。
――リモートワークが最初から出来ているところは、結構少ないと思います。自宅の PC をそのまま使うケースもあるかもしれない。データがどこから漏れたか、調べる範囲はさらに広がってくるでしょうね。
【会川】リモートワークでは、いままでの環境以上にログをとれていないと思います。
――そうですね。デフォルト設定でしょう。
【会川】デフォルト設定で Windows の機能のみ、Android の機能のみ、iPhone の機能のみで出たログしかない、という厄介なケースが増えると思います。従来のフォレンジックの観点でもネットワークやデータのマッピングが難しくなったり、何が起こっていたのか把握が難しくなったり、環境が統一されてなかったり。そういう際にはイエラエセキュリティのフォレンジックサービスにご用命いただければと思っています。
●ハラスメント対策の内容
――サービスの中で気になっているのが、インシデントレスポンスの中のハラスメントの対策です。これって一体どんなサービスなんですか?
【会川】メールや LINE、Slack のコミュニケーション履歴を解析して、どれくらいの時間にどう労働していたか、働かされていたか、どのようなコミュニケーションを行っていたのかなどを特定していくサービスです。個々の案件に応じた事実確認と、その後の調整が重要なサービスです。
――幅広いですね。フォレンジックを頼むときに「iPhone や Android、果てはハラスメント調査まで、 Windows 以外の要素が含まれていたらイエラエセキュリティ」となるといいですね。
【神崎】これは構想段階ですが、将来的に IoT のフォレンジックにも挑戦していきたいなと思っています。
―― IoT フォレンジックも需要がありますね。メモリも入っていますし、クルマはディスクがあるものも多いですし。
【会川】クルマは車種によっては分解と取り外しが一番の課題かもしれませんね。
――そうですね。車は中身がバラバラですね。ところで牧田さん、御社のテスラはまだ元気ですか?
【牧田】バラバラに分解されましたが、元気ですよ(笑)
――(笑)
(分解されバラバラになる前の姿)
――最後に担当のお三方から、抱負やメッセージを最後に一言ずついただけないでしょうか。
【寺岡】イエラエセキュリティにフォレンジック課ができたばかりですが、かなりいいメンバーが集まっています。一言相談いただければ、頑張って対応いたします。よろしくお願いします。
【会川】攻撃にせよ内部不正にせよ、まじめにやっている人が損をしないように、不正を糾弾していくという思いで、精一杯全力でサポートします。ご用命いただければと思います。
【神崎】究極的にはフォレンジックサービスの提供を通じて、テレワークやクラウドなどの新しい技術やサービスを、セキュリティ不安を感じずに使うことができるような社会に貢献したいと思っています。
――ありがとうございました。
