新たなテクノロジーを用いてビジネスを行う企業にとって、増え続けるサイバー・セキュリティーのリスクと、それに対応するセキュリティー人材の不足が課題となっている。こうした課題の解決に、IBMが2016年に立ち上げたのがセキュリティーの専門家とホワイト・ハッカー(倫理的なハッカー)集団「IBM X-Force Red(以下、X-Force Red)」だ。X-Force Redは、包括的なセキュリティー・テストやアセスメント、分析等により、企業がサイバー攻撃者に先立って問題を発見、解決することを支援する。
このたび、X-Force Redのグローバル・ヘッドを務めるチャールズ・ヘンダーソンが来日。ほぼ独学でセキュリティーのスキルを獲得しながらキャリアを積んできた同氏に、自身が「最高にクールだと考える」ペンテスターという仕事について、そしてX-Force Redの役割とこれからの展望について話を聞いた。
チャールズ・ヘンダーソン(Charles Henderson)
IBMコーポレーション Global Head of X-Force Red IBM Security
大学卒業後、ほぼ独学でプログラミング技術を学び、セキュリティー企業に勤務。サービス、小売、製造などさまざまな業界向けにホワイト・ハッカーとして活躍。IBMに入社後、2016年に「IBM X-Force Red」のグローバル・ヘッドに就任。企業の情報資産を守るサービスやツール提供に力を注ぐ。
企業の情報資産につながる、あらゆる脆弱性をテストする専門集団
──最初に、「X-Force Red」について教えてください。
X-Force Redは、セキュリティー・テストやアセスメント、分析を担当する組織です。サイバー犯罪者がセキュリティー侵害につながる脆弱性を発見する前に、その問題を発見、特定することを使命としています。具体的には、膨大な量のイベントやマルウェア(ユーザーに害を及ぼす不正なソフトウェアの総称)のサンプルを調査・研究し、コンピューター・ネットワークやハードウェア、ソフトウェア・アプリケーションの脆弱性を、企業がサイバー犯罪者よりも迅速に発見できるよう支援しています。
X-Force Redが提供するのは、ソフトウェアの脆弱性診断やペネトレーション・テスト(ネットワークの侵入テスト)だけではありません。フィッシング、ソーシャル・エンジニアリング(※1)、ランサムウェア(※2)、物理的なセキュリティー侵害など、包括的なセキュリティーのリスクに対するシミュレーションや教育なども展開しています。
(※1)人間の心理的な隙や、ミスを狙って個人が持つ秘密情報を入手する方法
(※2)PCなどに感染するウイルスの一種。PCをロックしたり、ファイルを暗号化させたりして使用不能にし、修復と引き換えに”身代金“を要求する不正プログラム。
──組織の規模、メンバー構成などは?
100人以上のテスターと、それを支えるエンジニア、マネジメントスタッフで運営されています。チームの拠点は北米、ラテンアメリカのほか、オーストラリア、ヨーロッパ、アジアにあり、今回の来日は日本で本格的なチームを立ち上げるという目的もあります。
──脆弱性診断の範囲、対象はどのあたりでしょうか?
顧客の要望にもよりますが、あらゆるリスクを包括的に評価したいという場合には、モバイル・アプリケーションやデスクトップ・アプリケーション、サーバー機器などのハードウェア、ネットワークやエンドポイント、加えて、従業員に関する「人の脆弱性」や、物理的な施設や設備を対象とすることもあります。
──「人の脆弱性」とは?
企業の業務プロセスの中には、手続きに脆弱性があり、それが結果としてセキュリティー・ホールになっている場合があります。例えば、会社が社員にメールを送り、リンクをクリックして社内システムにログインするよう教育していたとしたら、その手続きが「穴」となり、フィッシング攻撃のリスクが高まります。
社内の業務プロセスをチェックすることで、セキュリティー上の問題を特定し、必要な対策やトレーニングを提示する手助けができます。場合によっては、テスターがソーシャル・エンジニアリングのテクニックを使い、顧客の施設や設備、データに対して侵入を試みるケースもあります。
ちなみに、X-Force Redのシンボル・カラーは赤です。赤は「Red Team」(攻撃側のチーム)のように、ペネトレーション・テストと関係の深い色で、個人的にも大好きな色です。チーム・メンバーも誇りを持っており、2017年2月に開催された「RSA Conference 2017」では、チームのメンバーの一人が髪の毛を赤く染めて登壇したほどです(笑)。
──コグニティブ・テクノロジーは、「X-Force Red」の活動の中で、どのように活用されていますか?
顧客の企業がセキュリティー・テストを行う必要性は、ここ数年でますます高まっており、テストの対象も広範囲にわたります。テストから得た情報をもとに、個々の脆弱性に対応していくことはもちろん大切ですが、コグニティブ・テクノロジーを使い、発見事項から導き出されるトレンドを推論できます。
例えば、IBM Watsonを用い、複数の脆弱性の本質をつかむことで、問題が解消される可能性が高まります。攻撃する側と防御する側を比較すると、攻撃者は脆弱性を1つ発見するだけで十分ですが、防御する企業側は、自社の脆弱性全てを特定しなければなりません。この攻撃する側が常に有利な立場にあるという構図がサイバー・セキュリティーの大きな問題の一つですが、こうした問題の解決にも、コグニティブ・テクノロジーが大きく寄与する可能性があります。
チャレンジそのものにスリルを感じることができるのが「最高のペンテスター」
──ご自身のキャリアや、IBMで働くことになった経緯を教えてください。
1998年に大学を卒業し、さまざまなセキュリティー会社に勤務しました。IBM入社前にはペネトレーション・テストのチームをゼロから立ち上げた経験もあります。しかし、同時にリソース不足を感じていました。
そんなときにIBMから誘いを受け、グローバルにリーチできるIBMのような環境であれば、自分のやりたいことが実現できると考え、入社を決めました。
──総じて不利な立場にある防御側である企業としては、攻撃側の考えを知ることが大事です。ご自身はどのようにして、ペネトレーション・テストの仕事に興味を持ったのですか?
脆弱性診断は、基本的にツール主体で診断を行いますが、ペネトレーション・テストは、ツール主体ではなくテスターである人間の考え方が反映されます。
私は、小さい頃からおもちゃをもらうと、それを分解して、どんな仕組みかを理解したいと考える子どもでした。今考えると、構造や仕組みで制御されているものに対して、それをどんな方法で破ることができるか、という点に着目していたのでしょう。この作業はゲームのように面白く、コンテストのように刺激的でした。
言い換えれば、クリエイティブのあり方が、他の友人とは違ったのかもしれません。同様に現在、私のチームのメンバーのほとんどが、何かをつくるより、何かを分解、分析することにクリエイティビティーを発揮しています。
──セキュリティーのスキルはほぼ独学で獲得したそうですが、どうやってスキルを身につけたのですか?
今では大学でも情報セキュリティー関連の教科が充実していますが、私が学んでいた当時、そういったカリキュラムはありませでした。そこで、フリーで使えるソフトウェアはなんでもダウンロードし、その仕組みを解明しながら独学で勉強しました。
例えば、90年代はじめにUnix系のオープン・ソースOSが登場したときも、自分のパソコンで環境を構築するため、フロッピー・ディスクにダウンロードした思い出があります。新しいテクノロジーが出てくるたび、その仕組みを勉強し、そこにどんな問題が潜んでいるか学ぶことを繰り返していました。
──ペンテスターとして印象に残るエピソードや、やりがいを感じた瞬間を教えてください。
ペンテスターとして最初の仕事をもらったとき、正直「なんていい仕事なんだ!」と思いました。システムへの侵入は、一歩間違えれば犯罪者として投獄される行為です。しかし、それが仕事として、法を犯さずに堂々と行える。自分が最高にクールだと考える仕事をして、報酬までもらえる。これはすごいことです。
印象的な仕事の1つには、クライアントである大手銀行のプライマリー・データセンターに、物理的に侵入した経験があります。そこで働く社員に対しては、「今日が仕事初日です」と自己紹介し、新しく入社した社員になりすましました(笑)。そんな私の姿を見て、クライアントのセキュリティー担当が関心を持ってくれました。
ペンテスターの素晴らしいところは、常にチャレンジを続ける姿勢にあります。同時に、仕事の秘匿性は高く、誰とも共有できません。そのため、自分の仕事の成果を他の誰かと共有するのではなく、チャレンジそのものにスリルを感じる、それが最高のペンテスターだと考えています。
──技術的に優れていることはもちろん、顧客に対して経営上のリスクを経営者目線で説明できるのも大事な要素だと思います。
確かに、マネジメント層に対するコミュニケーションは大切です。ペネトレーション・テストの目的はどんな脆弱性があるかを定義するのではなく、見つけた脆弱性をどう解消するか、顧客に決めてもらうことにあるからです。
脆弱性によってどんなリスクがあり、ビジネスに対してどんな影響があるかを理解してもらうのが最も大事なことで、そのためにテスターの他にも、コンサルタントがビジネス的な判断を支援します。顧客のビジネスを理解しているのは、他ならぬ顧客自身です。コンサルタントやテスターがチームとなって、顧客と一緒に対応策を決めていくプロセスを重要視しています。
日本のローカル・チームの活性化に期待
──最近のサイバー・セキュリティーの動向について、どのように見ていますか?
2016年は世界的に情報漏えい事故が多数発生し、その数は約40億件にのぼりました。これは、前年比566%という数字です。また、情報漏えい事故1件当たりのコストは、平均で400万ドルにものぼるといわれ、経営にとっても大きなインパクトを持ちます。
そんな中、サイバー・セキュリティーには2つの重要なトレンドがあります。1つは、企業側のセキュリティー・スキル不足。2つ目は、攻撃手法がさらに複雑さを増していることです。
この2つのトレンドは、防御側である企業にとって非常に悪い組み合わせです。攻撃者の攻撃手法がより洗練され高度化する一方、防御側はセキュリティー・スキルが不足しているからです。今後、企業がテクノロジー活用しながらビジネスを進めていくにあたって、より多くの領域でセキュリティーの問題を解決するためのテストを行う必要性があります。
──セキュリティーの人材不足は日本でも指摘されていることです。
日本では、2020年までに約20万人のセキュリティー人材が不足すると予測されています。世界中では約150万人の規模です。こうした中で、X-Force Redのような組織の重要性はますます高まっていくでしょう。
また、増え続けていくテストの状況やその結果について顧客が把握しきれないという問題を改善するため、新たに顧客向けのポータルサイトを用意しました。これが「IBM The Red Portal(Red Portal)」というWebサイトで、日本語を含む複数言語に対応しています。
「IBM The Red Portal」のダッシュボード画面
ポータル画面を開くと進行中のテストが一覧表示され、テストの進行状況や結果、脆弱性の深刻度が一覧表示されます。これにより、自社でテスターを雇用できなくても、同様のセキュリティサポートが受けられる仕組みです。
──今後の展望についてお聞かせください。
X-Force Redは日本でのチーム立ち上げを契機に、グローバル体制をさらに強化していきます。海を超えての企業活動がより活発となり、日本のローカル・チームも重要な役割を担うことになるでしょう。
サイバー・セキュリティーも国境という概念はなく、ボーダレス化しています。サイバー犯罪者の目的はネットワークでつながれた世界中からデータを盗んでお金を稼ぐことにあり、グローバル・レベルでの対策が急がれます。そのため、IoTをはじめ、企業が使用するさまざまなテクノロジーに対し、ローカル・リソースで常に最新の脆弱性評価やペネトレーション・テストを行える価値を、日本の顧客にも理解してもらえると確信しています。
それと、私は個人的には日本が大好きなので、日本のローカル・チームが結成されれば、出張する正当な理由ができることも嬉しいことですね(笑)。
──最後に、日本企業のセキュリティー担当や経営者・幹部層へのメッセージをお願いします。
私たちはセキュリティー・テスト通じて、脆弱性の発見やビジネスに潜むリスクの排除に日々取り組んでいます。もし、自社のシステムやサービスが脆弱性に晒されていないか懸念があれば、将来への投資という意味でもお気軽にご相談ください。X-Force Redが、持てるサービスやツールを駆使し、真摯に向き合っていきます。
