標的型攻撃や内部犯による情報漏えい、漏えいしたアカウント/パスワードによるリスト攻撃など、近年のセキュリティ事情はますます混迷を極めています。

マイナビニュースでは、"セキュリティ三銃士"のソフトバンク・テクノロジーの辻 伸弘氏によるコラム「セキュリティのトビラ」を連載しています。ただ、辻氏によるとセキュリティ界隈においては一流の"プロフェッショナル"なセキュリティ人材がまだまだ埋もれているとのこと。

そこで、辻氏に"サイドライト(側光)を当てるべき人物"と対談していただき、セキュリティ業界の現状やその人物の素顔を垣間見ていただこうというのが、この連載の狙いです。第2回は、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏との対談です。個人としてブログを運営しているpiyokango氏に迫ります。

辻 伸弘(Tsuji Nobuhiro) - ソフトバンク・テクノロジー


セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。

また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。

Twitter: @ntsuji

スクロールしすぎでマウスが壊れます

辻 伸弘氏

「この人に聞きたい!」の第2回は、ブログ「piyolog」を運営するpiyokangoさんです。

piyologはセキュリティに関するまとめサイトとしてすっかり有名なサイトになりました。何か事件があると、「piyologまとめまだ?」とか、つぶやいている人をTwitterで見かけます。

わかりやすくインシデント情報がまとめられているから、便利なサイトとして活用している人が多いのに、サイトを運営する大変さがそれほど理解されていないかもしれない。

「piyologってただのまとめサイトでしょ?」と、サイト構築の大変さを理解していない人も中にはいらっしゃるようです。

そもそもpiyologは全く個人で運営しているサイトですよね? 仕事でやっているわけではなく。

piyokango氏。「顔がゴムくさいと言われます」と話していました

piyokango氏

そうです。個人で運営しているサイトです。RSSリーダーの「feedly」とTwitterを、主な情報源にやっています。

辻氏

驚いたのは、piyologのための作業が過酷で、マウスが3、4カ月に1回は壊れてしまうという......。

piyokango氏

RSSリーダーやTwitterは、スクロール作業がつきものじゃないですか。

ある時、マウスのホイールを回しても、ちっとも動かない。最初はサイト読み込みがうまくいかなくて動かないのかと思ったんですが、そうじゃなくてホイールが壊れて動かなくなっていたんです。ホイールの耐久性能? を越えて使っていたみたいで(笑)。

辻氏

耐久性能越えって(笑)。どんだけスクロールしてたんですか(笑)。

ボクはこの話を聞いてから、piyologを便利に活用しているファン代表として、定期的にマウスを贈るようになりました。お勧めマウスを。

piyokango氏

辻さんのお勧めのマウス、前に使ってたマウスよりも性能が良いみたいで、簡単に壊れないんですよ(笑)。

辻氏

なんと! でも、壊れないのは何よりです。

実益を兼ねた趣味のような感覚で始まったサイト

辻 伸弘氏

辻氏

まぁ、マウスを贈りたくなるくらいpiyologを便利に見ているんですが、見始めたキッカケは覚えていないんです。

なんとなく、どこの誰のサイトとも知らず、たまたまTwitterを見ていたら、記事が上がってきたpiyologを見るようになった。

多分、そういう感じで見るようになった人が多いと思うんですが、いつ、どのようなキッカケでpiyologをスタートされたんですか?

piyokango氏

セキュリティ情報をまとめ始めたのは2011年で、三菱重工の事件が起こった時です。あの事件は、日本で最初に大きく取り上げられた「標的型攻撃」のインシデントで、色々な記事がバーッと出ました。

でも、続報は色々出てきたんですが、何が、どういう風に、どんなことが起こって、どういう結果に行き着いたのかが、個々の記事を読んでいるだけではよくわかりませんでした。そこで、バラバラに出ている情報をまとめて、事件の全貌を理解できればと思ってまとめ始めたのが最初でしたね。

辻氏

バラバラの情報をまとめるものとしては、ニュースまとめサイトや、NAVERまとめやTogetterなどがありますけど、あくまでも一個の事件の一部を紹介する感じで、一個の事件の経緯をまとめたものは確かになかったですよね。

piyokango氏がまとめた三菱重工の記事

piyokango氏

正義心でまとめたとかそういうことではなく、単純に私が「知りたがり」なんで"まとめた"のが最初です。

あわよくば、まとめたものを公開することでそれに対するフィードバックもあればいいなとは思いましたけど。

辻氏

2011年というと4年くらい前? まだ駆け出しの頃でしたか?

piyokango氏

まだセキュリティに関する知識や経験がほとんどない頃で、「C.I.A(Confidentiality、Integrity、Availability)って何?」というレベルでした。

「私はこの事件に対し、こう思う」といった見解はなるべく出さない。というか最初は、自分なりの見解を出すこともできなくて、とにかくまとめてみるところからのスタートでした。

辻氏

しかし、それが評価されて、セキュリティ関係の仕事をしている人であれば絶対に見るべきサイトにまでなって。

2013年には、日本ネットワークセキュリティ協会(JNSA)から、「情報セキュリティ事案・事件などの話題のトピックを迅速に個人でまとめ、 情報セキュリティ業界に大きく貢献した」と特別賞で表彰されるまでになったんだから、すごいですよね。

ちなみに、piyokangoって本名ですか(笑)?

piyokango氏

違います(笑)。

Twitterのアカウントは、「botですか?」って訊かれることもありますが、botでもありません(笑)。「チームでやっているんですか?」と訊かれることもありますが、一人でやっています。

実益を兼ねた趣味みたいな感じですかね(笑)。

情報を集めていくことで問題が見えてくる

辻氏

アクセス数は事件によって違いがあると思うんですが、この2年くらいで最もアクセス数が多かったのはどの事件ですか?

年金機構の記事。まとめた量がかなり多く、スクロールしてもスクロールし切れない長さだ

piyokango氏

やはり、1位は2015年の年金機構の事件です。次がベネッセの事件で。

ただし、年金も単独ではアクセス数が多いものの、、その後、似たような事件というか、情報漏えいの発表が何件もありましたが、そちらはアクセス数が減ります。

辻氏

やはりインパクトがある事件はアクセス数が多くなるんでしょうね。

piyokango氏

ニュースバリューがある事件はアクセスが凄く多くなるんですが、それ以外は辻さんがよく言う、「ここのところセキュリティ事故が消費されている感じ」というのか、瞬間的にアクセス数が増えてパタッと止まる感じで。

逆に脆弱性をまとめた記事は、世間で話題となることがなくなってもアクセス数はポツポツって感じで、ずーっとあるんです。

辻氏

現在では、piyologはセキュリティに関わっている人間であれば、絶対に見ておくべきサイトという位置づけになっているけど、2011年にサイトを始めた時点からそういうニーズはあると思っていましたか?

piyokango氏

2011年時点から、見てくれる人からはポジティブな評価をもらっていましたけど、さっき言ったように、自分にとっての備忘録として始めたのが正直なところです。

辻氏

確かに情報をまとめることで、自分の記憶を後追いする時に役立ちますよね。

piyokango氏

知っていくと見えてくるものってあるじゃないですか?

例えばインシデントの場合、私がよくやっているのは報道各社記事を比較して見て、「今の時点で見えていないところ」が、どこかわかってくるんです。

辻氏

事件が起こった際のタイムラインを作っていくと、空白の日時が出てきますよね。調べていくことで見えていくものが、確かにありますよね。

piyokango氏

例えば年金機構の事件では、ウイルスが添付されたメールを開いた人がいて、「そこが問題ではないか」と最初は騒がれていたんですが、「本当にそこが問題なのかな?」と。

もっと他に問題があるから「こういう事態になったんじゃないか?」と、色々な記事を見比べて感じるようになりましたね。

辻氏

あれは6月1日に発表があって、その後、報道機関ですっぱ抜き合戦みたいになりましたけど、piyologはものすごく早く情報を集めていると思いました。

なんで、あんなに早く情報を集めることができるんだと思っていました。

piyokango氏

夜中に情報を見比べていて、報道されていた「ウイルスが添付されたメールを開いた」ということだけが原因なのではなく、別なところに問題があるんだろうと思っていました。

まとめにはできる限り自分の推定や意見を入れていないようにしていますが、記事へのコメントで同様の印象を受けた人がいらっしゃいましたね。そういう反応を見ると、やはり嬉しいですね。

特別な事件がない時でも3、4時間は机に向かって情報探し

辻氏

話を聞いていると、段々、心配になってくるんですが、ちゃんと寝てますか(笑)?

例えば自分でもアノニマスの話題をずっと追っかけているうちに、寝るタイミングを失うことがあるんですよ。

逆に、朝起きてニュースをチェックして、「自分が寝ている間にこんなことになってた!」とガッカリすることもありますし。

piyokango氏

アノニマスの話題なんて、まさに"ナマモノ"に近いですからね。

「攻撃でこのサイトが落ちていた」なんて、その瞬間に立ち会わないと確認することも難しいですから。

辻氏

毎日、どれくらいの時間をかけて調べているんですか?

piyokango氏

大きな話題がない時で大体3、4時間くらいですかね。

私は移動中、ほとんど情報を見ないので、机に向かっている時間になりますけど。

辻氏

基本的にRSSリーダーで情報を見ているんですよね? 登録しているRSSフィードはどれくらいあるんですか?

piyokango氏

フィードの数は1300から1400くらいですかね。登録しているフィードが溜まっていき、1000件を越えると数字ではなく、黒丸に表示が変わるんです。

辻氏

黒丸?

Facebookで反応があっても放置しておくと99件が上限で、それを超えると「99+」となるんですけど、それと同じような感じ?

その黒丸、見たいなぁ。見せてもらうことは可能ですか?

piyokango氏

イヤです(笑)。先が見えない状態で作業するのは苦痛なので、とにかく黒丸にしたくない。忙しくて黒丸が並ぶと本当に落ち込むんですよ(笑)。

辻氏

そもそも1つの項目で1000件も情報がたまるという経験をしている人は少ないと思うんですけど(笑)。

それだけの情報を見ているからマウスが壊れるわけですね。たくさん上がってくる情報はどう絞り込んでいくんですか?

piyokango氏

関心を引きそうなキーワードでフィルタリングしていきます。

フィルタリングすることで、情報量は全体の10分の1くらいになりますね。そこからさらに、興味があるものを絞り込んでいくと1日あたりおおよそ50~100件になります。

私がやっていることは効率がいいのか、確信が持てないところもあるんですけど、日々、工夫しながらやっているところはあります。

知りたいことはたくさんあるんですが、やっぱり時間は限られます。そうなると優先順位をつけていかないといけない。「自分が知りたいこと」を選びながらやっているところもあります。

辻氏

調べる作業を続けていくと、どこを調べればいいのか、勘所みたいなものが出てくるところもありますよね。

piyokango氏

似たような事例になるとそういうのはありますね。

辻氏

その勘所はやってみないと身につかない。教えてもらってわかるもんじゃないですからね。

piyokango氏

キッカケは教えてもらうこともできるんですけど、その後、続けていかないと自分の身につくという感じにはならないかもしれないですね。

突然サイトを止めてしまう可能性だってある

辻氏

毎日、情報を集めることに突然飽きてしまって、サイトを止めてしまうという可能性もありますよね?

piyokango氏

それはあり得ます。

辻氏

ボク自身は、一個できないことがあるとそれがキッカケになって、"ちょっとお休み"というつもりだったことが再開できなくなるという経験があります。

事故や事件の場合、新製品などを追いかけるのとは違って日程が事前に明らかになることはあり得ないですよね。

今日は飲み会だと決まっていた日にいきなり事件や事故が起こることだってある。そういう時はどうするんですか?

piyokango氏

時と場合によっては帰るかもしれません(笑)。「こうして外にいる間に、どんどん生情報が流れて行ってしまうかもしれない」と想像すると、居ても立ってもいられないので。

辻氏

帰るんですね。それは凄い!

なんとか作業を楽にするような方法はないか、模索してることはありませんか?

piyokango氏

そう簡単には楽になる方法はないと思います。あったら私もやっていますので(笑)。協力できる"サービス"や"人"がいれば、やった方がいいんでしょうけど。

インシデントに関しては、どこを押さえるべきかといったテンプレートみたいなものは頭の中に出来てきているのですが、脆弱性情報になると、その製品や技術に関する話になります。

つまり、その製品や技術を細かく知っている人じゃないと情報を集めても、正確な分析が難しいことがあります。技術やノウハウを持っている人と連携ができればいいなと思うことはありますね。

辻氏

サイトを運営していくうちに、「こんな情報ありますよ」といった連絡が来ることもあるんじゃないですか?

piyokango氏

最初の1、2年は個人で淡々とやっていましたが、ここ最近はフィードバッグが増えてきました。私も全ての情報を集めることができるわけではないので、「これがありますよ」と連絡をもらえると励みになるし、やってきて良かったと思います。

最近の事例だと「なりすまし型」メールに関する情報は、「ここにこんな情報があります」という連絡から情報が集まったことがあります。その一方で、発見して困る情報を見つけてしまうこともあります。

辻氏

見つけて困る情報?

piyokango氏

閲覧するだけで感染するようなサイトがあるじゃないですか?

「このサイトは危険」と告知することは難しくはないのですが、企業のサイトを第三者が乗っ取っている場合もあるじゃないですか。

辻氏

確かにそういう情報はどう出すのか悩みどころですよね。

piyokango氏

そういう情報を届け出る窓口もありますけど、届け出を出してすぐにサイトが閉じるわけではないので、「そこに人が行ったら感染しちゃうんだけど......」と気になってしまうんですよね。

それに、私は自分自身で調査するためのインフラを持っているわけではなく、さまざまなツールやサービスに依存しています。それが突然使えなくなってしまったら、サイトはすぐに成り立たなくなります。そんな事態が起こったら怖いなぁとも思いますね。

勉強中の人ほど情報発信を

辻氏

そろそろ時間いっぱいになりますが、記事を読んでいる人にメッセージを。

piyokango氏

「続けること」は大事ですよね。続けることで、それがいつか自分の強みになると思います。

また、セキュリティに限らず何においても最初のキッカケになるのは「調べる」ことだと思います。できれば、その後に調べたことを書いてみると、自分の頭を整理することもできるかなと。

辻氏

仕事で他人に説明するためのPowerPointの資料を作ると、わかっていたつもりでもわかっていなかったり、新たな疑問が沸いてくることがあります。それがまた新たな情報を仕入れることにもなり、整理にもなるとボクも思います。

piyokango氏

自分で発信すると叩かれるんじゃないかと思っている人も多いと思います。でも、勉強中の人ほど、ご自身からも情報発信されることはお勧めしたいです。

辻氏

自分から情報発信することは、怖いと思われがちですよね。

piyokango氏

炎上するんじゃないかとか、マサカリが飛んでくるんじゃないかと思われがちですけど。

辻氏

間違っていることを発信してしまってそれを指摘されたら、それをちゃんと受け止めればいいんですからね。

piyokango氏

私も間違うこともあります。指摘されたら、真摯に受け止めればいいんです。

間違いは後から確認できるように、可能な限り更新履歴に残しています。

とはいえ、やり方は人それぞれだと思います。ぜひ自分なりの方法を見つけていただいて情報発信してください。