“サイドライト(側光)を当てるべきセキュリティ人材”を取り上げ、セキュリティ業界の現状やその人物の素顔を垣間見ていただこうという本連載。第7回は、デジタルアーツ 開発部 Internetデータラボ課でセキュリティリサーチャーとして働く上村和博氏にお話を伺います。

Webフィルタリングによるセキュリティ製品やサイバーリスク情報提供サービスに反映させるためのデータ収集・分析業務を担当する上村氏。最近では公式サイトやSNSなどを通じてセキュリティ関連の情報発信にも積極的に取り組んでいます。

そこには、どのような思いや苦労があるのか聞きました。

辻 伸弘(Tsuji Nobuhiro) - ソフトバンク・テクノロジー

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。

また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。

Twitter: @ntsuji

Webフィルタリングによるセキュリティを支えるチーム

辻氏 : まずは自己紹介と普段の業務内容についてご説明いただけますか。

上村氏 : 僕が所属しているのは、インターネット上のあらゆるデータを収集している部署です。特に僕のチームでは、悪性メールの情報やマルウェアによる不正通信先の把握を行っています。

当社のWebフィルタリングサービスが大きくバージョンアップし、現在はすべてのお客様がアクセスしたWebサイトの中から未知のものを自動検出しています。検出すると、我々リサーチャーが見てコンテンツを判定し、カテゴリ分けします。こうしたアーキテクチャの進化により危険なサイトもすぐに見つけられるようになり、セキュリティ面でもお客様を支えられるという考えに至り、現在のチームを設立するに至りました。

最近では、偽ショッピングサイトが設置されていたり、不正なWebサイトへリダイレクトさせたりするようなWebサイトの改ざん検知なども担当しています。

辻氏 : コンテンツフィルターに限らず、ソフトウェアがウィルスかどうかを判定するセキュリティ製品は多くあります。さまざまなWebサイトを見ていくなかで、それらをブロックする/しないの判断も業務に含まれてくると思うのですが、いかがですか。

上村氏 : そうです。たとえばお客様が閲覧されたWebサイトをポルノ・ギャンブル・犯罪といったようなカテゴリに分類し、それを製品のDBに反映しています。未知のURLは、ブロックする/しないに関わらず、あらかじめ用意している安全性未確認用のカテゴリに分類します。悪性URLかどうかの判断は、URLやリファラーだけでなく、さまざまな検体を入手したり、オープンソースの情報も利用しています。

辻氏 : 僕も昔、コンテンツフィルターを構築して自治体を取りまとめる組織に導入したことがあるんですが、「ギャンブル」のカテゴリに分類されたサイトへのアクセスは通してくれと言われたんです。それは、自治体は競馬場や競輪場を持っている場合があり、業務でアクセスする必要があるから。組織や業種業態によってアクセスを通して良いもの/悪いものは変わってきますよね。

辻さんをきっかけにセキュリティリサーチャーの世界へ

辻氏 : この仕事をしようと思ったモチベーションはどこにあったのか聞きたいです。

上村氏 : そもそもセキュリティの仕事をしようと思ったのは、2015年の日本年金機構の情報漏洩事件などをきっかけに、セキュリティリサーチャーの必要性を実感したからです。それでいろいろとセキュリティに関する情報収集をしていくなかで、「セキュリティリサーチャーズナイト」というイベントの初回に参加して辻さんと知り合い、自分もリサーチャーになろうと思ったんです。

辻氏 : なんですか、この”仕込みやがった”みたいな雰囲気!!「そろそろ俺のこと言え……」みたいな圧力かけたわけじゃないですからね……!!

上村氏 : 辻さんに影響を受けたのは本当です(笑)。

また当時はちょうど、当社の製品がアップデートされ、フィルタリングを主とする製品からセキュリティを主とする製品へと移り変わっていくタイミングで、セキュリティに関するデータを集めていきたいという需要が社内で高まっていたこともあります。

それまでは、外部の企業からデータを購入して製品に取り込んでいましたが、僕がリサーチャーになってからは、自社で通信先などのデータを集めて製品に反映するということができるようになってきました。

辻氏 : リサーチの仕事で大変なことはありますか。

上村氏 : 海外のものも含めてさまざまなセキュリティ関連の情報を集めていたんですけど、捌ききれなくなってきまして……。

辻氏 : こっちの都合に関係なく出てきますからね。海外の情報まで見ていると余計にわけがわからない。楽しいですけどね。

上村氏 : 初めのほうは情報の取捨選択が難しく、試行錯誤の連続でした。RSSリーダーの未読がすぐに1000件を超えてしまうのに悩んだり……。

辻氏 : それはどうクリアしたんですか?

上村氏 : 慣れですかね。どこをどう見ればよいかというポイントを自分なりに掴むことができました。あとは、国内リサーチャーの方々のツイートを見るなど、その人たちが発信している情報をフォローしました。そうした方々の力をうまく借りつつ、他の人が調べていないところを自分は見よう、と。

辻氏 : 情報収集はわりとパッシブな行為ですよね。普段自分からアクティブに行っていることはありますか?

上村氏 : 当社のWebサイトで、ばらまき型攻撃メールの通信先やメールの件名などの情報を発信しています。最近開設したTwitter公式アカウントでも情報発信を行っています。また、セキュリティレポートの作成も始めました。これから月に1回程度の頻度でWebサイトに掲載していく予定です。

辻氏 : 何がきっかけでそうした情報発信をしていこうという流れになったんですか?

上村氏 : セキュリティ業務の成果をどうアウトプットしていくべきか良いかと考えているときに、「こういう方法があるよ」と辻さんにアドバイスされたんです。

辻氏 : また僕の話……。そんなこと、事前の打ち合わせで聞いてない(笑)。