【連載】

この人に聞きたい! 辻伸弘のセキュリティサイドライト

【第7回】Webフィルタリングの中の人、知られざる苦労話

[2019/06/12 08:00]周藤瞳美 ブックマーク ブックマーク

セキュリティ

“サイドライト(側光)を当てるべきセキュリティ人材”を取り上げ、セキュリティ業界の現状やその人物の素顔を垣間見ていただこうという本連載。第7回は、デジタルアーツ 開発部 Internetデータラボ課でセキュリティリサーチャーとして働く上村和博氏にお話を伺います。

Webフィルタリングによるセキュリティ製品やサイバーリスク情報提供サービスに反映させるためのデータ収集・分析業務を担当する上村氏。最近では公式サイトやSNSなどを通じてセキュリティ関連の情報発信にも積極的に取り組んでいます。

そこには、どのような思いや苦労があるのか聞きました。

辻 伸弘(Tsuji Nobuhiro) - ソフトバンク・テクノロジー

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。

また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。

Twitter: @ntsuji

Webフィルタリングによるセキュリティを支えるチーム

辻氏 : まずは自己紹介と普段の業務内容についてご説明いただけますか。

上村氏 : 僕が所属しているのは、インターネット上のあらゆるデータを収集している部署です。特に僕のチームでは、悪性メールの情報やマルウェアによる不正通信先の把握を行っています。

当社のWebフィルタリングサービスが大きくバージョンアップし、現在はすべてのお客様がアクセスしたWebサイトの中から未知のものを自動検出しています。検出すると、我々リサーチャーが見てコンテンツを判定し、カテゴリ分けします。こうしたアーキテクチャの進化により危険なサイトもすぐに見つけられるようになり、セキュリティ面でもお客様を支えられるという考えに至り、現在のチームを設立するに至りました。

最近では、偽ショッピングサイトが設置されていたり、不正なWebサイトへリダイレクトさせたりするようなWebサイトの改ざん検知なども担当しています。

辻氏 : コンテンツフィルターに限らず、ソフトウェアがウィルスかどうかを判定するセキュリティ製品は多くあります。さまざまなWebサイトを見ていくなかで、それらをブロックする/しないの判断も業務に含まれてくると思うのですが、いかがですか。

上村氏 : そうです。たとえばお客様が閲覧されたWebサイトをポルノ・ギャンブル・犯罪といったようなカテゴリに分類し、それを製品のDBに反映しています。未知のURLは、ブロックする/しないに関わらず、あらかじめ用意している安全性未確認用のカテゴリに分類します。悪性URLかどうかの判断は、URLやリファラーだけでなく、さまざまな検体を入手したり、オープンソースの情報も利用しています。

辻氏 : 僕も昔、コンテンツフィルターを構築して自治体を取りまとめる組織に導入したことがあるんですが、「ギャンブル」のカテゴリに分類されたサイトへのアクセスは通してくれと言われたんです。それは、自治体は競馬場や競輪場を持っている場合があり、業務でアクセスする必要があるから。組織や業種業態によってアクセスを通して良いもの/悪いものは変わってきますよね。

辻さんをきっかけにセキュリティリサーチャーの世界へ

辻氏 : この仕事をしようと思ったモチベーションはどこにあったのか聞きたいです。

上村氏 : そもそもセキュリティの仕事をしようと思ったのは、2015年の日本年金機構の情報漏洩事件などをきっかけに、セキュリティリサーチャーの必要性を実感したからです。それでいろいろとセキュリティに関する情報収集をしていくなかで、「セキュリティリサーチャーズナイト」というイベントの初回に参加して辻さんと知り合い、自分もリサーチャーになろうと思ったんです。

辻氏 : なんですか、この”仕込みやがった”みたいな雰囲気!!「そろそろ俺のこと言え……」みたいな圧力かけたわけじゃないですからね……!!

上村氏 : 辻さんに影響を受けたのは本当です(笑)。

また当時はちょうど、当社の製品がアップデートされ、フィルタリングを主とする製品からセキュリティを主とする製品へと移り変わっていくタイミングで、セキュリティに関するデータを集めていきたいという需要が社内で高まっていたこともあります。

それまでは、外部の企業からデータを購入して製品に取り込んでいましたが、僕がリサーチャーになってからは、自社で通信先などのデータを集めて製品に反映するということができるようになってきました。

辻氏 : リサーチの仕事で大変なことはありますか。

上村氏 : 海外のものも含めてさまざまなセキュリティ関連の情報を集めていたんですけど、捌ききれなくなってきまして……。

辻氏 : こっちの都合に関係なく出てきますからね。海外の情報まで見ていると余計にわけがわからない。楽しいですけどね。

上村氏 : 初めのほうは情報の取捨選択が難しく、試行錯誤の連続でした。RSSリーダーの未読がすぐに1000件を超えてしまうのに悩んだり……。

辻氏 : それはどうクリアしたんですか?

上村氏 : 慣れですかね。どこをどう見ればよいかというポイントを自分なりに掴むことができました。あとは、国内リサーチャーの方々のツイートを見るなど、その人たちが発信している情報をフォローしました。そうした方々の力をうまく借りつつ、他の人が調べていないところを自分は見よう、と。

辻氏 : 情報収集はわりとパッシブな行為ですよね。普段自分からアクティブに行っていることはありますか?

上村氏 : 当社のWebサイトで、ばらまき型攻撃メールの通信先やメールの件名などの情報を発信しています。最近開設したTwitter公式アカウントでも情報発信を行っています。また、セキュリティレポートの作成も始めました。これから月に1回程度の頻度でWebサイトに掲載していく予定です。

辻氏 : 何がきっかけでそうした情報発信をしていこうという流れになったんですか?

上村氏 : セキュリティ業務の成果をどうアウトプットしていくべきか良いかと考えているときに、「こういう方法があるよ」と辻さんにアドバイスされたんです。

辻氏 : また僕の話……。そんなこと、事前の打ち合わせで聞いてない(笑)。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

一覧はこちら

連載目次

もっと知りたい!こちらもオススメ

「自主的かつ迅速な情報公開」が根付いてきた感 - 第4回情報セキュリティ事故対応アワード開催レポート

「自主的かつ迅速な情報公開」が根付いてきた感 - 第4回情報セキュリティ事故対応アワード開催レポート

不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業や団体を表彰する「情報セキュリティ事故対応アワード」が3月5日、経済産業省後援の下に開催された。本稿では、当日の模様をダイジェストでお伝えする。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
知りたい! カナコさん 皆で話そうAIのコト
教えてカナコさん! これならわかるAI入門
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
ソフトウェア開発自動化入門
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る