無謬（むびゅう）性から脱却してサイバーレジリエンス構成学に取り組む門林教授：「ソフトウェアにはバグがある」「人はミスをする」前提での被害軽減を（1/2 ページ）

奈良先端科学技術大学院大学の門林雄基教授は、2017年4月1日に「サイバーレジリエンス構成学研究室」を立ち上げる。同教授はその狙いを、ユーザーが自由にシステムを組み合わせて使う中で、「無謬（むびゅう）性を前提にせず、被害軽減技術や安全運転支援技術に取り組んでいく」と述べた。

[高橋睦美，＠IT]

　セキュリティインシデントが起きるたびに、侵入を許した原因が調査され、対策が講じられ、意識の向上が呼び掛けられてきた。それにもかかわらず、サイバー攻撃による被害は後を絶たない。こうした現状を前に、被害の予防だけに力を注ぐのではなく、「被害は発生するものである」という前提に立ち、侵入の早期検知と被害軽減を図るアプローチに注目が集まりつつある。

　奈良先端科学技術大学院大学の門林雄基教授が2017年4月1日に立ち上げる「サイバーレジリエンス構成学研究室」では、こうした問題意識の下、さまざまな誤りや事故が起きることを前提に、安全性や被害軽減策の確立を目指した研究を進めていく。この研究室では、同校の故山口英教授が率い、よりよいインターネット、よりよいセキュリティの実現に取り組んできた「インターネット工学講座」をベースに、国内はもちろん、世界各国から集まった研究生らとともに、サイバーレジリエンスを実現する方法に取り組んでいくという。2017年2月28日に行われた記念講演から、そのエッセンスを探った。

無謬性を仮定せず、被害者の視点で被害軽減策を検討

「サイバーレジリエンス構成学研究室」を立ち上げる奈良先端科学技術大学院大学の門林雄基教授

　最近少しずつ注目を集めるようになったキーワードが「サイバーレジリエンス」だ。レジリエンス（回復力）という言葉はこれまで、システムの可用性、稼働継続というオペレーションの視点から議論されることが多かった。だが、巧妙化するサイバー攻撃を背景に「事故前提型の対策」が求められるようになったことを踏まえ、サイバーセキュリティの領域で、より広範な概念として議論が始まろうとしている。

　門林氏はまず、「サイバーレジリエンス」という言葉が意味するところを説明した。この言葉が初めて世の中で大きく取り上げられたのは2012年、世界経済フォーラムが公開した報告書「Partnering for Cyber Resilience」においてだ。この中でサイバーレジリエンスは、システムおよび組織がどれくらいサイバー事故に耐えうるかを示す、「サイバーリスク管理の新たな軸」として定義されているという。

　これを踏まえて門林氏が開設する研究室では、「製造者や利用者の無謬（むびゅう）性を仮定するのではなく、事故が起きることを前提に、被害軽減技術や情報システムの安全運転支援技術を含む、幅広い概念に取り組んでいく」とした。

　もちろんこれまでも、ソフトウェア生産や設計工程の一部で、信頼性確保の取り組みは考えられてきた。だが今や、クラウドやIoT（Internet of Things）の普及に伴って、利用者が自由にシステムを組み上げ、サービスを生み出すことが当たり前になりつつある。「情報システム合成や構築の主導権が利用者に移行しており、もはやIT専門家にはない。その中で、部品レベルの安全性や信頼性に注目してきたこれまでのアプローチに加え、さまざまなものを組み合わせた実働システムにおける被害軽減技術や安全運転支援技術が求められる」（門林氏）

　同氏はさらに、セキュリティというと新しい脆弱（ぜいじゃく）性の派手なデモンストレーションに耳目が集まりがちだが、「これに対し私たちは、被害者の視点、弱者の視点に立つ。事故が起きたらそこからどう復旧するのか、あるいは事故が起きないために人間の間違いをどのように発見し、修正を支援するか。障害物を検知すると自動的にブレーキをかけてくれる安全運転技術のようなものをサイバーの世界でできないかを研究していきたい」とした。

サイバーレジリエンス構成学につながる過去の取り組み

　人のつながり、オープンイノベーションの文化、検証と実証の文化──。門林氏はこれまで、サイバーレジリエンスを構成するさまざまなエッセンスを研究活動の中で追求してきたことを説明した。

　例えば、ネットワーク関連の大型展示会「Interop」のインフラである「ShowNet」に携わり、2002年に「Security Operation Center（SOC）」を構築したことはその一例だ。さまざまなセキュリティ製品を用いてShowNetのトラフィックを監視し、2005年ごろからはネットワークの一部に統合。Webフィルタリングやマネージドファイアウォール、脆弱性検査などさまざまなセキュリティソリューションを提供してきた。

　ShowNetでは、その時々の最新技術を盛り込みながら世界最大規模のネットワークを2週間かけて構築し、会期が終われば1日でばらしてしまう。門林氏はこの取り組みを伊勢神宮の「式年遷宮」になぞらえ、「システムをゼロから作って、終わればあっという間に壊すというのは、究極のレジリエンス」であり、スキルを持ったエンジニアの育成につながると述べている。

　門林氏は情報通信研究機構（NICT、旧CRL）でも研究を行ってきた。その1つが「トレーサブルネットワーク」だ。「現状では、甚大な被害が発生してはじめてインシデントが観測され、扱われる。しかしながら実際にはその前に、『ウイルスメールが大量に来ていた、アラートも出ていた』といった一連の兆候がある。そこで、兆候が観測された段階で何とか手が打てないかと考えた」（門林氏）。

　これは2017年現在でもなお解決の難しい課題だが、観測や解析の性能を上げるために、バイナリコード解析、並列計算、AI（Artificial Intelligence：人工知能）、情報理論、データマイニングなど幅広い分野の専門家に声をかけ、協力を募ったという。それも理論を扱うアカデミックな世界だけでなく、運用や実装に携わる人々とのコラボレーションによって、イノベーションサイクルを回していくことを考えているという。

　その一例が、2009年から継続している「Cybersecurity Data Mining Competition（CDMC）」だ。CDMCは、データマイニングやAI、ディープラーニングといった分野に携わる研究者の力をサイバーセキュリティ分野で活用してもらうためのコンテスト。2017年は40以上の大学や研究機関から応募があり、アルゼンチンのチームが優勝した。なお2016年は京都女子大学のチームが優勝した。

　並行して2009年ごろから取り組んだのが、「CYBEX」をはじめとする、サイバーセキュリティ情報に関する国際標準の策定だ。「なぜ標準作りに取り組んだかというと、セキュリティ対策において、人がボトルネックになっていたからだ。例えば『プロバイダーからスパムが送られている。マルウェアに感染してボットになっている』という話をするときにどう進めるか。日本国内でやるならば互いに言葉が通じるからまだいい。しかし、ブラジルのISPにこうした情報を伝えて対処を依頼したくても、国の壁、言葉の壁に妨げられていた」（門林氏）

　同氏は「攻める側はどんどん連帯し、エコシステムができている。一方で、守る側の連帯は、言葉や国、あるいは同じ国の中でも省庁を超えるとできていない」と指摘する。だからこそ、言葉が通じなくても、マルウェアや脆弱性情報をはじめとするサイバーセキュリティに関連する情報を伝え、さらには自動的に伝達されることを狙って、内外の専門家やさまざまな標準化団体と協力しながらCYBEX、CAPEC、CVSSといった約20に上る標準を策定してきたのだ。

セキュリティに関する国際標準の策定によって目指す姿

　門林氏の活動のもう1つの軸は「人材育成」だ。さまざまなインシデントを再現し、その解析や対応を通じて技術はもちろん、それ以外のスキルも身に付けるプログラムである「IT Keys」と「enPiT-Security（SecCap）」は、学生をいきなり問題に直面させて学ばせることにより、大きな効果を実現しているという。また、その経験を元に実施している「Hardening Project」でも、システムの堅牢化だけでなく、主催者側が仕掛けるさまざまなインシデントに対処し、仮にシステムがダウンしても迅速に復旧させるための手段や方法を中心に、関係各所や顧客に説明するコミュニケーション能力も含めた「ビジネスと顧客を守る総合力」を評価し、さまざまな気付きを得られる場として機能している。

　「システムには矛盾や欠点があることが大前提。いわゆる“秀才主義”でいくと、矛盾のあるシステムやミスをする人間はないという無謬性に走るものだが、実際にはソフトウェアにはバグがあるし、人はミスをする。それらも含めて取り扱える精神力が重要だ」（門林氏）