ゲヒルン石森氏が明かす、セキュリティ会社が行っている脆弱性対策とは：＠IT脆弱性対応セミナー2018

　＠ITは、2018年9月11日、東京で「＠IT脆弱（ぜいじゃく）性対応セミナー」を開催した。本稿では、特別講演「攻撃者視点で解説――「脆弱性を突く攻撃」とはいかなるものか」の内容をお伝えする。

ゲヒルンの代表取締役、さくらインターネットCISOの石森大貴氏のこれまで

ゲヒルン 代表取締役、さくらインターネット CISO/CSIRTの石森大貴氏

　ゲヒルンの代表取締役で、さくらインターネットのCISOを兼任する石森大貴氏の、ハッカーとしての経歴は小学生時代にさかのぼる。

　校長室にあるWindows Serverのファイル共有が“有効”かつ認証も設定されていないことを発見した小学生時代。教員の端末のユーザーID／パスワード設定の隙を発見した中学生時代。履歴／成績管理システム「TWINS」の脆弱性を検知した大学生時代と、設定や構成の隙を見つけるのが得意だった。

　一方で、2002年の小学校6年生には「さくらのレンタルサーバ」「ロリポップ」よりも2年先駆けて自宅サーバでレンタルサービスを開始したり、中学生時代にはWindows PE（Windows Preinstall Environment）を開発したりと、モノを作ることにも取り組んだ。ちょっとした発想やひらめきを実行に移し、面白い何かを作る。まさに“ハッカー”の石森氏は、2007年に参加した「セキュリティ・キャンプ」や、TVドラマ『ブラッディ・マンデイ』の考察記事を書いていたところ声を掛けられた同ドラマ監修のサイバーディフェンス研究所など、さまざまな出会いを経て大学在籍中にゲヒルンを創立。現在は「日本をもっと安全にする」をミッションに、脆弱性診断サービスの提供、防災気象システムや政府衛星データプラットフォームの開発など、さまざまな事業を展開している。

ゲヒルンの取り組み

　そんな石森氏は、「セキュリティ会社として満足できる環境を整えて、多くの人にも安全なサービスとして展開したい」という思いから、データセンター層からセッション層（自社PKI基盤認証局）、アプリケーション層（Webのフロントエンド開発）、そして最上位層（脆弱性診断やCSIRTなど）まで、安全性の追求に取り組んでいる。

ゲヒルンが手を動かしている分野

　例えば、サインイン画面に多要素認証を採用した「Gehirn ID Center」や、社内の認証設定されていないシステムを守る「RS2PLUS Identity Aware Proxy」もその一つだ。

　後者については、ある時、石森氏が社内ネットワークに認証が設定されていないシステムを発見したのが取り組みのきっかけだった。それは顧客管理や見積書、請求書の発行などを行う会計システムの一部で、社内であれば丸見え状態だった。社内ネットワークだから絶対に安全とは限らない。こうしたシステムを適切に管理できるよう、同認証サービスを開発したという。

　この他、自社の業務についても、PGP暗号化機能やワンタイムパスワード生成器「Yubikey」を使った安全なデータのやりとり、ネットワークの送信元で判定する境界防御ではなくGehirn IDやGoogle IDなどを使ったアクセス権の管理など、さまざまな対策を講じている。

一番の脆弱性は“放置”すること

　では、セキュリティ対策はどこまでやれば十分といえるのか。

　この疑問に対して石森氏は、「新しい脆弱性は随時発見されるし、災害は起こるもの。だからといって全て対策するには無限にコストがかかるので、どんな対策が必要かを想定、計画、準備し、被害を最小限に食い止めるというリスクコントロールの発想が大切になる」と提言する。

　同時に、脆弱性診断を定期的に実施。こうした自社のインフラ維持のために収集している脆弱性情報を活用して、脆弱性診断を過去に実施した顧客への対応も行う。最近もghostscript脆弱性が発見された際には、該当する顧客へすぐに報告。JPCERT/CCが注意喚起した当日夜には修正を完了させることに成功したという。

　「一番の脆弱性は“放置”すること」と断言する石森氏。「放置しないためにも、リスクコントロールのアプローチで柔軟に問題を許容、対策できる力を高めたい」と述べて特別講演を終えた。