“セキュリティ事業者”IIJは何をしようとしているのか?――キーマンインタビュー老舗の実力でインターネットの安全を当たり前に

日本初のISP(インターネットサービスプロバイダー)として、長年にわたりネットワーク関連サービスを提供してきたIIJ。近年では、クラウド事業からMVNO事業まで幅広くビジネスを展開している同社が、今あらためて強調するのが「セキュリティ事業」への取り組みだ。国内初のファイアウォールサービスにはじまり、インターネット黎明期からセキュリティサービスを提供してきたIIJが、2016年秋にセキュリティブランド「wizSafe(ウィズセーフ)」を立ち上げた狙いはどこにあるのか、同社のセキュリティ事業を支えるキーマン3人に聞いた。

» 2017年04月05日 10時00分 公開
[PR/@IT]
PR

 日本初のインターネットサービスプロバイダー(以下、ISP)としてはもちろん、個人向けモバイルサービスである「IIJmio」の好調により、近年では“格安SIMの会社”としても認知されるようになってきたインターネットイニシアティブ(以下、IIJ)。

 だが、20年以上に渡りセキュリティ事業を展開している「老舗のセキュリティ事業者」でもあることをご存じだろうか? IIJは今、セキュリティ事業者としてのアイデンティティーをあらためて強く打ち出している。その背景には、どのような狙いがあるのだろうか。同社のセキュリティ事業を支えるキーマン3人に聞いた。

(左から)IIJ セキュリティ本部 セキュリティ情報統括室 シニアエンジニア 根岸征史氏、同本部 セキュリティ情報統括室 マルウェア&フォレンジックアナリスト 鈴木博志氏、同本部 セキュリティビジネス推進部 セキュリティオペレーションセンター 副センター長 中嶋功氏 (左から)IIJ セキュリティ本部 セキュリティ情報統括室 シニアエンジニア 根岸征史氏、同本部 セキュリティ情報統括室 マルウェア&フォレンジックアナリスト 鈴木博志氏、同本部 セキュリティビジネス推進部 セキュリティオペレーションセンター 副センター長 中嶋功氏

“当たり前のこと”として積み重ねてきたセキュリティ関連の実績

編集部 「IIJがセキュリティ事業を展開している」という認識は、どの程度広がっていると感じますか。

IIJ セキュリティ本部 セキュリティ情報統括室 シニアエンジニア 根岸征史氏 IIJ セキュリティ本部 セキュリティ情報統括室 シニアエンジニア 根岸征史氏

根岸氏 セキュリティサービスを既にご利用中のお客さまにはもちろん評価していただいていると思いますが、それ以外のお客さまからは、ISPとしては知られていても、残念ながらセキュリティ事業者としてはあまり認知されていない印象です。

編集部 しかし実際には、国内初となるファイアウォールサービスの提供を開始したのが1994年。2001年には顧客の事故対応に向けたIIJ group Security Coordination Team(以下、IIJ-SECT)を結成し、外部団体との連携も強化するなど、かなり早い段階からセキュリティ関連の取り組みを進めてこられています。

根岸氏 もともと通信会社としてサービスを提供する上で、「セキュリティはやっていて当たり前」だと考えています。逆にそのせいで、これまでは社内的に「セキュリティに関する取り組みについて、わざわざ口に出すのは格好悪い」という雰囲気がありました。しかし今はそういう時代でもありません。「自分たちもどんどん前に出ていこう」と考えるようになり、セキュリティブランド「wizSafe(ウィズセーフ)」を立ち上げました。自分たちの取り組みについて対外的にアピールすることが狙いの1つです。

“自前”で取り組むハイレベルな情報分析

IIJ セキュリティ本部 セキュリティ情報統括室 マルウェア&フォレンジックアナリスト 鈴木博志氏 IIJ セキュリティ本部 セキュリティ情報統括室 マルウェア&フォレンジックアナリスト 鈴木博志氏

編集部 IIJのセキュリティに関する取り組みについて、より具体的に教えていただけますか。例えばマルウェア対策の部分では、どういった活動を行っているのでしょうか?

鈴木氏 まずはマルウェアを入手するための活動ですが、これは多岐にわたります。例えば、IIJ-SECTのMalware Investigation Task Force(MITF)が運用しているハニーポットから収集したり、Webクローラーを巡回させて改ざんサイトをチェックしているときに見つけたりすることもあります。また、JPCERT コーディネーションセンター(JPCERT/CC)や警察庁、Forum of Incident Response and Security Teams(以下、FIRST)、ICT-ISAC、日本シーサート協議会(以下、NCA)など関係各所とのやりとりで検体の情報を入手し、それを基にインターネット上などから入手することもあります。その他にも、海外の研究者と情報交換をするなどして、世界中のマルウェアに関する動向を収集し、検体を入手することも行っています。

 マルウェアを手に入れた後は、解析を行います。実際に閉鎖環境でマルウェアを動作させて挙動を見る動的解析に加え、マルウェアのコードを逆アセンブルなどによって見ていく静的解析を組み合わせて、マルウェアの特徴を分析し、検知・防御の手法を検討します。われわれはアンチウイルスベンダーではないので、パターンマッチングを作るための解析ではなく、「どうやったらIPS/IDSやFirewall、プロキシなどで検知・防御ができるようになるか」といった点に主眼を置いて解析しています。この結果を基に、さまざまな機器で検知・防御を行ったり、お客さまへの対策実施・提言を行ったりしています。

 また、マルウェアは見つけた段階で既に被害が発生しているケースが多々あります。そうすると、どれだけ過去にさかのぼれるかが重要になってくるので、IIJでは、後の分析に備えて、多種多様なログを残すようにしており、それに耐えられる設備も用意しています。

根岸氏 ベンダーが公開するセキュリティ情報は誰でも見ることができますが、IIJでは、時には情報が一般に出回る前から、自分たちでマルウェアの解析を行い、その通信の特徴などを見ています。どれだけ多くのソースから情報を得られるかが非常に重要ですし、情報の後追いだけでなく、自分たちで分析を実施します。そこまでやっているのは、セキュリティ専業のベンダー以外ではかなり珍しいと思います。

人のつながりも重要な情報ソース

編集部 貴社の内部だけで、非常にレベルの高い分析を行っているのですね。では、外部からの情報収集という面では、どのような取り組みを行っているのでしょうか。

根岸氏 CSIRTの活動は良い例かと思います。私たちのCSIRTは国内でも最も古くからあるチームの一つで、外部といかに連携をするかをテーマにして取り組んできました。これが情報収集のしやすさにつながっています。ICT-ISACやNCAも、発起人として最初から参画していますし、個人的なつながりで得られたコネクションも生かして情報を得ています。

鈴木氏 FIRSTというCSIRTチームの国際団体にも、2002年から参加しています。こうした団体に積極的に参加してアウトプットを行うと、参加者と個人的に仲良くなることも多く、世界中のチームとの交流で得られた情報がサービスに生きています。例えば、これまでにアフリカやポルトガルなどでトレーニングを実施してきたのですが、たまに受講者の中に著名な人がいて、「あなたのトレーニング良かったよ」と友達になってくれることがあります。

 また、Blackhatのような大規模な国際カンファレンスでの発表も行い、解析によって得られた知見を世界中に広める活動も行っていますし、国内でもマルウェア対策研究人材育成ワークショップ(MWS)やセキュリティ・キャンプなどで講師を務めたり、トレーニング提供を行ったりするなど積極的に業界に貢献することも行っています。こういうコネクションがまた新たな情報ソースになってます。

編集部 モニターに張り付いているだけでなく、人との情報交換も盛んに行っているのですね。

鈴木氏 セキュリティにはどちらの活動も不可欠です。数年前に海外ではやっていた攻撃が遅れて日本にやってくるということが結構あります。構築したコネクションを通して事前にキャッチアップしておけば、国内事案にもすぐ対応できます。

情報分析基盤を強化し、大量ログをセキュリティに最大限活用する

IIJ セキュリティ本部 セキュリティビジネス推進部 セキュリティオペレーションセンター 副センター長 中嶋功氏 IIJ セキュリティ本部 セキュリティビジネス推進部 セキュリティオペレーションセンター 副センター長 中嶋功氏

編集部 それから、IIJは監視サービスにも取り組んでこられて、2017年3月にはセキュリティオペレーションセンター(SOC)を開設されています。監視サービスにおける強みはどんなところにありますか?

中嶋氏 まずユニークなのは、「許可ログを取っている」点でしょう。データ量が膨れ上がってしまうので、許可ログまで取るサービスは少ないのですが、IIJではファイウォールのマネージドサービスなどにおいて、提供初期のころから、許可された通信のログも取っています。実は最近は、許可されたログからマルウェアの痕跡が見つかることが多く、拒否されたログ以上に重要になってきているのです。

 それから、国内最大級のプロキシサービスであるIIJセキュアWebゲートウェイサービスのログを持っていることも強みの1つです。複数のログを組み合わせることで、一見普通のWebアクセスにしか見えない不審なサイトへのアクセスを見つけることが可能になります。例えば、1日に1回、あるいは1週間に1回しかWebサイトにアクセスしないようなマルウェアがあるのですが、こうしたグレーな通信をいかに見つけられるかが重要になっています。

編集部 セキュリティ事業の強化に伴い、情報分析基盤を一層強化していくとのことですが、具体的にはどのような方針をお持ちなのでしょうか。

IIJセキュリティ事業強化の全体像 〜IIJ SOCによる統合運用〜 IIJセキュリティ事業強化の全体像 〜IIJ SOCによる統合運用〜

中嶋氏 最大の狙いは、ログの種類を増やし、分析の仕組みを高度化することで、これまで見つけられなかった被害を高い精度で見つけられるようにすることです。例えば、IIJが提供しているサービスのログがたくさんありますが、それらを横串で分析できる仕組みを整備する予定です。どこまでを対象とするかについて現在議論を進めており、最終的にはIoT機器のログを分析対象にすることも考えています。

根岸氏 もう1つの目標は、あるお客さまが感染したときに、その情報を基に、別のお客さまが被害に遭われていないかを検索できるようにすることです。一般のサイトが改ざんされたことなどは、外からの情報として分かりますが、特定のお客さまだけが被害に遭われているような、静かに進行する攻撃は外からは見えません。

 多数のお客さまにサービスを提供しているわれわれなら、それを見つけられる可能性があります。ある特定の業界内や企業だけが被害に遭っている攻撃を見つけ、まだ被害を受けていない業界や企業における被害を未然に防ぐための仕組みを整備しています。

中嶋氏 それに向けて頑張ってくれているのが、ビッグデータのチームです。われわれが持つセキュリティの知見をビッグデータチームにフィードバックして分析を行ってもらっています。同時に、われわれがビッグデータチームの知見を取り入れて分析の精度を上げるようにもしています。

鈴木氏 機械学習を專門とする人は、これまでセキュリティについて学ぶ機会がそこまでありませんでした。逆も同様で、セキュリティ專門の人が機械学習について学ぶことが少ないというのが実情でした。新たな取り組みとして、それぞれの専門分野の知識を組み合わせることで、さらに防御の精度を上げようとしています。ロジックから作り込みたいなど、こだわりが強いので、仕組みは全て自前で構築しています。うちの会社、自前が好きなんです(笑)。いろいろ製品を評価しても、「あれも欲しいこれも欲しい」と、結局自分たちで作っちゃうんですよ。

ユーザーが安心して頼れる「土管」になることを目指す

編集部 さらりとおっしゃっていますが、そういうことを可能にする技術力を持っていることは、貴社の大きな強みですね。

根岸氏 コスト面ではあまりメリットがないのかもしれませんが、自分たちが本当に必要なものを作り込める力があるというのは大きいと思います。今後はそういう力が企業に求められると考えています。IIJだけが攻撃を見つけられる機会を増やしていきたいですね。

中嶋氏 もちろん、基盤を作るだけでなく、人材育成も進めていきます。これまでも、外部でトレーニングを実施したり、国内外のセキュリティカンファレンスなどに参加したりと、情報発信や人を育てるための活動はずっとやってきましたが、現在は4カ月から半年のプログラムでSOC人材をトレーニングしています。

編集部 情報発信といえば、貴社は、「IIR(Internet Infrastructure Review)」のような情報のアウトプットにも積極的な印象です。

根岸氏 はい。IIRに関してはもう8年間続けています。セキュリティ專門ベンダーが1年や半年に1回公開するレポートはありますが、ISPが3カ月に1回発行する技術レポートというのは、国内では他にないでしょう。技術力やサービス品質をアピールするという意味合いもあるのですが、それ以上に、一企業の営利を超えて、価値のある技術情報はどんどん共有していきたいと考えています。

 私たちのようなISP事業者は、理想を言えば、ワンストップで全てを任せられる「土管」になるのが良いと思っています。「IIJに任せていれば、後は大丈夫」と感じてもらいたい。これまでわれわれはアピールが不足していたところがありましたが、今回「wizSafe」を立ち上げたことで、より外から見えやすい形になりました。今後も私たちの取り組みに関する情報はどんどん表に出して、インターネットの安全に寄与していきたいと思います。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社インターネットイニシアティブ
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年6月30日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。