危機感のないトップマネージメントにこそ 可視化は有効なはず!
――今後もっとこうしたいというのはあります?
こういう可視化エンジンを作るのにはいくつか目的があるんですけど、1つは本当のオペレーションに使えるようにするということです。もちろん今の段階でもいろいろとドリルダウンやフィルタリングができたりとか、オペレーションで使いやすいように作っています。ただ、ネットワーク技術者の熟練の方には特に、こういう可視化モノは“チャライ”と言われるんです。
――テキストベースでとか、そういう人いますよね。
「テキストでズラズラ流れている中から“目grep”で見つけるのが俺たち職人なんだ!」という方々を我々は非常にリスペクトしています。ただ、一方でそこまで熟達しないとセキュリティーオペレーションができないとすると、なかなか人材もそれほど豊富にいるわけではないですし、セキュリティー事案は増える一方ですので、効率化を図っていかないといけないと思うんですよね。こういう可視化の仕組みがオペレーションの効率化に役立つということを地道に示していければ、徐々に浸透していくのではないかと思います。例えば、HTMLを書くにしても、昔はタグを打つのを手作業でやっていたワケですよね。それがHTMLエディタが出てきて、ポコッとオブジェクトを置くだけでよくなりましたよね。
――そうですよね。WYSIWYGでできるようになりましたね。
勝手にタグが生成されるって、最初はやっぱり“チャライ”って思いました。でも生産性や一般への普及を考えると、皆そちらに流れていきます。ネットワークの技術者にも可視化技術が浸透していって、ログ解析に使っていた時間を、さらに高度なオペレーションに使えるようにできないかと思っています。
で、もう1つの目的が「セキュリティー・アウェアネス」の向上です。つまり、サイバー空間での攻撃というものが実際に存在していて、どのくらい危険な状況になっているんだということを、セキュリティーオペレーションをしている人だけではなく一般の人にも知ってもらうということです。こういう目で見て一瞬で分かるものはアウェアネスを非常に高めてくれると思うんですよね。
そして最後の目的は人材創出。こういう可視化を行なうことで、若い人材が「サイバーセキュリティーって何かおもしろそう」とか「格好いいね」という形で、この分野に新たに入ってきていただけるんじゃないかなと思っているんです。
――おお、いい話ですね。
実際にDAEDALUSを公表した後、Twitterなんかで反応を見ていると、大学3年生くらいの人が「NICTに就職してぇ」と言ってくれたり、「サイバーセキュリティーをやりたい」と言ってくれる人もちらほらいて、それを見るとやってよかったなぁと思いますね。
――アンチウィルスメーカーこそ、こういうグラフィックでリアルタイムでどうなっているのかというのを見せた方がいいですよね。そういうの、メーカーに提案してみたらどうですか?
実はそういったところからお話はいただいているんです。マーケティングという意味においてもああいった可視化の仕組みは非常に重要です。サイバーセキュリティーというのは非常に差し迫った問題ではありますが、トップマネージメントの人にこの重要性を説明するのは意外と大変なんですよね。
――ああ、確かにそうですよね。
「マルウェアからのスキャンが昨日だけで1500件あります」って言われても、「う~ん、それで?」という感じになってしまいますよね。でも、ああいうビジュアルで、今まさに攻撃が来ているんだという様子をトップマネージメントが見ると「それは重要だ!」となりますので、そういう動機付けにも可視化の使い道があるのではないかと思います。
――数字の羅列をみたり、グラフでみていて知っていても、リアルタイムでボコボコと来ていたら、マズいよな……とか思いますよね。日本のセキュリティー意識というのは、ものすごく粗雑な部分があって、各メーカーともそこにお金を使わないと、データ流出したあとに信用を回復するのに時間やお金がどれくらいかかるんだということが分かっていないというのがありますよね。
去年の4月に某社さんから1億人分超の情報流出がありましたよね。あれもおそらく年間数億円かけて対策や体制を作っていれば防げたはずなんですよね。やはりそこをちゃんと説明しきれなかったという面があると思います。その結果として膨大な損失を被り、企業のレピュテーションもかなり落ちてしまった。その回復にかかるコストは相当でしょう。ある程度の大きさの組織になった時に、トップマネージメントがセキュリティーにかけるお金を“損失”と考えるのではなくて、ある意味“先行投資”という形で捉える必要があると思います。トップマネージメントに理解してもらうためには、こういう可視化の仕組みを活用していただくというのも重要ではないかなと思います。
――プレゼンの紙より、説得力がありますからね。そういう人用に、このDAEDALUSの簡易版が1時間いくらという形で提供できると「社長、おたくこうなっているんですよ!」という説明ができますよね。
ああ、あると面白いかもしれませんね。
――最後にこういったものがどのように広がっていくのかなというところで、今nicterの方で来るモノを観測して、DAEDALUSで出て行くのを見ている。あと必要なものってあるんですかね?
今回のINTEROPでも多くの企業が対策製品を出していたのですが、標的型攻撃という特定の組織を狙った攻撃があります。昨年、政府官公庁などいろいろな組織が攻撃を受け、非常に大きな問題となりました。それを捉えるためには、組織の中のネットワークを細かい粒度で観測するという仕組みが必要なんです。で、今までのネットワークセキュリティーのやり方というのが、ほとんどが境界防御、要はネットワーク境界にファイアーウォールやIDS(Intrusion Detection System)を入れて守りましょうという守り方だったのですが、これからはそれに加えて、ネットワークの内部に侵入されることを前提にした対策作りをしなければならなくなってきていると思います。DAEDALUSのように外から見るパターンと、従来の境界で守るというパターン、後は中に入られた時にそれをなるべく早く見つける。その中を見るというのを1つの重要なポイントとして捉えています。
――じゃあ、次はそこに対してのものですよね。
実はそういう研究開発をすでに開始していて、NIRVANAというシステムがあります。今までご覧いただいた可視化エンジンは、ダークネットをモニタリングするものなんですけど、NIRVANAは実際に使っているライブネットを観測します。組織の中のトラフィックをきっちりと見ましょうという仕組みなんです。
丸いオブジェクトがルーターですが、各ルータの間をホップしているパケットをリアルタイムで可視化しています。現状のNIRVANAは、まずリアルタイムで見てみましょうというシステムですが、このバックエンドで動作する、組織のネットワークの中で異常な通信を見つけるためのエンジンを開発しています。そのエンジンができると、組織の中であるホストが異常な挙動をしている時に、NIRVANA上にアラートを出せるわけです。
――1ヵ所だけだったら別におかしくはないという感じですが、いろいろなと ころにボコボコとパケットを流していたらマズイということですね。
例えばそういうことですね。外から見て守るというものと、中をきっちり見て守るという両方の側面から研究開発を進めています。
――これも3Dグラスを付けると中に入っていけるようになったりするとトロンの世界かなぁと思いますね。
NICTには「ユニバーサルコミュニケーション研究所」というところがありまして、本当に没入型といいますか、ヘッドマウントディスプレーを付けて3Dオブジェクトと多感覚のインタラクションが取れるようなシステムがあったりします。また200インチ裸眼立体ディスプレーといって、メガネをかけなくとも立体視できる巨大なディスプレーがあり、そういうところと連携していきましょうという話はしていたりします。
――ぜひやってください。そうすると、こういうものも段々とアニメの世界に近づいているのかなという気もします。
まあ、ある意味ストレートフォワードなやり方でまず目で見えるようにすると、次の段階では掴んでみたいと思いますよね(笑)。こうやって3Dオブジェクトをマウスでつかめるようになるまでに実は3年くらいかかっているんです。
――あ~、やっぱりそんなに難しいのですか。
そうですね。マウスがどの3Dオブジェクトをポイントしているのかというのを、オブジェクトの重なりも考慮しつつ判定する必要があります。3年くらいかけてオブジェクトをつかめたことが1つのイノベーションでした。つかめないとただ流れ去っていくものを見ているだけなんですけど、掴めたことによって実際のオペレーションに使える。「これ、何だろう?」と思った時に中身をドリルダウンできるようになったんです。そういう意味でツールとしての可能性がそのイノベーションによって大きく広がりました。もちろん次は没入したいとかですね(笑)。
――そうですよね。まず作って、それがドンドンと下に広がってくれれば、僕らも楽しいレビューができるし(笑)。