アカマイのシニア・ディレクター、セキュリティ業界の課題について語る

アカマイ・テクノロジーズ合同会社（以下、アカマイ）は、年次のカスタマー向けイベント「Akamai Edge Japan 2017」を開催した。それに伴って来日した同社の脅威リサーチ部門のシニアディレクターOry Segal（オリー・シガール）氏が、ThinkITのインタビューに応じた。アカマイの提供するセキュリティ製品、Kona Site Defenderを駆動するロジックおよびアルゴリズムの研究と開発を行っている責任者だ。

自己紹介をお願いします。

私は5年半前にアカマイに入社しました。その前はIBMでセキュリティ関連製品であるAppScanのアーキテクトとプロダクトマネージャーをやっていました。今は、イスラエルのアカマイの拠点で、Kona Site Defender製品の開発と研究の責任者をしています。

アカマイのシニアディレクター、オリー・シガール氏

事前に質問項目として「セキュリティベンダーがもっと積極的に協業してクラッカーに対抗することはできないのでしょうか？」という内容をお送りしましたが、これに関してお答えください。

私はその質問を聞いた時に、以下の例えが頭に浮かびました。「もしも自宅が誰かに襲われた時に『襲われた』ということを具体的に他の人と共有しようとするだろうか？」と。多分、私はそういうことはしないでしょう。これと同様に、政府や企業などがそのような脅威に晒された際、その詳細を他の組織と共有することはなかなか起こらないのではないでしょうか。これは、心理的にもなかなかハードルが高いことなのではないかと思います。

またサイバーセキュリティ業界においては、ベンダー同士が売り上げを伸ばそうと競い合っているという状況にありますから、ベンダーが協力して何かを成し遂げようとするということは、そう簡単ではないと思います。研究という部分では協力できる可能性はあると思いますが、実際にはベンダー同士がマーケティングに多大な予算をかけて「自分たちがベストだ！」ということを常に宣伝しているような状況では、協力することは難しいと思います。

ベンダー同士が協力した実例として、2017年の8月にボットネット、WireXというものが登場した際に、アカマイは競合であるCloudflare、Flashpoint、Google、Oracleが2016年11月に買収したDyn、RiskIQ、Team Cymruなどと協力して、ボットネットを根絶するための活動を行ったというものがあります。これはAndroid端末を踏み台にして、大規模なDDoSアタックを仕掛けるものでした。

参照：AkamaiのブログにあるWireXに関するポスト：
The WireX Botnet: An example of cross-organizational cooperation

この例のように、CDNベンダーとしては競合するCloudflareとも協力してこの問題に対応を行いました。これは、競合するベンダー同士が協力するということは必ずしも不可能ではないという証拠だと思います。

シガールさんがかつてOWASP Israelで理事を務めていたということは頂いた資料にも書かれていますが、OWASPが実際にできることは非常に限定的だと思います。クラッカーたちがボットや脆弱性を攻撃するソースコードを売買で共有するのに対して、守る側が個別に対応しているのは非効率的ではないですか？

※OWASP：Open Web Application Security Project

実は、クラッカー同士もそれほど協力しているということではないのです。例えばソースコードを売買しても、実際に踏み台にするIoTデバイスなどは、自分たちだけで専有しようとしているという事実があります。これは自分たちが踏み台にしようとするデバイスを他のクラッカーから守る、つまり他の悪意のあるコードの実行を排除しようとする機能が含まれているということからもわかるように、実は彼らもセキュリティベンダーと同様に、自分たちが儲けることのできるお金を他に渡したくないという経済的な原理が働いているのです。クラッカーのグループ内では協力はあるでしょうが、グループ同士が協力しているということはないと思います。

そういう意味では攻める側も守る側も同じ論理で動いているということですね。

そう言ってもいいとは思います。しかし我々は高い倫理に基づいて活動をしているので、その点は全く異なると言えますね。

それを聞いて安心しました。ではCODE BLUEで発表したHTTP/2に関して教えてください。

シガール氏のCODE BLUEでの発表資料

HTTP/2は、Googleが開発したSPDYを進化させたHTTP/1.1に変わる新しいプロトコルです。すでに多くのCDNベンダーやFacebook、Google、Twitterなどで使われています。これはバイナリーフォーマットでデータを送信し、並列的にサーバー・クライアント間の通信を行う高速なプロトコルです。しかしHTTPのトラフィックを覗き見るようなツールはまだ、HTTP/2には対応できていません。例えば、Burpやsqlmapなどがそのようなツールになりますが、現在のところそれらのツールではHTTP/2のセッションをハックすることはできないのです。主にそれらのツールが使っているライブラリーがHTTP/2に対応していないことが原因と思われます。主要なCDNやブラウザーがすでにHTTP/2をサポートしていますので、すでにHTTP/2を使わない理由はないのです。今回のCODE BLUEでは、HTTP/2の持つFingerprintのデータをクライアント側で確認する方法についてプレゼンテーションを行いました。このセッションでは、HTTP/2のデータの改竄の有無を確認する方法を紹介しました。しかし大多数の人にとっては「そもそもHTTP/2とは何か？」から話を始めないといけない状態ですので、これに関してはアカマイとしてももっと啓蒙を続けないといけないと思います。

最後にシガールさんにとってのチャレンジはなんですか？　向こう1年間でやらなければいけないと思うことを教えてください。

セキュリティを守るためのアルゴリズムを開発すること、これは常に私の仕事ですが、アカマイはCEOが元数学者ですので、新しいものが前のものよりも優れていることを数値として見せなければいけないというのがチャレンジではありますね（笑）。アカマイにとってのチャレンジは、IoTデバイスをもっとセキュアにすることですね。そのためには新しいエコシステムを作ること、新しいパラダイムを作ることが必要だと思います。IoTデバイスはダイレクトにインターネットにポートを開けてつながるのではなく、デバイスがクラウドサービスに接続を行い、ユーザーもそのクラウドサービスにつながることでデバイスを制御する、現時点ではそういう仕組みがベストだと思います。私が自宅で使っているホームセキュリティカメラはモトローラ製ですが、それはそういう仕様になっています。

しかし多くのデバイスが中国で製造されていることを考えると、そうなるためには相当な教育が必要になるのではないでしょうか？

製造ベンダーに対する教育は難しいですし、特に必要はないと思います。必要なのは、国や大きなベンダーがそういう仕様が必要だと言うことを明言することです。そうすれば製造するベンダーもそれに従うと思います。また、IoTデバイスを動かすOSであるLinuxも変わる必要があると思います。軽量でかつセキュアなIoTデバイス向けの専用OSを作るべきだと思いますし、もしもアカマイがそれをやるなら、ぜひ私も参加したいですね。

IoTデバイスについては、クレデンシャルとしてユーザーネームとパスワードを使うというのはもはや時代遅れでしょう。すでにiPhone Xがやっているような、顔認証や指紋認証に置き換わるべきだと思いますし、それが解決したら次にやるべきなのは、IoTデバイスのOSが持つオープンサービスをなくすことですね。私は自宅に多くのIoTデバイスを置いていますが、例えば私の持っている体重計やAVサーバーにもSSH（Secure Shell）が搭載されています。それはUnixが開発されていた70年代からの悪しき習慣なのです。誰もそれを取り外そうとはしなかったのです。クレデンシャルの問題が解決したとすれば、次はそれを解決するべきです。

セキュリティ業界における課題やIoTデバイスに関する問題点など赤裸々に語ってくれたシガール氏だったが、セキュリティの面からIoTデバイス向けのOSを作るべきだというのは興味深い提言であった。すでにGoogleやARMなどもIoTデバイス向けの軽量なOSを提供しているが、セキュリティ面からの必要性にはあまり言及してこなかった。アカマイのように、DDoSの脅威を間近で見ているベンダーが主導権をとってDDoSの踏み台になることを防ぐOSを作るとしたら、それは業界にとっても良い方向だろう。これからのアカマイの動きに注目していきたい。