セキュリティ世界にも全自動の波が到来！（前）

　10月20日‐21日の2日間、日本発の情報セキュリティ国際会議、第4回「CODE BLUE」が東京・新宿 ベルサール新宿グランドで開催された。会場には海外、国内を含めて、第3回を大幅に上回る約700名のハッカーが参集した。今回は新たな試みとして、本会議に先がけて18日‐19日の2日間、2つのトレーニング（「マルウェアの静的解析の概要」と「ICS/SCADAの概要と攻撃手段の理解」）が開講、また、20‐21日の2日間は国際会議と並行して、ハッキングコンテスト（「Hack2Win（IOT機器）」と「Hack-a-Tron（PC機器）」などが開催された。

国内から17件、海外から132件の応募

<

佐々木良一　実行委員長（東京電機大学教授）

　初日、開催の挨拶に立った、佐々木良一CODE BLUE実行委員長（東京電機大学情報セキュリティ研究室教授）は第4回「CODE BLUE」の特徴を次の様に述べた。

　「今回の特徴は国際会議に先駆けて、2つのトレーニングコースを開講したことと、会期中には並行して、ハッキングコンテストを開催することです。講演内容はますます充実してきており、今回は国内から17件、海外から132件の論文応募がありました。私も学会関連で、日本発の国際会議を数多く経験していますが、論文応募件数は、多くの場合、国内と海外とでは差がありません。CODE BLUEの場合、海外からの応募が国内に比べて圧倒的に多いのは、それだけ海外から大きな注目を浴びている証拠だと思います。発表は国内30％、海外が70％で構成され、海外からの発表の国別内訳は、第1位アメリカ、第2位イスラエル、第3位台湾の順になっています」。

　佐々木良一実行委員長の挨拶に続き、篠田佳奈実行委員代表の開会宣言が行われた。会場はベルサール新宿グランドの1Fと5Fが使われ、1Fでは2日間を通じて26件の発表がTrack1とTrack2に分かれ並行して走り、５Fではハッキングコンテストなどが行われた

慢性的に不足するセキュリティ人材対策

　今回の第4回「CODE BLUE」は、日本そして世界の産業界（国家機構の一部を含む）が今直面している3つの大きなテーマに挑戦していた。1つ目は「慢性的に不足するセキュリティ人材」、2つ目「セキュリティの適量」、3つ目は「デジタル社会の未来」である。いずれも、解決の糸口は中々見えてこないが、避けることができないテーマである。

<

イン・ヒュ・セオ氏（右）、ジソ・パク氏

　1つ目目テーマは「慢性的に不足するセキュリティ人材」である。このテーマに関連した講演は「Cyber Grand Challenge(CGC)：世界初のマシンだけによる全自動ハッキングトーナメント」（タイラー・ナイスワンダー氏、1日目Track1）、「CGCで使用した完全自動脆弱性検索ツールを使ったセキュリティの分析とその効果」（イン・ヒュ・セオ＆ジソ・パク、1日目Track1）と「機械学習でWebアプリケーションの脆弱性を見つける方法」（髙江洲勲、1日目Track1）などである。

　IT業界では2010年代末までに自社を守るサイバーセキュリティー分野の人材は世界で450万人必要と言われている。日本では量的に8万人、スキル不足で16万人、総計で24万人のセキュリティ人材が慢性的に不足している。

　では、この人材をどのように確保していけばよいのか。米国などのIT企業のいくつかは、高額な準備金、研修制度などを用意して、有能な候補者に講座やメンター制度、サイバーセキュリティー業務検定を提供し、会社を守るために必要なスキルを習得させようとしている。しかし、このやり方で、本当に人材不足は解消するのだろうか。その解決策に関して、セキュリティの世界にも、人間が介在しない「全自動」というキーワードが登場した。

完全に自立したシステムが競うCTF大会

　CGC （Cyber Grand Challenge）は、用意されたプログラムの脆弱性を探し、それを修正するためのパッチを書く、そして敵チームのプログラムを攻撃するための攻撃コードを書き攻撃を行うという一連の行動をすべて自動化されたプログラムによって行う、完全に自立したシステムが競うCTF（Capture The Flag）の大会である。いわば、セキュリティ・ライフサイクル全体の自動化を目標としている。

　タイラー・ナイスワンダー氏は世界的に有名なカーネギーメロン大学のハッキングチームPPPの出身である。2016年、彼が制作支援した全自動システムはDARPA（アメリカ国防高等研究計画局）が主催するCGCで優勝した。競技は、世界中のセキュリティ研究者やハッカーからなる100チーム以上で始まったが、決勝進出はたった7チームだけであった。
　自動化されたハッキング技術は、セキュリティの脆弱性に迅速に対応することを可能にすると同時に、サイバー攻撃に対する防御と、セキュリティ強化を支援することができると考えられている。

自動化したツールを使用した脆弱性の検知

　イン・ヒュ・セオ＆ジソ・パクは2人とも韓国高麗大学の修士課程に籍を置く学生、研究員である。自動化したツールを使用した脆弱性の検知は、長い間多くのセキュリティ研究者やハッカーによって試行や研究が行われてきた。しかし、数多くの自動化ツールが継続的に開発され、それぞれのツールが個別の目的のために使用されるもののため、効率的にセキュリティ評価を行うことが難しくなっている。講演では、脆弱性検知のための自動化ツールを列挙、分類をした上で分析を行い、長所と短所、目的、効率性などに言及した。

人間の脆弱性診断員と同等以上の診断能力

<

ハッキングコンテスト（PC機器）。参加賞として全員にドローンをプレゼント

　高江洲勲氏は、三井物産セキュアディレクション（株）に所属するWebセキュリティエンジニアである。人口知能（AI）技術に着目し、自らの意志でWebアプリケーションの脆弱性を見つけ出すAI「SAIVS（Spider Artificial Intelligence Vulnerability Scanner）の研究開発を進めている。SAIVSの最終目標は人間の脆弱性診断員と同等以上の診断能力を獲得することである。SAIVSは本年、シンガポールで行われた“Black Hat Asia”で披露、好評を得ている。

　ハッキングの自動化、またAIハッキングおよびセキュリティ技術の研究は、今まさに始まったばかりである。しかし、大規模な脆弱性を分析する必要がある場合、個人の能力に全面的に依存していては自ずと限界が出て来る。自動化された分析システムを研究することは、サイバー攻撃が広く普及したこの時代において、国家レベルの要請でもある。

（つづく）
【金木　亮憲】