世界が注目するセキュリティ研究者、中島明日香が思い描く未来のIT社会
--サイバーセキュリティの研究について教えてください。
セキュリティ研究者は、おもに「脆弱性」の発見とその対策の研究を行っています。脆弱性とは、ハードウェア・ソフトウェアなどに発生する情報セキュリティ上の欠陥のことで、サイバー犯罪者はその欠陥を突いてコンピュータに侵入し、悪事を働きます。
私は2018年から2019年まで「OEM製造されたIoT機器が内包する脆弱性の残存リスク」について研究していました。OEMはメーカーが他社ブランドの製品を生産することです。メーカーのオリジナル機器に脆弱性があった場合、他社ブランドとして販売しているOEM機器にも脆弱性が伝播していることを明らかにしました。脆弱性が発見されたオリジナル製品は、脆弱性情報データベースなどで知ることができますが、OEM製品がデータベースに記載されることはほとんどありません。そのため、消費者は脆弱性を含んでいることに気づかないまま、OEM製品を購入したり使い続けたりしてしまいます。
その対策として、OEM製品とオリジナル製品の外観が類似している点に着目し、機器の見た目からOEM製品を探す方法を提案しました。実際に、脆弱性の影響を受けるオリジナル製品に見た目が似ているものをOEM製品候補とし、ソフトウェアを一部解析したところ、真にOEM製品であることがわかり、脆弱性が含まれていることも確認できました。この研究内容は国際カンファレンスで何度も紹介され、高い評価を得ました。
--日本・東京を拠点に活動するメリットはありますか?
セキュリティ研究の分野は、欧米圏が今でも強いのですが、欧米圏を対象に行った調査と、アジアを対象に行った調査を比較した時、異なる点が発見されることもあり、それが研究で高く評価されたことがあります。以前、アメリカのカーネギーメロン大学(CMU)と共同研究をした際、一般消費者向けのIoT機器を販売している日米のベンダ(製造元)を対象に、セキュリティパッチ(脆弱性を解消するための追加プログラム)の公開日等を調査して、その傾向に差がないかを調査しました。結果としては、日本のベンダの方がアメリカのベンダよりも脆弱性情報が公表される前に、セキュリティパッチを公開している傾向が強いことが判明しました。この論文は情報セキュリティ分野における難関国際会議「ACM ASIACCS」で採択され、CMUからもホワイトペーパーが公開されています。
また、アジアで求められるセキュリティ技術とは何かを情報収集したい欧米の研究者も多く、私に尋ねてくることもあります。これらの経験から、グローバルな観点からみると、日本・東京から発信することのメリットはあると思っています。
--人材育成にも注力しているそうですね。
サイバーセキュリティは、パソコン一つで世界をより良く変えていくことができる魅力的な分野ですが、国際的に人材が不足しています。私自身は中学生のときに、サイバーSF小説『Project SEVEN』(七瀬晶:著/アルファポリス刊)を読み、女子高生ハッカーに憧れて、独学でセキュリティの勉強を始めました。大学生の頃、アメリカ・ラスベガスで開催される世界最高峰のハッキングコンテスト「DEF CON CTF」に、国内有数のハッカーグループの一員として参加。世界トップレベルの技術力を体感し、「今までの自分は甘かった」と気づき、決意を新たに、卒業後、セキュリティ研究者になりました。
世界と渡り合えるトップレベルの研究者はもちろん、セキュリティに関する基礎知識をもつ人材の育成も重要であると考えています。近年、国内でもセキュリティ技術者や研究者を育成するプログラムが増え、大学でもセキュリティ関連の講義が設けられるなど、環境は整ってきています。ハッキングコンテストの開催も増加し、サイバーセキュリティを学ぶハードルが低くなってきていると感じます。
私自身も大学で講義を行ったり、本や雑誌の執筆活動をしたりと、人材育成に取り組んでいます。また、セキュリティ業界で活動していく中で、女性研究者はまだ珍しく、「心理的・社会的なハードルを下げる意味でも、女性同士が支え合えるコミュニティが必要」だと思い、2014年に女性限定のセキュリティコミュニティ「CTF for GIRLS」を立ち上げました。
--「CTF for GIRLS」では、どんな活動をしていますか?
情報セキュリティ技術に興味がある女性を対象に、定期的にワークショップやCTF大会を開催しています。CTFとは「Capture The Flag(旗取りゲーム)」の略で、情報セキュリティ技術を競うコンテストのことです。台湾や韓国、インドなどの女性向けのセキュリティコミュニティと連携し、CTF大会で問題を提供しあったり、国際カンファレンスで共同発表したりすることもあります。
ワークショップの参加者は、会社でセキュリティ関連の部署に配属された人など初心者が多く、20~30代がメインです。セキュリティの仕事とプライベートを両立したり、趣味でセキュリティの研究をしたり、多彩なロールモデルをCTF for GIRLSから発信していきたいと考えています。
また、理系、ITやセキュリティといった分野は男性が多く、女性には不向きな分野だと誤解されやすいです。そこに飛び込むことに心理的ハードルを感じてしまう女性もいると思います。CTF for GIRLSを通じて、女性セキュリティ技術者が増えて、「女性がいることが当たり前」という空気をつくっていくことが理想ですね。
--消費者側ができるサイバー犯罪対策を教えてください。
サイバー攻撃は自分には関係ないと思う人が多くいますが、スマートフォンやパソコンなどインターネットにつながる機器を使う人すべてにリスクがあります。一人ひとりがしっかり機器のアップデートを行ったり、セキュリティ対策ソフトを導入したりするなど、脆弱性を減らす対策をして、攻撃される隙を減らしてもらえるとうれしく思います。