top

開発したアプリを情報漏えいの踏み台にされないために。ゲヒルン松野氏インタビュー

  • このエントリーをはてなブックマークに追加

by [2014年7月22日]

ユーザートラッキングなど、アプリでできることが以前に比べて増えてきたが、それと同時により詳細な個人情報を扱うアプリが増えてきた。
アプリがWebサイト同様に機微な個人情報を扱うようになってきたことで、アプリ開発者のセキュリティへのリテラシーが以前にも増して重要になってきている。

ゲヒルン株式会社 取締役・松野 真一氏

そこで、今回はその高いセキュリティ技術力に定評があるゲヒルン株式会社の取締役・松野真一氏に話を伺った。
松野氏は、TBSドラマ「ブラッディ・マンデイ」にてハッキングシーンの技術監修を担当したことでも有名だ。
株式会社アラタナのグループ会社であるゲヒルンは、情報セキュリティ・インフラ・防災、の3つの分野で日々研究開発を行っている。今回はその中でも情報セキュリティについて話を聞いてきた。

ゲヒルンは情報セキュリティ・インフラ・防災の3分野で活動している。

今の時代はスマホアプリ黎明期

───最近はスマホアプリの開発会社も増えてきて、非常に盛り上がっているスマホ業界ですが、スマホアプリのセキュリティについてお聞きしたいと思います。

松野氏 たしかに最近は、月商数億以上のアプリもたくさん出てきていています。
また、今までWebサイトにしか手を出さずにいた大企業からも、「アプリを展開していきたい」という声が出始めています。
そういうことから考えると今のスマホアプリ市場は非常に盛り上がっている、と言えると思います。

ただ、この盛り上がり方は、インターネット黎明期の頃に非常に良く似ています。
インターネット黎明期では、急激に増えた需要に対応するため、セキュリティを後回しにしてしまった歴史があるのですが、スマホアプリでは同じ失敗を繰り返すべきではないと思います。
特に最近はWebサイト同様に機微な個人情報を扱うスマホアプリが増えてきたので、セキュリティに関して慎重にならなければならないと思います。

───電話帳やLINEのように個人情報を扱うアプリの開発者は特にセキュリティに気を付けなければならないということですね。

松野氏 例えば、開発者に悪意が無くとも、アプリのサーバが攻撃された結果、個人情報が漏えいしてしまう可能性があります。
ほとんどのスマホアプリはサーバと接続しているので、サーバ側でもセキュリティ対策をしっかりとやることが重要です。
一度でもセキュリティが破られてしまうとアプリ開発者としての信用を失ってしまうので、需要を満たすことばかりを優先してセキュリティを疎かにするべきではありません。

攻撃できる人材でないと安全なセキュリティは達成できない

───では、セキュリティを達成するために、ゲヒルンではどのようなサービスを展開しているのでしょうか?

松野氏 ゲヒルンでは、依頼を受けた企業のアプリやWebサイトのセキュリティホール(= 脆弱性)に対して、診断と管理の2つのサービスを提供します。
まず診断についてですが、これはリリース前のアプリやWebサイトに対して、ネットを介してサーバに侵入できるのか、不正に個人情報を取得できるかなどをテストするというものです。
そうして診断して見つかったセキュリティホールを消していき、セキュリティを実現します。

───つまり、依頼されたアプリやWebサイトを一度攻撃するのですね。やはりハッキング攻撃ができる人材でないとセキュリティの実現は難しいのでしょうか?

松野氏 その通りです。アプリやWebサイトを一度攻撃してみて、ハッカーの立場からセキュリティホールを見つけだし、それらのセキュリティホールに対して一つ一つ対策を考えていくわけです。
やはり、攻撃手段を知らないとどこが脆いのか分からないので、ハッキング攻撃ができる人材でないとセキュリティの実現は難しいと思います。
セキュリティの世界で一流になるためには、最新のハッキング攻撃を熟知した、一流のハッカーにもならないといけません。

公開技術のセキュリティホール

───セキュリティホールの管理とはどういったものでしょうか。
松野氏 セキュリティホールは大きく分けると2つあります。
1つは独自技術(非公開技術)に存在するセキュリティホールですが、これは洗い出していく以外の方法はありません。
もう一つは、WindowsなどのOSやオープンソースなど、多くの人が使っている技術(公開技術)に存在するセキュリティホールです。
こちらに関しては、セキュリティホールが問題となっている公開技術を使用しているかどうか、また、そのセキュリティホールが現在攻撃の対象になっているか、を考慮してリスクを洗い出す必要があります。

───例えば、OpenSSLやCMSなどの公開技術を使う場合には、その技術に存在するセキュリティホールのリスクを把握することが重要、ということですね。

松野氏 その通りです。一般的な企業では、エクセルなどを使って公開技術のリスクを管理しているケースが多いのではないでしょうか。
自分たちの使用している公開技術資産をエクセルで管理し、そこにある技術の脆弱性情報と脅威情報(攻撃対象になっているかどうか)をネットで探してリスクを管理していたわけです。
この部分のルーチンワークをゲヒルンが自動化しました。

───ASP(Application Service Provider)サービスのようなものでしょうか。

松野氏 そうです。ユーザーには自分たちの利用している公開技術の資産を、ゲヒルンは脆弱性情報と脅威情報をシステムに入力し、システム内で正確なマッチング技術を用いてリスクをスコア分析するというものです。
この仕組みをアプリやWebサービスの大元となるサーバに導入する意義は非常に大きいと思っています。

セキュリティは国全体で取り組むべき問題

───スマホアプリが最近盛り上がってきている一方で、アプリのセキュリティ関連の話をあまり聞いたことがないのですが、アプリ開発者のセキュリティリテラシーについてはどう思いますか。

松野氏 先ほどもお話したとおり、今のスマホアプリ業界の盛り上がりはインターネットの黎明期と良く似ていると思います。
今では考えられないことですが、インターネット黎明期には、新人研修で作成されたプログラムのようなセキュリティホールだらけのアプリケーションが大手企業からもリリースされていたりもしました。
業界の成長スピードが速いため、ユーザーの期待に応えるためにセキュリティが雑になってしまうのかもしれませんが、本来セキュリティは、一つ一つ積み上げて事前に事故や事件を防ぐべきものです。
悪意を持たないアプリでも踏み台にされる可能性があるので、開発者は自分の意図通りに責任を持って個人情報を扱えるようにセキュリティ意識を高めるべきです。

───今後のセキュリティ対策において重要な点はなんですか?

松野氏 セキュリティ業界内で脅威情報を共有していくことが重要だと思います。
そのために横のつながりをしっかりと持って、政府の力も借りながら日本全体でセキュリティに取り組むべきだと思っています。
また、セキュリティ専門家の高齢化が進んでいるので、若手の育成にも力を入れたいと思っています。

───ありがとうございました。

まとめ

たとえ悪意が無くとも、個人情報を一度でも漏らしてしまったら、開発者としての信頼を大きく損ねることになる。
たいした個人情報を扱っていないつもりでも、例えばそのアプリ内での文字入力がサーバを通して盗み出され、そこから個人情報が特定されるかもしれない。

個人情報漏えいのリスクを抱えているという点で、セキュリティへの意識の低いアプリは不自然に多くの権限を必要とする悪意のあるアプリとユーザーから見れば同じである。
悪意のあるアプリはある程度ユーザー側から自衛することはできるが、アプリサーバハッキングの被害を防ぐには、開発者側がセキュリティ構築をしっかりやる以外に対策はない。

スマホアプリ黎明期の今だからこそ、扱っている個人情報の多少に関わらず、セキュリティについてしっかり見直してみることが重要だ。

松野真一氏

松野氏

2006年9月、伊藤忠グループ企業にて、海外パートナーと共同で世界最先端技術のペネトレーションテストを立ち上げる。
2008年10月、伊藤忠商事の子会社として株式会社サイバーディフェンス研究所を設立。執行役員開発部長に就任。
2011年6月、積年の夢であった馬主を目指して単身大阪へ。競走馬を購入するも全く走らず、超高額ペットと化す。
目標を失いかけていたその時、アラタナ代表の濵渦と出会い「あなたはもう一度、真剣に働くべきだ!」と言われて覚醒。
2013年5月、最愛の馬達を兵庫の園田へ残して単身宮崎へ。株式会社アラタナの取締役CISOに就任。
2013年11月、ゲヒルン株式会社の取締役に就任。現在に至る。
TBSドラマ「ブラッディ・マンデイ」にてハッキングシーンの技術監修を担当。白夜書房「ハッカージャパン」等、セキュリティ関連の執筆多数。

株式会社アラタナHPのメンバー紹介より引用。)

ゲヒルン株式会社

コメントは受け付けていません。

PageTopへ