特集

【CTO渡辺が行く!】第2弾 株式会社スプラウト

2018.03.28

特集

sprout

こんにちは、SecurityTIMES編集部です。
【CTO渡辺が行く!】第2弾は株式会社スプラウト(以下スプラウト)です。
スプラウトはダークウェブに広い知見を持つセキュリティ企業です。
脆弱性診断や、ペネトレーションテスト、脅威リサーチなどホワイトハッカーやリサーチャーらの力によって企業の弱点となる部分を発見し、解決へ導いています。
そのほか、セキュリティメディア「THE ZERO/ONE」の運営やダークウェブに関しての書籍を出版するなど、セキュリティの情報発信にも力を入れている企業です。
今回は代表取締役社長 高野聖玄様にサイバーセキュリティクラウドCTOが人々の知らないダークウェブの世界についてお話を伺いました。

目次

人々の情報を売買する闇市場 「ダークウェブ」とは

渡辺:昨年あたりにダークウェブに関する書籍※を出版されていますが、そもそもダークウェブというものはどういったものなのでしょうか?
高野:ダークウェブを理解してもらうために、まず、インターネットの世界についてご説明しましょう。
現在のインターネットは、「サーフェイスウェブ」「ディープウェブ」「ダークウェブ」の3つに分かれています。
普段みなさんが日常的に使っている検索エンジンに、GoogleやYahoo!といったものがあると思います。知りたい言葉を入力したり、アクセスしたいサイトを検索すればいくらでも探せます。
けれどもこの検索エンジンもすべての情報を探し出せているわけではないのです。
GoogleやYahoo!の検索エンジンで見つけることができるものはあくまでインターネット世界のごく一部であり、この誰でもアクセスできる空間を「サーフェイスウェブ」と呼びます。
一方、通常の検索では見つけられない深層世界を「ディープウェブ」と呼んでいます。
Gmailなどのウェブメールや、ECサイトのマイページ、公共機関のデータベースなどがこれにあたります。「サーフェイスウェブ」の情報量はネット全体の1%未満に過ぎず、99%以上はこの「ディープウェブ」が占めるという見方もあります。
そして、「ディープウェブ」のさらに深い場所にあり、特別な通信方法を用いなければたどり着けないのが「ダークウェブ」です。
「ダークウェブ」には、その特徴である匿名性・秘匿性の高さのため、犯罪者が集まり、さまざまな違法品が売買される闇市場が数多く存在しています。例えば、麻薬、銃、偽札、クレジットカード情報、児童ポルノ、サイバー攻撃ツールなど、その商品は多岐にわたります。

渡辺:ダークウェブって言葉自体あまり知られていないと思うのですが、やっぱり普通の方法では見つけることは不可能なんですね?
どういった方法でアクセスするのでしょうか。
高野:ダークウェブへアクセスするための方法として、最もポピュラーなものは「Tor(トーア)」でしょう。そのほか「フリーネット」「I2P」というものもあります。
これらはそれぞれ独自のネットワーク空間となっているので、Torを使った場合はTorのネットワーク、フリーネットならフリーネットのみにアクセスできるといった仕組みになっています。
これらの通信方法を用いたとしても、ダークウェブにはGoogleのような優れた検索エンジンは存在していないため、サーフェイスウェブやディープウェブの掲示板から得た情報などを参考に地道に目的の情報を探し出さなければなりません。また、ようやくたどり着いた場所でも、翌日には消えてしまう事もあります。
そういった側面からも普通の人にとってはアクセスすることが難しい場所であり、そもそもアクセスする必要もない世界と言えるでしょう。

※「闇ウェブ(ダークウェブ)」スプラウト著/2016年7月発刊/文藝春秋

ダークウェブへ侵入、現在の裏世界の実態

渡辺:高野様もダークウェブにアクセスすることはあるのでしょうか?
高野:ダークウェブというものはなにかということを理解するために、アクセスすることはあります。現在は、主に専任のリサーチャーがダークウェブを回って情報収集しています。
漏洩した情報が流れている場所はないかとか、最新のマルウェアが売られているところはないかなどの情報を集めていますね。

渡辺:ダークウェブにアクセスする際にはどのような注意や対策をされているのでしょうか。
高野:安易にダークウェブ上のサイトを訪れると、マルウェア感染やハッキング被害を受けるリスクがあるので、我々はアクセスするための専用端末を使っています。盗まれる情報がない空っぽの端末で、ほかの業務とは別に専用回線も用意しています。完全に分離しないと危険ですからね。
業務の関係上、流出情報なども入手しなければならないときがあるのですが、そういった場合は弁護士に相談しながら進めていますね。

渡辺:私の印象だとダークウェブは海外中心で、日本専用のサイトや掲示板はない気がしているのですが、日本のダークウェブ市場は存在しているのでしょうか?
高野:日本語のサイトも存在しています。けれどもダークウェブ全体で見ると非常に小さい市場です。日本語サイトは、薬物売買のやり取りが多い印象ですね。

ダークウェブの闇市場に出回っている流出情報の中に、私自身の個人情報の一部を見つけたこともあります。どこかで一度でも情報が漏れてしまったら、それを削除するのは非常に難しいでしょう。そのため、個人で出来る対策として、サービスごとに異なるパスワードに設定すること、複雑な組み合わせのパスワードにすること、この二点は実施していただきたいですね。あとは企業がいかに情報を流出させないか頑張るしかないです。

渡辺:IDとパスワードがセットで流れてしまったら、その組み合わせでほかのサービスも使えるか試されてしまいますもんね。使い回していたせいで、簡単にログインされてしまう。
個人の対策ももちろん必要ですが、まずは企業側が十分なセキュリティ対策を行うことが大前提ですね。

渡辺:先ほど、ダークウェブを調査する専門のリサーチャーがいると、お話されていたと思いますがその担当者さんはずっとダークウェブを調査されていらっしゃるのでしょうか。
高野:案件によりますが、必要な場合はリサーチャーがダークウェブを長期間調査していることもあります。現在少しずつシステム化を進めていて、人と機械とでさらに効率よく調査できるよう取り組んでいるところです。
渡辺:ダークウェブにアクセスすること自体はやり方さえわかれば簡単みたいですが、実際にアクセスしてますと言われてしまうと本当にこの人安心できる人なのかなと不安になってしまいますね。悪用してないよね?と疑ってしまいます。もちろんそんなことは無いと思いますが、興味本位でやりすぎてしまうのではとか考えてしまいます。

高野:ダークウェブの中で日本の市場が小さいと言いましたが、ほとんどが英語やロシア語なんです。隠語とかあるとほとんどわからないので、ちょっとダークウェブに入ってみましたといったライトな人だと、深い部分はなかなか解読できないですね。2ちゃんねる用語が一見さんには理解が難しいように、ダークウェブの世界も専門用語が横行しているので、そういったものをAIとか使って解読できるようになると便利になりそうですね。

脆弱性を見つける技術と需要のバランス

渡辺:御社のサービスのひとつとして、「バグバウンティ(BugBounty.jp)」がありますが、どのようなサービスなのでしょうか?
高野:バグバウンティは日本初のバグ報奨金制度のプラットフォームです。
登録した企業が自社サービスを公開し、世界中のホワイトハッカーに脆弱性を発見してもらうシステムです。バグを発見したホワイトハッカーはその内容に応じて報酬を受け取れます。自社で一からバグ報奨金制度を実施する手間が省け、企業内では気が付きにくいバグも見つけることが可能なため、サービス開始から徐々にご登録企業が増えています。
ホワイトハッカーは、さまざまな国から登録があり、普段はセキュリティ企業に勤めている人もいるなど背景もバラエティに富んでいるため、多角的な視点で脆弱性を探してもらえることも特徴の一つですね。


渡辺:脆弱性を発見できるような技術者はどこでも不足しているので、サービスを通じてホワイトハッカーに脆弱性を発見してもらえるのは良いことですね。
ホワイトハッカーやセキュリティエンジニアといった特化した人材に出会うことはなかなかないですから。
高野:セキュリティ人材全般足りてないって言われていますからね。脆弱性を診断したり、対応したりできるエンジニアは本当に少ないと思いますし、それに対しての需要がとても大きいですよね。バランスが保てていないです。だからといって、今から育成しても間に合わないし、その人たちが一人前になるころに、今と同じような脆弱性がたくさんある世界なのかというとそうではないと考えています。いまウェブサイトに多くの脆弱性が残っている理由のひとつには、インターネットが普及してきてから、それぞれがセキュリティをあまり意識せずに、自由につぎはぎしながら作ってきたからでもあります。それを今直しているわけで、将来的に現在必要な分ほどの需要があるとは思えないです。一昔前、SI業界が急成長してソフトウェア開発人材が不足しているとなって、官民一体で人材を育成しようとなりましたが、数年後にはその時求められていた技術はチープ化してしまった。セキュリティ業界が、この先そういう状態になるのは避けたいですね。

経営層のセキュリティへの興味関心の変化

渡辺:セキュリティ人材といえば、企業のCISOというトップレベルの人材育成は進んでいると思いますか?
高野:まずCISOを配置している企業が少なく、急いで進めていく必要があると思います。
CISOのようなセキュリティをコントロールする人材が企業側にいないと、言われるがまま高いセキュリティ製品を買わされてしまったりとか、使い方もわからないような情報を買わされたりとか、そういった問題が発生してしまいますからね。また、平常時の準備不足はもとより、事故が起こってしまった時に統制を取れるようにするためにもCISOは必要でしょう。

渡辺:御社は脆弱性診断サービスを提供されていますが、そのときにコンサルティングをすることってあるのでしょうか?
高野:脆弱性診断とコンサルティングをセットで依頼されることはありますね。診断結果をもとに今の状況だとこういうセキュリティ対策が足りていませんとか、この結果から次のステップへ進みましょうといったふうに、セキュリティ対策全体の支援をすることが増えてきていますね。あとはIoT製品の実機調査と併せて、製品戦略の中においてセキュリティをどう考えるかのお手伝いとか。

最近は企業の役員向けに調査報告をするケースが増えてきていて、昔と違って経営層が結果を知りたい、理解したいという意識に変わってきていると感じています。


渡辺:経営層の意識の変化はここ最近って感じですか?
高野:直近一年位で変化しましたね。セキュリティを会社の経営の中でどうやって扱うべきなのかという相談だったり、診断をするケースが増えてきていて、そういう仕事はこちらとしてもとても楽しいですね。
たとえ悪い診断結果だったとしても、経営層の方たちもやっぱりヤバかったね、やってよかったねという反応をしてくれます。悪い結果がでるということは一見マイナスに見えますが、企業にとっては改善するべきものがわかり、結果的にはプラスの話です。そういう意味でも、診断をやった意味がなかったということはほとんどありませんね。

渡辺:私たちの場合、WAFといっても経営層に必要性が響かないこともあります。診断をやったうえで必要だよと伝えるのは簡単ですが、いきなりWAFの必要性を説いてもピンとこない人もいます。経営層自体WAFを入れていることに気が付かないとか、興味がないとかありますね。最近は経営層からのトップダウンでセキュリティ対策しよう、WAFを導入しようという考え方に変化してきていますが、もっと意識改革が必要だと感じています。
それと比べると具体的な内容で経営層に響く仕事ができるのは面白いですね。
高野:それでも最近ですよ。以前はなんでこんなに費用がかかるの?とか意味あるの?と言う風に突っぱねられてしまうこともありました。ホワイトハッカーって本当に安心できるの?というどこぞの馬の骨みたいな感じで。最近はそういった不安感は払拭されてきて、むしろ企業側のほうが積極的になっています。

渡辺:脆弱性診断などとは別でリサーチを依頼されることってあるのでしょうか。
高野:ダークウェブ上に顧客情報や社内のドキュメントなどが漏洩していないか調べてほしいといった内容でリサーチ依頼をいただくことがありますね。
そのほかにもフィッシングサイトを大量に作られて困っていて、どこかで情報が漏れているかもしれないから調べてくれといった依頼もあります。
渡辺:そういったリサーチをインテリジェンスレポートとして提供されていると思うのですが全て個別で情報を集めてくるのでしょうか?
高野:ケースバイケースですが、企業の依頼に合わせて普段から収集している情報と、新たに集めた情報を組み合わせてレポートにするといったイメージですかね。こういった情報は、その企業の経営陣がリスクコントロールを上手く行うためという意味合いが強いです。

スプラウトの未来

渡辺:今後ダークウェブの世界はどのように変化していくと考えられますか?
高野:ダークウェブに関してだけの話ではないのですが、2020年はオリンピックもありますし日本企業はますます脅威にさらされるのではないかと考えています。さまざまな手を使って情報を盗み出して、ダークウェブに流してってことがもっと拡大してしまうかもしれません。いまは「Tor」が主流ですが、全く新しいものが登場してもおかしくないですしね。
犯罪者側も技術レベルを上げてくるだろうし、私たちはそれに負けないもしくはそれ以上の技術レベルにまで成長していきたいですね。

まとめ

渡辺:ダークウェブについて詳しいお話、ありがとうございました。私自身ダークウェブ関連はリサーチ中の身なので、高野様のお話を聞くことで理解が深まりました。
ダークウェブに一度情報が流れてしまうと半永久的にその情報は残り続けてしまうと聞き、私としても企業のセキュリティ対策をもっと強固なものにしていきたいと感じました。
今後もダークウェブをはじめとしたセキュリティ業界の動向に注目していきたいと思います。

WAFとは?導入した時のメリットについて

高野聖玄様

株式会社スプラウト 代表取締役社長
1980年生まれ。フリーランスのWebエンジニアとして活動後、日経BP社でインターネット事業の開発などに従事。2005年に会員制情報誌『FACTA』(ファクタ出版)の創刊に参画。オンライン版責任者、編集記者としてIT業界から経済事件まで幅広い分野の調査報道に携わる。2012年12月にサイバーセキュリティ企業スプラウトを創業。2016年11月より現職。様々なインターネット事業を開発してきた経験と、調査報道で培った情報収集力を活かし、企業や官公庁のサイバーセキュリティ対策をサポート。近著にサイバー闇市場を題材にした『闇ウェブ(ダークウェブ)』(スプラウト著/2016年7月発刊/文藝春秋)。