これからのインターネットセキュリティーを考える技術サミットをLINEおよびインタートラストが開催!

LINE Corp.およびIntertrust Technologies(以下、インタートラスト)は17日、インターネット上でのサイバーセキュリティーを議題とした技術会議「LINE INTERTRUST SECURITY SUMMIT SPRING 2017 TOKYO」を共同開催しました。

IT技術やIoT製品が世界に浸透し人々がその恩恵を享受する現在、それらの機器を対象としたウィルスやマルウェアなどによるサイバー攻撃は激化と高度化の一途を辿っています。世界の技術者はそれらの攻撃に対抗すべく「絶対に安全な暗号化システム」を目指し研究を行っていますが、現在のところそのような夢の技術は実現されていません。今回開催された技術会議はそういった世界中の研究者を一同に集め、意見交換や技術情報の共有を目的としています。

会議では総計8時間にもおよぶ各研究者や技術者によるプレゼンやトークセッションが行われましたが、今回はそれらの発表から現在のインターネットセキュリティー事情や暗号化技術の最先端、そしてこれからのセキュリティーについて解説します。

line-security2017spring-003
会場にはインタートラスト関係者を歓迎するレゴブロックのパネルも展示


■なぜ今「セキュリティー」なのか
本会議はLINEとインタートラストが開催する第1回目となります。両企業がこのタイミングでセキュリティーサミットを開催する背景には、前述したように激化と高度化の顕著なサイバー攻撃にあります。

LINEは東日本大震災を契機に人々を繋ぐコミュニケーションツール(SNSツール)として一気に発展・普及していきましたが、その裏ではアカウントの乗っ取り問題やプライバシーの保護など、技術的な問題との戦いがありました。

初めに登壇したLINE CISO/CPOの中山剛志氏は「ちゃんとやっているから安心してください、では不十分」と語り、個人情報保護法遵守の徹底に加え「Bug Bounty Program」と呼ばれる報奨金制度などを設けることで、提供しているアプリケーションのセキュリティーホールを徹底的に洗い出し修正していくという地道な作業を繰り返してきたことを強調しました。

line-security2017spring-002
LINE CISO/CPO 中山剛志氏


そして今年5月、セキュリティー認証についての世界標準策定を目指している団体組織「FIDOアライアンス」へ、NTTドコモに続き日本で2番目のボードメンバーとして参加することが決定し、より強固で使いやすいセキュリティー技術の発展へと貢献すべく本会議の開催に至りました。

■FIDOアライアンスとは何か
FIDOアライアンスとは米国カリフォルニア州に属する非営利団体で2012年に設立されました。主にインターネット上でのオンライン認証技術を標準化し広く普及させることが目的となっており、スマートフォン(スマホ)やPCなど媒体を問わず実装されることを目指しています。

LINEがFIDOアライアンスへの参加を決めた理由の1つに生体認証への取り組みがあります。これまでも指紋などによる生体認証はPCのログインなどで限定的に利用されてきましたが、その仕組をオンライン決済に利用したり、オンラインサービスへのログインに利用することはセキュリティー的に問題が多くありました。そこでFIDOアライアンスでは標準化させた暗号鍵技術と共に生体認証をサポートすることで、文字によるパスワード入力の煩雑さやパスワード忘れ、パスワード漏洩などの人的な脆弱性を解消しようと動いたのです。

現在このFIDOアライアンスが策定した生体認証方式(FIDO認証)はNTTドコモが採用しており、同社の「dアカウント」に用いることで指紋認証や虹彩認証などで同社サービスにログインしたりオンラインショッピングを利用できるようにしています。

line-security2017spring-004
ドコモによるFIDO認証導入の歴史。当初は独自の認証システムを用いていたが途中からFIDO認証へ切り替えた


line-security2017spring-005
FIDO認証では公開鍵自体をやり取りするのではなくその「署名」を照合・認証することで暗号を解く


LINEもまたこのFIDO認証を採用することにより、同社の展開するアプリ内課金や有料サービスなどに生体認証を採用し、より強固で扱いやすいセキュリティーシステムを取り入れることが最大の目的です。

■インターネットの歴史はセキュリティー強化の歴史だった
ここでインターネットの歴史を少し振り返ってみましょう。

壇上で「インターネットは当初セキュアには作られなかった(セキュアに作ることは想定されなかった)。なぜならそんなに悪い人がいるとは思わなかったからだ」と、かつてエリック・シュミット氏が語った言葉を引用したのは、インタートラスト CEOのタラル・シャムーン氏です。

そもそもインターネットは軍事的な利用を目的とされた閉鎖的な通信システムであり、DAPAがデザインした当初は認証を必要とするコミュニティであったため認証されない参加者は敵対者として認識されたのです。

それが広く世界で利用されるにあたり、緩い認証(というよりほとんどノーチェック)で利用が可能となった今、「暗号化では足りない。堅牢なソリューションが必要である」として、「安全なランタイムや正しくコーディングされた認証」が必須であると語りました。

一方で「安全性が高すぎるシステムは認証が複雑であるなどの不都合が多く使いづらいために誰にも使われなくなる」とも語っており、安全性と脆弱性やリスクという相反する問題を解決するためにFIDO認証が適任であったとしています。

line-security2017spring-006
「二条城くらい強固で安全なシステムを作る必要がある」と会場の笑いを取る場面も


■インターネットだけではない、セキュリティーリスクの現在と未来
高度化しているのはサイバー攻撃の手法ばかりではありません。人々が当たり前のようにスマホを持ち歩き、あらゆる機器が通信機能を内蔵したIoT全盛の現在、そのセキュリティーリスクはインターネットという「空間」から個人や企業の機器という「場所」へと広がりつつあります。

ここで問題となるのはそれらの機器が持つリソース(もしくは制限)です。セキュリティーはより複雑な暗号化や高度な認証処理を行えばリニアに安全性は向上しますが、スマホやIoT機器では用いる電力や処理性能に限界があり、またセキュリティーにのみリソースを割り振るわけにはいきません。そのため、それぞれの機器で「これだけの安全性が確保できれば実用上問題ない」という線引が必要となります。

line-security2017spring-007
IoT機器はその性能・性質上乗っ取りリスクや破壊リスクを常に抱えている


「絶対に破られない汎用的なセキュリティーシステム」は理論上存在しないことが証明されており(限定的な用途においては存在することが確認されている)、重要なのは「破られにくくする」ことであると静岡理工科大学の大石和臣准教授は語り、同じようにゲームアプリにおいても「チートは『される』もの。だから『されにくくする』必要がある」とDeNAの汐田徹也氏も述べているように、セキュリティーには利用する機器に応じたレベルデザインが必要だということが何度も強調されていました。

line-security2017spring-008
静岡利工科大学 情報・物理セキュリティー研究室 大石和臣准教授


line-security2017spring-009
耐タンパーソフトウェアの研究と題し、DVDソフトやゲーム機などのセキュリティーとそのハッキングの歴史、そして今後のセキュリティー技術などを語った


line-security2017spring-010
DeNA セキュリティーエンジニア 汐田徹也氏


line-security2017spring-011
アプリケーションセキュリティーはアプリの実装方法や運用方法に合わせてレベルデザインされるべき、と語る汐田氏


またIoT分野において、一度破られたセキュリティーに対して自己治癒的な機能を持たせることが重要であると語ったのは北陸先端科学技術大学院大学の宮地充子教授です。

IoT機器はその運用性質上メンテナンスや管理が難しく、一度ハッキングされると暗号鍵の危殆化(保安上危険な状態となること。この場合暗号鍵が漏洩した状態を指す)が起こります。このまま危殆化を放置するとシステム全体を危険にさらすことになりますが、機器の交換やバッテリー切れなどで機器が一定期間で機能停止する仕組み(ライフタイム)を導入することなどで暗号鍵が定期的に入れ替えられる状況を作り、運用上の自己治癒を促すというのが最も分かりやすい仕組みです。

また暗号鍵の共有方法にハッシュ関数を用いた多項式を採用したり、周囲のIoT機器の協力を得て暗号鍵を更新していくPOSH方式(PMST)などもマシンリソースの軽い自己治癒方法として提案されており、IoT機器のセキュリティー技術研究がまだまだ発展途上である点が強調されていました。

line-security2017spring-012
北陸先端科学技術大学院大学 情報科学研究科 宮地充子教授


line-security2017spring-013
「IoT機器において危殆化した暗号鍵を安全な状態に戻すことが重要」と語る宮地氏


■FIDO認証はセキュリティーデザインの福音となるか
会議の最後に行われたトークセッションでも研究者や技術者の視点でサイバーセキュリティーについて語られ、「現場では(サイバー)攻撃を評価できない。(セキュリティーシステム)導入のメリットは我々のコメントを信用してもらうしかない(汐田氏)」、「様々な(セキュリティー)製品が出ているが安全かどうか分からない。セキュリティー評価の重要性は理解していても客観的かどうか判断できない(大石氏)」など、そのセキュリティーシステムが実際に機能するのか、また製品として十分に安全を確保できるのか判断が難しい点を指摘する声が多く、その対応としてのFIDO認証という選択が有用であるという認識がありました。

FIDOアライアンスには現在約250社が参加しており、世界標準としての認証技術の規格化を進めています。LINEがそのボードメンバーへの参画を決めた背景には、コミュニケーションツールとしての「LINE」をより強固で安全に運用するという目的以上に、企業としてセキュリティー問題へ真剣に取り組むという姿勢をアピールする意味合いが強いように感じられます。また本会議をセキュリティー製品を販売するインタートラストとの共同開催としたことにも、積極的なセキュリティーへの取り組みを示す意図があるように思われます。

今や人々は当たり前のようにスマホで買い物を行い、様々なオンラインサービスへログインし、あらゆるIoT機器と情報をやり取りしています。そこにハッキングなどのリスクが存在していることを意識しながら利用している人はほとんどいないように思われます。だからこそ逆に「意識させないセキュリティー」が求められているのです。十分なセキュリティーレベルを確保しつつ使いやすさを損ねない。そんなセキュリティーデザインが必要な時代が来ているのではないでしょうか。

line-security2017spring-014
便利さの裏では世界中の企業が日々攻撃者と戦っている


記事執筆:あるかでぃあ


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
【コーポレート】LINE、シンプルで堅牢な認証を推進する国際標準化団体「FIDOアライアンス」へボードメンバーとして加盟 | LINE Corporation | ニュース
FIDO Aliance