タイのセキュリティコミュニティーリーダーが語る、一人ではなく皆で学ぶ本当の意義：サイバーセキュリティマネジメント海外放浪記（2/2 ページ）

[鎌田敬介，ITmedia]

※本記事はアフィリエイトプログラムによる収益を得ています

K　サイバーセキュリティのレベルを底上げするためには、「共有し合う」ことが非常に重要だと考えています。よく言われることですが、攻撃者は攻撃者同士で情報を共有し協力し合っています。なぜ守る側は協力し合わないのでしょうか？　攻撃者が何をしているのか、どう攻撃しているのかといったことをなるべく早く知ることができれば、素早く私たちの情報やインフラを守ることができるでしょう。

　サイバーセキュリティの話をするときはいつもこの標語を紹介しています「自分だけがセキュアになってもみんながセキュアになるわけじゃない」。ここでいう“みんな”とは、自組織のことでもあるし、自分の業界全体のことでもあるし、自国全体のことでもあるし、全世界ということも意味しています。

筆者　サイバーセキュリティの仕事をしてきて、これまでにさまざまな事案を経験してきたと思いますが、その中でも特に印象に残っている事例を教えてください。

K　2003年1月頃のことになりますが、MSSQLのサーバを狙った、スラマーといわれるワームが全世界ではやったことがありました。当時管理していたサーバやネットワークが突然インターネットに接続しなくなり、原因を特定しようとしたのですが何が起きているのか全く分からずに途方に暮れました。そのときに、所属していたCERTのコミュニティーから情報を得ることができ、何が起きているのか、どう対処したらいいのか、といったことをタイのインターネットコミュニティー全体にアナウンスすることができました。この経験から「助け合い」精神の力を実感しました。

筆者　最近のサイバーセキュリティ事案対応の中で印象に残っているものはありますか？

K　2019年の8月の出来事ですが、タイのギャンブルのサイトから330万人分の個人情報が漏えいした事案がありました。これは、ギャンブルサイトで利用していたデータべースサーバにセキュリティの問題があり、そこからデータが漏えいしたというものです。漏えいした情報には「名前、誕生日、国民ID、電話番号、銀行口座情報」が含まれていました。実は、ギャンブルはタイでは違法であり、このギャンブルサイトの運営者が誰なのかも分かりませんでした。この事案への対応として、TB-CERTではデータを分析し、銀行に漏えいしたデータを提供しました。事案対処の中ではタイ国内のさまざまな組織、タイ中央銀行や、セキュリティ機関、会員の銀行などが相互に協力し合って対応しました。この事案でもやはり助け合うことの重要性を認識しました。

筆者　サイバーセキュリティをこれから学ぼうとしている人に何かアドバイスをお願いします。

K　私はTB-CERTでの仕事がメインですが、タイ国内でサイバーセキュリティのコミュニティーを作ることも多くおこなっています。例えば、OWASP（注：Webアプリケーションセキュリティに関するコミュニティー）のタイチャプターや、2600 Thailandというコミュニティー、クラウドセキュリティアライアンスのタイ版などです。サイバーセキュリティを学ぼうとする人に常にアドバイスしているのは、実験環境を作ったり、CTFのようなものに参加したりして実際に手を動かして学ぶということです。実際に世の中にあるサーバに攻撃して学ぶことは絶対にしてはいけません（笑）　

　セキュリティのプロとして育った人の例を紹介しましょう。ある日、コミュニティーに参加してきたシステムエンジニアがいました。彼の仕事はサーバをセットアップすることだったのですが、そのなかでサーバをどのようにセキュアにするのか学ぶためにコミュニティーに入ってきました。彼はそこでセキュアな設定方法を学び、脆弱性について学び、サーバがどのように攻撃されるのかということを学びました。だんだんと彼はサーバを攻撃することが楽しくなってきて、新しい脆弱性が出たら攻撃コードを試すということを趣味にするようになりました。やがてCTFの大会などに出場するようになり、今では立派なバグハンターとしてウェブサイトの脆弱性を見つけることを仕事にしています。

筆者　最近もコミュニティー活動をしているのでしょうか？あと写真や自転車などの趣味の状況は？

K　子どもが生まれてから子どもの相手をする時間を優先しているので、これまでのように自分の趣味に時間を使うことは難しくなりました。コミュニティー活動はそれぞれに信頼できるメンバーがいるので運営を任せています。写真はもっぱら息子の写真ばかりです。自転車はまたやりたいなあ。時間を見つけてちょっと走っているくらいですね。

キティサックの愛車（ただし、最近乗っていない）

筆者　最後に何か一言お願いします

K　サイバーセキュリティについては、セキュリティに課題があるということに意識を向けることが大切です。セキュリティのことを気にしよう、という姿勢が無ければそっちのほうに目を向けて気に掛けることはできません。ぜひ、セキュリティは大切なんだという意識をあらゆる人に持ってほしいと思います。

　また、セキュリティには100％はありません。ですので、セキュリティ対策を考えるときは、リスクとして捉える必要があります。リスクということは危険と隣り合わせだけれども前に進むことだと考えます。リスクがあるけれども安全に前に進むためには何が必要か、と考えれば、この先にどんな危険が待っているか知ることが大切です。

　どんな危険があるか知るためには、お互いがもっている危険な情報を共有し助け合うことで、危険を回避することができます。危険を回避するにもなるべく早く察知して、できるだけ早く対応するスピード感がいるでしょう。そのために皆でセキュリティを高めようという意識を持って助け合いたいですね。

筆者　本日はありがとうございました。

　今回はタイのサイバーセキュリティ業界で長く活動しているキティサックの話を聞きました。彼とは長い付き合いになりますが、技術的な能力もさることながら、コミュニティーを作って人をまとめて活性化する能力に長けているように感じます。今回のインタビューでも、組織を越えて協力し合うことの必要性や、それがもたらす力について繰り返し同じ話が出てきました。それだけいろいろな人に助けられたことが糧になっているのでしょうし、彼自身も多くの人を助けることで全体の底上げにつながっていると感じているようです。

　私自身もその点については強く共感します。Armorisでは参加者同士がお互いに学び合える場を提供していますが、講師からのみでなく、他の参加者から学べることが多いという声をよく聞きます。例えばスポーツでも1人でやるよりも皆でやったほうがモチベーションをキープしやすいでしょう。これからの時代においては、新しく出てくることをどんどん学び続けることが必要になりますが、その中でも「1人で学ぶよりも皆で学ぼう」という考え方が大切になっていくのではないでしょうか。

キティサックの故郷コーンケーンにある寺院

著者プロフィール:鎌田敬介

Armoris取締役CTO、『サイバーセキュリティマネジメント入門』著者

元ゲーマー。学生時代にITを学び、社会人になってからセキュリティの世界へ入る。20代後半から国際会議での講演や運営に関与しながら、国際連携や海外セキュリティ機関の設立を支援。2011〜14年 三菱東京UFJ銀行のIT・サイバーセキュリティ管理に従事。その後、金融ISAC創設時から参画し、国内外セキュリティコミュニティーの活性化を支援。並行して12年間に渡り、国内外でサイバー攻撃演習を実施するなど、経営層・管理者・技術者を対象に幅広く実践的なノウハウをグローバル目線で届けている。金融庁参与も務める。