みなさんはじめまして、ネットエージェント株式会社、研究開発部の長谷川陽介(はせがわようすけ)と申します。
このたび、ネットエージェント株式会社の公式ブログをスタートすることとなりました。当ブログでは、当社のエンジニアが日々研究している内容を中心に、セキュリティに関連する様々なトピックを取り上げていきたいと思います。どうぞよろしくお願いします。
さて、第1回目は自己紹介も兼ねて、なぜ私がこの会社で働くことになったのかをお話したいと思います。
私は2008年1月からネットエージェントという会社で働いていますが、実は私は弊社に入るまで10年以上、電子回路の設計という業務に従事していました。主な設計対象は工業用の計測機器でしたが、回路の設計だけでなく、それらに組み込むソフトウェアも小規模なものであれば組んでいました。これらは製品の性質上どのようなデータが来ても誤動作せずに安定して動く、堅牢性の求められるものでした。
そのような製品の開発を通じ、ソフトウェアの安定した稼働を脅かすバグ、すなわち脆弱性といったセキュリティに関連する技術に対して興味を持ち始めたのが2004年頃のことでした。脆弱なソフトウェアと堅牢なソフトウェア、その違いがどこから生まれるのかに興味を抱き、セキュリティに関連する技術を学ぼうと、様々なメーリングリストや勉強会に積極的に参加し始めたのがこの頃でした。
そうして、様々な脆弱性や攻撃手法などを習得していくと、自分でも脆弱性を発見したり、新しい攻撃方法などを思いつくようにもなったのですが、同時に、対策側という視点に立つとセキュリティに関する技術というのは自分が思っていた以上に未成熟であるということにも気付いたのでした。
例えば、クロスサイトスクリプティング(XSS)は2000年のCERT/CCとMicrosoftによる報告で世間に広く知られるようになっており、私もセキュリティに興味を持つより以前からその概略についてはすでに知っていました。ですので、2004年ごろにセキュリティについて学び始めたときにはXSSのように単純なバグ(と当時は思っていましたが、すぐにその認識を改めることになりました)は、とっくに根本的に解決している問題だと思っていたのに、実はそうではないという現状を知って非常に驚いたのでした。
そもそもXSSといっても、Webアプリケーション開発者の実装ミス(エスケープ漏れ)だけでなく、正規の画像ファイルであるにも関わらずブラウザがそれをHTML扱いするためにXSSが発生することや、UTF-7を使ったXSSなど、特定のブラウザの特殊な挙動に依存するものも当時多数あり、そのような特殊な攻撃方法については一部の知っている人だけが知っているという状況でした。
このような特定ブラウザの望ましくない挙動は、ブラウザ側としては脆弱性として認めてられていないどころか「仕様に基づく動作」であると主張することもあり、仕様であれば将来的にも改善される見込みは薄く、かといってその対策をWebアプリケーション開発者に強いるのは不合理であり、また脆弱性ではないにも関わらず、その詳細を公開することが新たな攻撃手法に繋がる可能性もあるという、なんともいえない袋小路のような状況を引き起こします。
私自身もいくつかそのような「望ましくない仕様」を見つけ、改修されるわけでもなく、かといって注意を促すために広く公開することも難しく悶々としていたのですが、そのようなときに私のセキュリティ面での師匠でもある友人から貰った言葉が「その仕様を最も悪用できる方法を思いつくことが世界の平和の貢献につながる」という、わかるようでわからないものでした。
脆弱性と認められない仕様であっても、悪用されたときの影響が大きいのであれば仕様の改善を迫ることができる。おそらくこういう意味なのでしょうが、それより私が感銘を受けたのは、セキュリティを通じて「世界の平和に貢献」という大きな視野を持っているということでした。
この「世界の平和」という言葉はその後も私のなかにずっと引っかかり、どうすれば私自身はもっとセキュリティのために貢献できるのだろうと考えるきっかけともなり、結果としてセキュリティ業界への転身を決め、弊社社長杉浦からの大阪支店拡充の誘いに応じたのでした。
そして、これはネットエージェントという会社に入ってから気づいたのですが、弊社社長の杉浦の口癖つまり会社としての理念として「セキュリティ製品を通じて社会に貢献」というのがあり、私個人の思いとも重なるのでした。
そのようなわけで、ネットエージェントという会社に入った2008年以降、セキュリティ&プログラミングキャンプへの講師としての参加やBlack Hat Japan 2008、POC2008(韓国)などのカンファレンスでの発表といった場を通じて、少しずつですがセキュリティに関する技術を通じて社会に貢献するという自分のなかでの思いを実現できてきたかなと思っています。
これからもセキュリティに関する技術を通じて皆様に貢献できるよう努力していきますので、今後ともよろしくお願いいたします。
●お知らせ
今年もIPA主催のセキュリティ&プログラミングキャンプが開催されます。
弊社研究開発部のはせがわようすけも講師として参加しますが、今年はさらに社長の杉浦と取締役の愛甲も講師として参加します。22歳以下の学生であれば交通費、食事代を含め無料で参加できますので、みなさんの応募をお待ちしています。
応募締切が7月5日17時と迫っていますので、ご興味のある方はぜひお急ぎください。
セキュリティ&プログラミングキャンプ2010 開催概要
4泊5日の合宿形式で行う、情報セキュリティおよびプログラミングの知識と技術を学ぶキャンプです。セキュリティコースとプログラミングコースがあり、どちらかのコースに参加できます(両コースに応募・参加することは不可)。
キャンプにかかる費用(自宅と会場間の交通費、宿泊費、食事代(3食)、講義代、テキスト代、機器/施設使用料など)はすべて主催者側で負担するので、参加者は無料で参加することができます。
- 開催日: 2010年8月12日(木)~8月16日(月)
- 開催場所: 未定(首都圏での開催を予定)
- 参加資格: 日本国内に居住する、2011年3月31日時点において22歳以下の学生・生徒
- URL: http://www.ipa.go.jp/jinzai/renkei/spcamp2010/index.html
