Project
04

セキュリティソリューション

セキュリティ製品開発プロジェクト

IoT時代に必要不可欠となるセキュリティ。
IoT機器向け脆弱性診断ツールの製品開発。

杉浦 隆浩 Takahiro Sugiura

システム事業部
メディアネットワーク事業部
第3技術部
第1技術グループ 主任

※部署名・役職は取材当時のものです。

Outline

さまざまなモノがインターネットと接続し、コミュニケーションツールとなるIoT時代。私たちの生活の利便性を高める一方で、ハッカーや不正アクセスをはじめとするIoTデバイスへのサイバー攻撃リスクも生じてくる。機密情報の漏えいやWebサイトの改ざん、遠隔操作の被害など、しばしばニュースにもなっている。
富士ソフトではさまざまなセキュリティの脅威からお客様を守るために、幅広いセキュリティソリューションを提供している。IoT機器向けセキュリティソリューションもその一つである。組込み機器は、インターネットの成熟期に急速にネット化が進んだこともあり、古典的なセキュリティ脆弱性をもつ機器が数多く存在すると言われている。未知の脆弱性を発見するためには、高度な知識と熟練した技術が必要とされ、発見手法のノウハウも発展途上である。
今回、富士ソフトではFFRIセキュリティ社開発のファジングツール FFRI Ravenをカスタマイズし、専門技術を持たない者でもIoT機器などの脆弱性診断が可能となる Raven for Fuzzing を販売開始した。今回の製品開発プロジェクトのリーダーを担ったのが、メディアネットワーク事業部の杉浦隆浩である。入社以来、通信キャリア向けのシステム開発に従事してきたが、2019年にセキュリティソリューションの販売業務に携わった経験が買われ、今回の製品開発プロジェクトのリーダーに抜擢された。

Raven for Fuzzing

ファジングテストを活用した、
脆弱性診断ツールの製品化へ。

現在、私が主任を務めるグループは、IoT機器やネットワーク機器がサイバーセキュリティ攻撃に対して堅牢かどうかを確認する検査業務を行っています。お客様が開発や販売をする機器について、セキュリティの脆弱性を検査し、発見した問題の再現方法や対処方法などをアドバイスするのが私たちの役割です。実際の検査業務だけではなく、IoT向けセキュリティ製品の開発や製品の保守サポートなどの役割も担っています。

今回、私がリーダーを務めたファジングツールRaven for Fuzzingのカスタマイズ・プロジェクトの目的は、FFRIセキュリティ社が開発したツールをカスタマイズし、より使いやすくなるための機能追加し当社製品として完成させることでした。

脆弱性を検証する手法にはいくつかありますが、今回開発した Raven for Fuzzing はファジングテストと呼ばれる手法を用いたものです。ファジングテストは、「ファズ(Fuzz)」と呼ばれるエラーを含んださまざまな異常パケットを自動生成させ、プログラムによって無作為に検査対象機器に送信します。エラーが含まれたさまざまな命令パターンを送信することで、検査対象機器が停止するなどの異常な動作を発見する方法です。

ファジングテストは無作為に「ファズ(Fuzz)」を送信することで、想定されていない未知のエラー発見に長けているところが大きな特徴です。

検証に検証を重ねる日々のなかで、
ツールの理解度と使用法の習熟化を高める。

今回の製品開発プロジェクトには、私を含め3人のメンバーで開発にあたりました。約1年間の期間を要し、検証に検証を重ねる日々でしたが、現在、当社も注力するセキュリティ製品の開発に貢献できたと思っています。最初はファジングテストを理解することからスタート。理解するために、実際にさまざまなネットワーク機器に対して検査して理解を深めました。ネットワーク機器にさまざまな種類の異常データを送信。定期的に機器が作動しているか、正常なデータを送信し、確認します。それを繰り返すことで、ファジングツールの仕組みを理解し、どう使うかを習熟することで製品化につなげていきました。

Ravenも脆弱性の診断ツールとして、決して万全なものではありません。現在はまだ、検査対象のプロトコルが限られております。お客様のニーズに対して検査できる対象を広げていくのが、現在、最大の課題になっています。

セキュリティ需要の増加と市場の拡大。
必要性が高まるセキュリティ分野の人材。

私は入社以来、通信キャリア向けのシステム開発に従事してきましたが、2019年にセキュリティソリューションの販売業務に携わったことが縁で、セキュリティの世界に入りました。当時、世界的にセキュリティ問題が注目され、当社もセキュリティソリューションの提供に注力しようという矢先でしたが、日本の企業はまだまだセキュリティへの関心が低く、一時停滞するような状況でした。しかし、クラウドサービスの普及などの背景もあり、ここ1、2年でセキュリティへの関心が急激に高まり、脆弱性診断依頼も急増しています。

しかし、セキュリティ分野のエンジニアは、幅広い知識と高度な技術や忍耐力必要とされるため、まだまだ人材が少ないのが現状です。今後、IPA(情報処理推進機構)のセキュリティ分野の資格取得者など、人材が最も必要とされる分野の一つです。

ゴールがないセキュリティ分野の面白さ。
挑戦と創造の実践により成長をうながす環境。

セキュリティ分野の面白さはゴールがないことです。常に新しいウィルスやワームなどのマルウェアが登場してきますので、それに対応した新しい技術や知識が必要となります。不断のスキルアップができるところが大変ですが、面白いところです。また、ファジングテストを使った解析プロセス自体の面白さもあり、未知の脆弱性を発見した時の達成感もあります。もちろん、「ころばぬ先の杖」としてお客様の役に立つことが何よりのやりがいですが、出荷後、その製品を利用する一般のユーザの方をサイバー攻撃から守るという、社会的な意義もあると思っています。

そして今後ますます、さまざまな技術領域で高い技術や知識が求められるIT業界ですが、富士ソフトはそれに対応した技術や知識を得られる会社だと思います。
多彩なスペシャリストの方が揃っており、C&C(Challenge & Creation:挑戦と創造)を実践し、新しい技術領域に挑戦していろいろな困難を乗り越えていく際に、多彩なスペシャリストの方が協力してくれます。その中で自分自身がスキルアップしながら、お客様へ貢献することができる会社です。

最後に私自身もスキルアップのためにIT系の勉強会やウェビナーへの参加や資格取得などにチャレンジしています。今後、私達と一緒にチャレンジしてくれる方が数多く入社することを願っています。

ページトップへ