TOUCH THE SECURITY Powered by Security Service G
情報セキュリティに携わる女性のためのワークショップ「CTF for GIRLS」の設立、国際的なセキュリティカンファレンス「Black Hat Asia」における査読委員の就任をはじめ、2018年には講談社ブルーバックスより初の著作「サイバー攻撃 ネット世界の裏側で起きていること」を出版するなど、ハッカーコミュニティで益々の頭角を現す研究者、中島明日香氏(NTTセキュアプラットフォーム研究所所属)。
中島氏が同領域に関わることとなったきっかけや現在に至るまで、また多彩な活動に対する想いなどを伺いながら、技術を広い社会へとコネクトすることの意義や喜び、その原動力とは何かを考える。
インタビュアー:三澤 德子 、坂根 三起(パーソルクロステクノロジー)
きっかけは一冊のサイバーSF小説
―― まずは中島さんが情報セキュリティに興味を持つようになったきっかけを教えて下さい。
中島 14歳の時、女子高生ハッカーが主人公の小説"Project SEVEN"を読んだことが始まりです。著者の七瀬晶さんは元プログラマーの方で、かなりリアルな描写の出てくる話なんです。これを読んで「世界はパソコン一つで転覆することもあれば、救うことも出来るのか」「そんなかっこいい(救う側の)人になりたい」と、非常に感動しまして。
―― かなりストレートな動機ですね。ちなみにその小説を読んでいた頃から、現在のご自身に通ずるようなIT的な素養がおありだったのでしょうか。
中島 いいえ。当時、PCと言えばメールかゲームくらいでしか使ってなかったので、実はIT音痴な方だったと思います。SFとかに興味を持つような感性ではあったのかもしれませんが。
―― それはちょっと意外ですね。憧れを頼りにゼロから独学で勉強を始めるって、それなりのパワーが要されると思うのですが、探求心がお強い方だったとか?
中島 探求心ですか。それもあるかもしれませんし、何より当時から「一度しかない人生なのだから、自身の力で何かを実現したい」といった思いが強くて、自分の人生を捧げられるものを探していたところに、この小説に出会ったというのが大きかったでしょうね。
ちなみに私、中学2年から高校2年生までアメリカの現地校に居まして、いわゆる日本の教育課程を辿っていないんですよ。例えば数学なんてアメリカでは結構下のレベルを選択していたりもしたし(笑)、ハッカーを目指すべく理系を志したのは日本の高校に編入してからです。この頃は独学で初級シスアドを取得したりもしたのですが、本格的なプログラミングや情報科学の学習は大学に入ってからなんです。
―― 大学時代はどんな生活を送られていたんですか。
中島 慶應義塾大学の環境情報学部に入学したのですが、ちょっと特殊な学部で必修科目がほとんどなく、かなり自由に好きな授業を選択できまして。しかも一年生からゼミに入れるという制度にもなっているんですね。
これはたまたまなんですが、入学した年に侵入検知システムを専門とされる武田圭司先生が教授として着任されたんです。新入生向けの歓迎会でそのことを知った後、早速コンタクトを取り、入学4日目にして武田先生の研究室に所属させてもらいました(笑)。
―― 4日目にして、それはすごい行動力ですね。
中島氏がこの世界に足を踏み入れるきっかけとなった小説「Project SEVEN ⁄ 七瀬晶 著(株式会社アルファポリス)」
CTFへの初参加
―― 学外の活動はどうだったのでしょう。例えばDEFCON(米ラスベガスで行われる、世界最大のCTF大会)なんかにも参加されていますよね。
中島 はい。学内・独学での勉強はもちろん、2年生に情報セキュリティスペシャリスト(現情報処理安全確保支援士)を取得したりといった取組みに加えて、更にスキルを高めることを考えた時、やはりコンテストに出場するべきと考えるようになりまして。
当時マイナーな存在ではありましたが、CTFという競技自体はハッカージャパン誌などを通じて知っていましたので、2年生の終わりごろ「sutegoma2(日本を代表するCTFチームのひとつ)」に合流したんですよ。
―― よりによってsutegoma2(笑)。どのように知り合ったのですか。
中島 特に何かのつてがあったわけでもなく、sutegoma2のサイト上の告知に応募したのがきっかけです。「CODEGATE CTF(韓国のCTF大会)の予選が行われます、勉強を兼ねて参加したい人はこちらまで」といったお知らせが載ってたんです。
それでてっきり2〜3時間くらいの勉強会と思って参加したんですが、CTFの予選なんて48時間とかやるじゃないですか。途中着替えたりで数時間家に戻りましたが、楽しくて終わるまでずっとそこに居ました(笑)。
―― すごい巡りあわせですね。
中島 そうですね。しかもsutegoma2は予選を通過、最終的には決勝まで進出したので、初めてのCTFで奇跡の様な出会いに恵まれたと思います(笑)。
sutegoma2には引き続きサポートの一員として参加していたのですが、同年のDEFCONの本選にも進出することになり、大変勉強になった反面、世界レベルの技術者の壁の高さを知って愕然としました。
―― 参加したてとは言え、何か活躍できた場面とかもあったんじゃないですか。
中島 いえいえ。その頃はチームの末席でサポートに徹するしか術がなかったので、解析の補助をしたり、英語力を生かしてルールを翻訳したりといった感じでしたからね。敢えて言えば、技術と英語の両方がわかって、橋渡しが出来たというところでは貢献できたのかもしれません。
―― 学内外問わず、徐々に大変な人達に囲まれていったんですね。
中島 そうなんですよ。学校にもすごい先輩が沢山居ましたし、そうした周りの方々の助言、例えば「勉強するならこの本を読んだ方がよい」「私はこうしている」といった上級者からの情報は、とても参考になりました。
インターンシップ
―― 学生時代、何かアルバイトみたいな事ってやられましたか。
中島 インターンシップに参加したり、アルバイトも結構やりました。全てIT関連です。
―― どういったところで?
中島 インターンシップとしてはGoogle、Microsoft、JPCERT/CCの3社です。自身の実力の向上はもちろん、今後の進路を考える上でも、どれも貴重な経験になりました。例えばJPCERT/CCではマルウェア解析を2ヵ月間延々とやらせてもらったり(笑)、かなりその分野の手法が身に付きました。
あとアルバイトとしては、主に富士ゼロックスです。新しくcloudサービスを立ち上げるプロジェクトがあって、その助手をやった後、そのサービスがリリースのフェーズに差し掛かった1年後にもテスターをやったりしました。
―― 短期間で色んなことにチャレンジされましたね。
中島 確かにインターンシップを3社って、結構多い方かもしれませんね(笑)。
NTTセキュアプラットフォーム研究所への入社
―― そして現在に繋がっていくわけですが、NTTプラットフォーム研究所への入社の経緯を教えてください。
中島 卒業後の進路を決めるにあたり、やはりセキュリティの専門家になりたい、脆弱性やマルウェアといった技術的に深い部分に関わりたいという希望がまずありまして。加えて、今まで築いてきたコミュニティ活動が継続できるか否かという点も判断ポイントになりました。
―― 総合的に考えて、一番マッチしたところだったと。
中島 はい。例えばコミュニティ活動の部分については、CTF for GIRLSの設立も本の出版も入社後にやれたことですし、何かと自分に相応しい環境だと思っています。社内にそういった活動の先駆者も居て、入社時の部署の上司はセキュリティ・キャンプやSECCONの運営に関わる岩村誠さんなんですよ。本業である研究の妨げにならない程度に取り組ませてもらっています。
―― 既に入社の頃から、この技術領域に関する業務と社外活動を横断的にやりたいという思いがあって、今と繋がっていたのですね。業務である研究活動はどのようなことをやっているのですか。
中島 テーマとしてはソフトウェアの脆弱性の発見・対策がメインになりまして、最近はそのターゲットをIoT機器に幅を広げて活動しています。
―― 研究の結果って、最終的にはどのような形で世に送り出されるのですか。
中島 部署にもよるのですが、例えば研究結果を論文として発表したりすることもそうですし、知財戦略としての特許の取得や、更にはそういった技術をグループ会社へ提供することがミッションになります。私個人としては、まだビジネスに直接応用できる成果にはいたっていない部分がありますが、論文については国際会議で発表したり、特許に関しては国内で三つ、海外でも三つ目になります。
コードクローンの脆弱性
―― 国際会議で発表される論文ってどういうものなのでしょうか。
中島 ロシアで行われている大きな情報セキュリティ国際会議にPositive Hack Daysというものがありまして、例えばそこで発表したもののテーマは"コードクローンの脆弱性"です。
簡単に説明すると、ソフトウェアが開発される際に、脆弱性を含む特定のソースコードがコピーアンドペーストされた結果、脆弱性が複製されてしまったソフトウェアを如何に発見できるかといった手法の研究です。例えばFirefoxにとある脆弱性が発見された後、Thunderbirdに同質のものが存在していたにも関わらず、かなりの間見逃されていた事例なんかもあるんですよ。こういった観点は、悪用する側も考え得ることなんですよね。
―― 後手にならない為にも、このような研究が必要とされるわけですね。
中島 はい。発見技術を個々に語ると、ソースコードを対象にした研究、同じく実行ファイルを対象とした研究が既にあったのです。ただし前者の場合、そもそも商用ソフトウェアのソースコードが入手しづらいという問題がありますし、後者は複製時にソースコードの追加や削除が行われると、検出が困難になる可能性もありまして。そこで実行ファイルを対象に、複製先が改変されていた場合でも発見する手法を提案したわけです。
この手法を用いて、Microsoftの特定の時期の脆弱性サンプルを基に(その時点までに提供されていた)Windowsの実行ファイル群に対して解析を行ったところ、同種の脆弱性がクローンされたdllファイルが幾つか発見出来て、且つそれらのファイルに対する修正パッチの配布時期にズレがあることも分かりました。
要するに、ある脆弱性が報告された後、未修正のままになっていたdllファイルがあって、一定の時間を経て暗黙的に修正されたという解釈になるわけです。実際にその脆弱性を悪用できたか否かは別ではあるのですが。
―― 世界的な会議で発表された結果、如何でしたか。
中島 国際会議での発表はそれが初めてだったんですよ。丸一年かけた発表が最適なところで発表できて、かなり良い反応も得られましたし、達成感は大きかったですね。事前に何度も練習して、一瞬頭が真っ白になったりと緊張しましたけどね(笑)。
CTF for GIRLという活動の想い
―― CTF for GIRLSは私も過去に参加させてもらった事があるのですが、元々はどういうきっかけで始められたのでしょうか。
中島 ハッカーに憧れて情報セキュリティの世界に飛び込んだ後、まず気が付いたことに、勉強会に行くと女性が圧倒的に少数だったという点が挙げられます。当時の感覚としては、その場の女性率が1割に満たない、もしくはその日の女性参加者は私だけということも結構ありましたし。
ただ女性の研究者というのは当然居るわけで、そういった方々に話を聞いてみると「1人で行くと、変に目立って居心地が悪い」といった意見から、更には「(勉強会に)女性が居ないということは、女性に向いていない領域とも考えられるのでは」などと勘繰ってしまう方も居たりしまして。そこで「女性限定の会があれば、心理的なハードルを取り払うこともできるのではないか」といった、"もやもや"した思いがあったんです。技術を磨く意思さえあれば、性別は関係が無いはずですしね。
そういった伏線に加えて、海外の「Power of XX」といった女性限定のCTFの存在もあり、何か日本でも出来ないかと周りに話をしたりしていたんです。そうしたところSECCON実行委員の方に「うちでトライしてみては?」というお話を頂きまして、これが直接のきっかけになりました。
―― SECCONとの繋がりは、その当時からあったのですね。
中島 はい。学生時代からの多くのコミュニティ活動を通じて、(SECCONを含む)界隈に「女性の若手研究者と言えば中島さん」くらいの認知は持ってもらえていたかもしれません(笑)。
―― 実際に初回のワークショップを開催されていかがでしたか。
中島 それまでイベント運営の経験も無く、とにかく必死だったのですが、周りの方々に何かと助けて頂いたのは大きかったです。最初は20名くらいしか集まらないのではと思っていたんですが、募集開始からわずか3日間で80名もの方の参加表明があったので驚きました。
―― そういうニーズはやはりあったということが証明されたことになりますね。CTF for GIRLSは今後どのような組織として存在していくのでしょうか。
中島 究極のゴールとしてはこの組織が無用な状態、要するに性別に偏りのない状態を目指せれば良いのでしょうが、そこはさておき(笑)。目下の目標としては、参加者を運営側に巻き込むことでスキルアップの場を提供したり、ハイレベルな人材の輩出や活動領域の拡大なんかもテーマですね。
―― どういった領域へと活動を広げていくのですか。
中島 コミュニティの国際化もそうですし、それと学生やワーキングマザーの支援という方向性も考えています。実は本日行われるCTF for GIRLSも、子供連れでの参加OKという呼びかけをしましたし、本日の講師を務める方も、会場に子供を連れてきています。
このワーキングマザーの支援は組織内でもかなり議論がありまして。ベビーシッターの方にお願いするべきか、母子専用の部屋を別途確保すべきなのかといった話にもなったのですが、最終的には子供という存在に対して、社会はもっと寛容で自然に触れるべきあろうとの結論に達し、皆さんと同じ部屋にそのまま連れてきてもらうことにしました。
―― 中島さん主導で始まったコミュニティも、それ自体が成熟するに連れて新たな課題やミッションが生まれたりと、かなり進化されている印象を受けますね。
中島 現在CTF for GIRLSは、私と切り離されても持続可能な状態に移行しつつあり、本日のワークショップも副代表の中島春香さんに殆ど任せているんですよ。私個人の手を離れてこれだけの組織になりつつある事を考えると、もうかなり感動しておりまして。今後はこのコミュニティに関わる多くの方々が、それぞれの活躍の場に使って頂けると嬉しいです。
インタビュー当日に開催された、第9回目となるCTF for GIRLS。ご覧のとおりの大盛況。
初の著作「サイバー攻撃 ネット世界の裏側で起きていること」について
―― 講談社ブルーバックスより「サイバー攻撃 ネット世界の裏側で起きていること」を執筆、出版された経緯について教えて下さい。
中島 これはCTF for GIRLSの立ち上げに伴い、私個人がメディアに露出する時期が結構ありまして、その様子をご覧になったブルーバックスの編集者の方から直接オファーを頂いたのがきっかけです。シリーズの読者層にもう少し幅が欲しかったらしく、敢えて若手の私にお声掛けされたようですね。
私自身も技術書を書いてみたいという好奇心もありましたし、培った意見をアウトプットする場としても丁度良いのではと考えて引き受けました。
―― かなり平易な文章で書かれていますし、技術者が技術者を読者ターゲットとして書いた本ではなく、広い層へのアピールを目的とされている印象を受けました。
中島 そこはかなり意識したところです。あの内容に相当する専門書はいくらでも他にあるわけですが、そういう中で私が提供できる価値は何かと考えた時、体系立てて難しいまま説明するのではなく、一般の方にわかりやすく伝えることにあるのではと。幸い文章を書くことと、(CTF for GIRLSなどの活動を通じて)入門者に教えることは得意な方だと感じていましたので。
―― その一般の方や入門者とは、例えばProject SEVENを読んだご自身の若い頃をイメージされていたりもしますか。
中島 それもありますね。あのような本を読んで興味をもった方が、次に読むようなものというイメージはありました。ただ結果的には色々な層の方々に読んで頂いたようで、例えば技術者には第4章(書式指定文字列の脆弱性に関するセクション) の受けがよかったりと、結構反響がありましたね。
―― 本を出版されて、何か変わったことってありますか。
中島 単純に講演や取材が増えたといったことはあるのですが、研究者として本質的な部分での変化は無いと思っています。(かなり考えて)自身がもっともっと技術を深めて、より専門家であるべきという気持ちは常にありまして、この本の執筆も(専門家としての)あるべき姿から生まれた、様々なチャレンジの中の一つだったと位置付けています。
―― 次にチャレンジされたいこと、今取り組まれていることはなんですか。
中島 直近の取組みとしては、現在研究しているIoTセキュリティの論文がそれになりますね。将来的な想いとしては「Black Hat(世界最大級の情報セキュリティ国際会議)」のような最高峰の舞台で、自分の研究結果を発表したいというのはあります。
サイバー攻撃 ネット世界の裏側で起きていること ⁄ 中島明日香 著(講談社)
Black Hat Asia査読委員への就任
―― 先ほどBlack Hatというワードが出ました。そのBlack Hatで査読委員を務められたんですよね。
中島 はい。正確にはBlack Hat Asiaの地域査読委員になります。推薦があってやることになったのですが、(アジア地域での国際会議ということもあり)アジア人であること、ハッカーコミュニティとしての活動に明るいこと、若手であること、更にはBlack Hatの今後の方向性といった、諸々の条件がタイミングよくマッチしていたということなんですかね。
―― 他に日本人の方はいらっしゃるのですか。
中島 私は2人目の査読委員になりまして、1人目は株式会社FFRIの鵜飼裕司さんになります。ただし、鵜飼さんの場合は、地域限定ではなく世界エリアにおける査読委員であるという違いはあります。
―― そもそも査読委員って、どのくらいのボリュームの論文を読むのですか。
中島 いわゆる学術会議とは違って、一つ一つの論文がとても長いというわけではないんです。感覚的には一つあたり(英語で)300ワード前後といったところではないでしょうか。ただ、件数としては沢山のものと向き合うことになりましたね(笑)。
一度しかない人生 ―― 中島さんにとっての「喜び」とは
―― 最後に中島さんにとっての喜びとかやりがいって、どういう瞬間に感じるものですか。
中島 なんだろう、難しいですね(笑)。私自身、新しい何かに挑戦したり、そういったことに対する達成欲は強い方かもしれません。そしてまずなにより、研究者ですので、新しい技術や深い技術に触れたり、それを身に付けた時には喜びを感じますよ。
やはり一度しかない人生ではありますし、自分の身に付けた技術や力で、多くの人に良い影響を与えつつ、結果として人との繋がりが生まれ、それが循環していけば良いなと思います。
―― 本日はCTF for GIRLS開催当日というお忙しい中、わざわざお時間を頂きまして、ありがとうございました。
最後は中島氏と記念撮影。