LINEとIntertrustの共催カンファレンスが、5月17日新宿で開催された。
来日したIntertrust社のCTO・ディヴィッド・メイヤー氏と、同社のチーフ・サイエンティストで、アルゴリズムとデータ構造の研究で知られる計算機科学者ロバート・タージャン氏にインタビューし、LINEとの協業の意義や、これからのセキュリティエンジニア像について話を聞いた。
目次
LINEとIntertrust社が共同でセキュリティ・サミットを開催
LINEは、Intertrust Technologies Corporation(本社:カリフォルニア州、以下:Intertrust)と共催で、アプリケーションセキュリティおよびデータプライバシー強化ソリューションの促進を目的とするカンファレンスを、5月17日新宿ミライナタワーの本社オフィスで開催した。
AI、ビッグデータ、IoT、ロボティクスなど近年のテクノロジートレンドは、新しいユーザ体験や新規サービス、新規ビジネスの創出に大きく貢献し、私達を取り囲むビジネス環境や社会インフラを「未来型インフラ」へと変えていく原動力として期待されている。
一方で、技術の進化と共に常に懸念されるのがセキュリティやプライバシーだ。セキュリティの危機は、単になりすましや情報漏洩といった個人・企業にとってのリスクに止まらず、サイバー犯罪やテロといった国家およびグローバルレベルのリスクにも直結している。
LINEは、MAU2億人を超えるコミュニケーションアプリ「LINE」をはじめ、幅広いモバイルアプリ・サービスを提供しているが、ユーザー情報の保護についても高い関心をもって取り組んでいる。
社内のセキュリティ専門組織による各サービスにおける高度な暗号化技術の採用、厳格な内部ポリシーの制定・運用、セキュリティ・プライバシーに関する国際的な外部認証の取得・維持、「LINE」アプリの脆弱性の発見を公募し、報告者に報奨金を支払う「LINE Bug Bounty Program」の実施などもその一例だ。
一方、Intertrustは、25年以上にわたる研究開発の成果として、ソフトウェア・アプリケーション・スマートフォンのセキュリティ技術として世界をリードする「whiteCryption」や様々な高度な認証サービスなど、いくつかのセキュアシステムを商品化している。
今回両社が共同で開催した「LINE and Intertrust Security Summit」のテーマは「Exploring Technologies for Trusted Apps and Services」。
モバイル端末やIoT機器がサービスのエンドポイントとして重要な役割を果たす時代において、いかにして信頼あるエンドポイントを実現し、その上にどのように信頼あるサービスを提供できるかについて、セキュリティや暗号分野のサイエンティストや業界ソートリーダーが一堂に会して議論した。
スピーカーとして高い注目を集めたのは、Intertrust社のチーフ・サイエンティスト、ロバート・タージャン氏。アルゴリズムとデータ構造の専門家で、ネヴァンリンナ賞(1982年)、チューリング賞(1984年)の受賞者、現在はプリンストン大教授でもある。
Intertrust社のCTO、ディヴィッド・メイヤー氏と共にインタビューに応じてくれた。
▲左から、Intertrust Chief Scientist Robert Tarjan(ロバート・タージャン)氏・Intertrust CTO David P. Maher(ディヴィッド・メイヤー)氏
「whiteCryption」──アプリのセキュリティをコードレベルで守る
──まずIntertrus社の技術の概要をご紹介下さい。
メイヤー:当社の「whiteCryption」のセキュリティ技術は、自動車・ヘルスケア・銀行・金融からエンタテイメント・メディアまで、世界の様々なバーティカル市場でソフトウェアアプリケーションの保護に採用されています。
日本でも、大手電機メーカー数社が、テレビをネットにつなぐことで、いつでも好きなときにコンテンツを視聴できるIPTVにおける著作権管理やセキュリティを強化するためのツールとして活用しており、当社はソニーやパナソニックなどとも協業関係にあります。私自身も日本にはよく来ているんです。
LINEはコミュニケーション・サービスの企業ですが、サービスプロバイダとして大きな役割を果たしている。私たちの重要なパートナーの一つです。
──さまざまなWebサービスが発展し、それにアクセスする手段としてスマートデバイスが重要になっています。それに伴って、スマートデバイスのセキュリティについても高い関心が寄せられています。こうした現状をどう認識されていますか。
メイヤー:いまやスマホを使って、ガレージのドアを空け、自動車を走らせることができる時代です。鍵代わりになるし、家電のリモコンにもなるし、さらにIoTの情報端末にもなる。スマホの中にはヘルスデータや認証キーなど、他人に見られてたくない、さまざまな個人情報が詰まっているわけです
それらをセキュアにする技術が強く求められています。私たちの主要プロダクトである「whiteCryption」はデスクトップだけでなく、スマホにも導入されています。
このテクノロジーを使ってスマホを守ることができる。とある自動車管理会社では私たちのツールを使って、ユーザーの安心と安全を担保しています。
タージャン:「whiteCryption」には、2つのキーになる技術があります。whiteCryption Code Protectionと呼ばれるものがその一つ。
ソフトウェアアプリケーションのセキュリティをソースコードレベルで強化するもので、サイバー犯罪者が、リバースエンジニアリングなどのテクニックを使用して機密情報やアプリケーションに含まれるリソースにアクセスすることを防ぐことができます。
もう一つが whiteCryption Secure Key Boxと呼ばれる技術。これは、アプリケーション内の暗号鍵を保護する最先端のホワイトボックス暗号ライブラリです。 私たちのソリューションは、安静時および実行時に秘密鍵を完全に隠すための標準的な暗号アルゴリズム(AES、RSA、およびECCを含む)を実装しています。
ビジネスとアカデミアを行き来して、研究のモチベーションが得られる
──タージャンさんは、長年にわたってアルゴリズムとデータ構造を研究され、その業績は世界から高く評価されています。現在、Intertrust社のチーフ・サイエンティストとしてどんなお仕事をされているのですか。
タージャン:「whiteCryption」は、私が15年ほど前に一度、Intertrust社に籍を置いていたときの基礎研究と全く無関係のものではないです。
当時は、さまざまなプロセッサが同じデータを使って動く、そのデータをマネジメントすることに関心があって、そうした基礎研究を蓄積していました。
再び、Intertrustに戻るようになってからは、様々な企業に対して、セキュリティ分野のみならずコンピュータ技術全般についてコンサルティングをする立場にあります。同時に、アカデミアの研究者たちとの接点という役割もあります。
──プリスントン大でもコンピュータ・サイエンスを教えていますね。
タージャン:普通の研究者は、ビジネスかアカデミアかいずれかの立場に身を置いて、研究を深めるものなのでしょうが、私の場合はその両方を行き来するほうが、モチベーションが高まるんです。理論と実践を相互にやりとりできるわけですから。
大学で学生に教えていても、ビジネスの現場での求められている技術の話をすると、さらに興味を持ってくれます。もちろん、アカデミアの研究がきっかけになって、新しいビジネスが生まれることもよくあります。
大学は、UCバークレーやスタンフォード大、ニューヨーク大などいくつか渡り歩いてきました。アメリカの大学は長い夏休みを利用して、教授たちが企業のコンサルティングを行うのは珍しいことでないので、私もそれを楽しんでいました。
ビジネスセクターでは、ベル研究所、コンパック、ヒューレット・パッカード、マイクロソフトリサーチ、さらに日本のNECがアメリカに作った小さな研究ラボにいたこともあります。
その間、ひょんなことからこのクレイジーなスタートアップ(Intertrust社のこと)にかかわるようになりました。その技術を実用化するには時間がかかったけれども、とても得がたい体験でした。
CTOのディヴィッドとののつき合いは長いんですが、何をやってもいいと自由にやらせてもらっています。ビジネス領域はスピードが早い分だけ、不安定です。
でも私の場合、二足のわらじを履いているので、会社が危なくなったら大学に戻ればいいから、安心です(笑)。
IoT時代に「シンプルだが強いシステム」をいかに構築するか
──ビッグデータのビジネスでは、個人のアクセス情報などがオープンになることで、技術やサービスが進歩するという面がある一方で、クラッキングされてデータが盗まれるというリスクも常にあります。
サービス開発におけるオープンソースの活用も反面、セキュリティのリスクを高めることになりかねないという指摘もあります。オープン技術とセキュリティのバランスはどうあるべきでしょうか。
メイヤー:私たちは我々の提供する「Personagraph」サービスを通して、約18億人分のIDを管理しているといえます。情報は管理するし、活用はするけれども、第三者には渡らないようにする、そのためには、セキュリティ・レイヤーを設けて、データはオープンだけど、容易にアクセスできないというような仕組みを作ることが欠かせません。
プライバシーを守りつつどこまで情報を開示できるかについては、ボブ(タージャン氏)が行ってきたような、数学的・学術的な研究が今後、ますます重要になると思います。
タージャン:近年は、IoTのセキュリティにも関心が高まるようになりました。IoTが進めば進むほど、セキュリティが破られた場合の被害の深刻度は高まります。
単に個人情報が漏れるだけではなく、工場の生産が止まったり、自動車が動かなくなったりと、危機的な状況を生まれてしまいます。
IoTに使われるセンサーなどの情報端末では、メモリリソースも限られているので、そこにいかにセキュリティ技術を導入するかは重要な課題です。
何より重要なのは、IoTシステムを設計する前の段階から、常にセキュリティレイヤーを意識しながら開発を進めることです。
クラッキングされてから対応を取っていたので間に合わない。リスクを事前に予期して、それを防衛する考え方をシステムアーキテクチャの中に取り入れなければなりません。
後付けで対策を取るよりも、事前に対策をとったほうがシステム開発は効率化されるというのは、一つの真理だと思います。
ちなみに、最近のランサムウェア攻撃では、Microsoftのパッチを受けていないシステムが狙われました。適切にパッチを宛てていれば脆弱性はない。
ユーザーに対しても、常にセキュリティをオンにするという意識付けをもっと強めていく必要があります。
しかし、それ以上に大切なのは、システムにあらかじめセキュリティアップデートの機能を組み込んで、ユーザーの手を煩わせることなく自動でアップデートするような仕掛けを盛り込むことだと思います。
たしかにIoTで使われる機器が増えれば増えるほど、システムは複雑化します。それをいかにシンプルに設計するか、シンプルだけどセキュリティは強固というものにしていくか。これはすべてのサイエンティストやエンジニアに求められている課題だと思います。
メイヤー:ITのプロフェッショナルでさえ、最新のセキュリティ技術になかなか追いついていけないという現状があります。その中で、いかに一般ユーザーのセキュリティ意識を高めるかは難しい課題です。
セキュリティにあまりにも手間ひまをかけると、ITやIoTの利便性が損なわれてしまう。そのバランスを取りながら、利便性と安全性を同時に担保する。私たちがやることはまだまだたくさんあります。
注目される日米セキュリティ・エンジニアの役割
──セキュリティ・エンジニアの力がますます求められているというわけですね。
メイヤー:セキュリティ技術は一種のアート(芸術)だと思います。セキュリティの脆弱性を考えるときは、単にコンピュータ・サイエンスだけでなく、心理学などの知見も必要になってきます。
例えばソーシャルエンジニアリングは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法ですが、その多くは人間の心理的な隙や行動のミスにつけ込むものですから。
セキュリティとそれを破るテクニックはますます複雑になってきている。だからこそ、そこに関わるセキュリティ・エンジニアという職業もますます面白くなってきていると思います。
実際、需要も多い。アメリカでは様々なITエンジニアの中でも、セキュリティ・エンジニアの給与水準は高いほうにランクされています。
──今回はLINEと共同でカンファレンスを開催されました。率直にいって、LINEのセキュリティ技術をどう評価されていますか。
タージャン:LINEはソフトウェア・デフェンスシステムをよく研究している企業だと思いますよ。これまで存在しない未知の攻撃を考えるというチャレンジングな仕事をする、よく訓練されたエンジニアがたくさんいるという印象です。
メイヤー:今回のコラボレーションも、LINEエンジニアの技量は高いし、一緒に組めばお互いに有益だと感じたので取り組んだわけですからね。
──LINEに限らず、日本企業のセキュリティ技術のレベルをどうご覧になっていますか。
メイヤー:すべての技術領域を見ているわけではないので、一概には言えないのですが、これまで私たちがIPTVの著作権管理技術などで協業したことのある、ソニー、パナソニックなどの技術は非常に高いレベルのものでした。
エンジニアたちが非常にアクティブに動いていたという記憶があり、それが日本におけるIPTVビジネスを成功に導いたのです。私たちが協業して導入したセキュリティシステムは、いまもって破られたという話は聞いていません。
──今回の「LINE and Intertrust Security Summit」は、今秋には第2回をシリコンバレーで開催する予定と聞いています。アメリカではどんなイベントになりそうですか。
メイヤー:今まさにその内容を詰めているところですが、日本での開催と同様に、セキュリティ・エンジニアにとっては興味深いものになると確信しています。
アメリカ企業のセキュリティ技術の動向を知る上でも参考になると思うので、日本からもぜひより多くのエンジニアが参加してほしいと思っています。
※本記事は「CodeIQ MAGAZINE」掲載の記事を転載しております。
8,568通り、あなたはどのタイプ?
グッドポイント診断で、あなたの隠れた強みを診断してみましょう。
診断結果は8,568通り。あなたはどのタイプ?
あなたの新しい可能性が見つかるかも
リクナビNEXTにログインすると、あなたの志向に合った特別な求人一覧を見ることができます。
予想外の求人が、あなたの世界を広げるかもしれません。
