サイバー攻撃技術コンピュータシステムの
脆弱性を補完する

侵入を模擬してセキュリティ向上に役立てる

東芝が開発している様々な制御システムを、できるだけ安全な状態で利用していただくための技術を研究開発しています。悪用されてしまう可能性のあるソフトウエアのバグやシステムの設定を改善するために、脆弱性検査とペネトレーションテストと呼ばれる技術を用いて対策を講じています。特に重要インフラをはじめとする制御システムは、今まで他のシステムから隔てられた閉じたネットワークで運用されてきました。しかし近年IoTによる監視やリモートメンテナンスの事例が増え始め、ネットワークを侵入口として悪意を持つ人とつながってしまう可能性が出てきました。ですから基本的に閉じたネットワークではあっても、セキュリティを高める必要があるのです。そこで、私たちは自社で開発するシステムの開発プロセスの中に脆弱性検査や侵入を模擬したペネトレーションテストを取り入れ、バグや脆弱性がみつかったものはあらかじめ修正した上でお客様に提供しています。

セキュリティへの知見を深めながら研究を進める

セキュリティ強化の対象となるシステムは、すでに実体のあるものもあれば開発段階のものもあります。内容もまちまちです。業界特有の通信規格やベンダーが独自に作ったソフトウエア、通信プロトコルもあり、それぞれの脆弱性をみつけ出さなければなりません。最初にシステムの全体像を把握して、どのような機器とアプリケーションが入っているかを調べ、次にそのアプリケーションにどのような脆弱性があるのかをツールでスキャンして調べていきます。最初は先輩の研究や事業部門から依頼された委託研究の手伝いをしながらセキュリティに関する知識の幅を広げます。入社して3年目には情報処理推進機構（IPA）のトレーニングプログラムに参加する機会をもらい、文京区にある産業サイバーセキュリティーセンターに1年間通いました。プログラムを通じて自分の知見を深め、講師陣とのつながりもできました。その後、自分が主体となって事業部門から委託研究をもらい、脆弱性検査やペネトレーションテストをするようになり、段々とステップアップしている実感があります。

リアルな制御システムを合法的に攻撃できる仕事

将来どのような技術が世に残るだろうか。このようなことを学生時代に考えていて、無線とデジタルの二つが思い浮かびました。そして、その二つの無線とデジタルの技術が大きく発展していく際に障害となりうるのは、セキュリティの脆弱性だと思いました。そこで、私はペネトレーションを勉強し始めました。社会で使われる技術や製品・サービスに近いことを仕事にしたいという思いから、就職先としてはベンダーを選びました。セキュリティ関係で働くというと、セキュリティ専門企業が真っ先に頭に浮かぶかもしれませんが、重要インフラを実際に運用している企業や制御システムを開発提供しているベンダー企業でもセキュリティの人材を必要としています。セキュリティ専門企業がシステムのセキュリティの診断やコンサルの依頼を受けた場合でも、システムのすべてが開示されるとは限りません。契約の関係で、現実問題として他社に出せない部分は秘密のままの場合もあります。それに対してシステムを開発、運用している企業はリアルな制御システムを自分たちで持っているので、それに対して業務として攻撃をすることができます。攻撃対象として実物があるのは、セキュリティを自分の仕事として生きていく上での楽しみの一つだと思います。