全方位的なサイバーセキュリティはなぜ必要なのか
市原尚久氏:LINEのサイバーセキュリティ室の市原です。本日は『LINEの全方位的なサイバーセキュリティの取り組みと挑戦』というタイトルでお話ししたいと思います。よろしくお願いします。
はじめに自己紹介いたします。私は現在、サイバーセキュリティ室を統括しながらアカウント乗っ取り対策、またグローバルで起きているような不正対策、セキュリティインシデントの対応、FIDOなどの標準化活動などを担当しています。本日はよろしくお願いします。
本日のアジェンダです。まずはじめに、本日の講演のタイトルになっている全方位的、Omnidirectionalなサイバーセキュリティとは何か、なぜ必要なのかについてお話しします。
また、その「全方位的」を支えるテクノロジー、カルチャー、ピープルという3つの側面を解説していき、技術面だけじゃなく組織的な取り組みも交えてお話したいと思っています。そして最後にまとめをお話しします。よろしくお願いします。
まずはじめに、LINEが提供する多くのサービスが安全であること、そしてユーザー全員に安心してサービスを楽しんでいただきたいということ、これはサイバーセキュリティの目指す、当たり前の第一歩だと思っています。
それと同時に、LINEに対する信頼感をもってもらい、これからもサービスを使い続けてほしいと思っています。このように、ユーザーに信頼感をもちつづけてもらうこと、これこそが私たちLINEが目指す姿だと言えます。
ではこの信頼感とはいったい何でしょうか? 何がそれを生み出すのか?そしてそれは、特にLINEのような大規模な社会インフラとなったサービスの場合には、簡単なことだとは思っておりません。
そのために、本日のタイトルにあるような、まさに「全方位的」な、別の言い方をすると「あらゆる可能性に挑戦していく姿勢」が必要だと考えています。そのあらゆる可能性、つまり私たちのこれまでの取り組みについて、(スライドに)小さな10の丸で表現していますので、今日はこの10の取り組みをそれぞれ説明していきたいと思っています。
LINEが大切にしている3つの要素「テクノロジー」「カルチャー」「ピープル」
これらの10の要素は、さらにテクノロジー、カルチャー、ピープルという要素で語ることができます。1つ目はテクノロジー。セキュリティにおいてもっとも大事な要素がテクノロジーであることは当たり前ですし、みなさんも簡単に理解してもらえると思います。
私たちエンジニアの知見、技術力、これを最大限に発揮して、またテクノロジーの潜在力を十分に活かして、サービスの安全性を構築していく。これは、サイバーセキュリティの取り組みとして最初にやるべきことです。
そして2つ目、カルチャー。私たちサイバーセキュリティ室はLINEの文化であるスピーディーに新しいサービスを提供していくこと。このスピードを減速させることなく、安全性の面で支えていく責任があります。
また一方で新しいテクノロジー、私たちが扱うユーザーデータに対して社会のトレンド、法令、または世論なども踏まえてどう理解し、解釈し、またこれを私たちの新しい血肉にしていく。こういう活動をカルチャーと表現しています。
このカルチャーに関わる活動は、単純な損得勘定では測れないものです。また続けていくことも簡単ではないと思います。それでもLINEだからこそ生み出せる価値、これを支える大事な要素だと考えています。
そしてこれらのテクノロジーを活用してカルチャーを醸成し、最終的にサイバーセキュリティとしての価値を生み出す。これは一人ひとりのエンジニア、ここに書いてあるピープルになります。エンジニアをどう活かし、チームをどう成長させていくか。これがゆるぎない持続可能なサイバーセキュリティを提供することにつながると考えています。
全方位的な取り組みというのが必要な2つの理由
ここまで、全方位的なサイバーセキュリティについて3つの視点で簡単に触れてきました。では、なぜここまでして、全方位的な取り組みというのが必要なのでしょうか? これについて2つの側面から説明していきたいと思います。
1つ目はサイバーセキュリティに関するトレンドのお話です。ひと昔前のセキュリティは、例えばファイヤーウォール、認証アクセス制御、ウイルス対策、パッチ適応などいかに攻撃から防御できるかに注力されてきました。
もちろん、今でもこれらは大事な点ではあります。しかし最近のサイバー攻撃は、国レベルの大規模かつ高度なハッカー集団によるAPT攻撃、ゼロデイ攻撃などによって非常に広範囲な情報システムがターゲットになっています。こうしたことから、最近では防御型だけの対策では限界があると言われています。
つまり現在は、不正侵入などを完全に防ぐことを前提とすることは難しいという立場に立ち、システムに侵入されてしまうことを前提として対策を考える。これが必要になっています。つまり、いかに早く内部の異常を検知し、被害を最小限に食い止めて早く復旧するか。こういう「レジリエンス」という考え方が、今もっとも重視されています。
もう1つはLINEというサービス、また企業としての立ち位置の話です。LINEは非常に多くのユーザーを抱え、多くのサービスを提供し、またグローバルにまたがって膨大なユーザー情報、またプライバシーに関わるような情報を保有しています。
このような大規模な社会インフラであるLINEは、社会に対する大きな責任を担っていると考えています。私たち自身が社会に対する責任を全うするには、一般の企業で取り組んでいるサイバーセキュリティのもっと上、もっと先を目指して取り組み、また挑戦していくことが必要だと考えています。
これがまさに私たちが全方位的なサイバーセキュリティに取り組む理由であり、また最大のモチベーションだと言えます。今日はこのあと、テクノロジー、カルチャー、ピープル、この3つの視点の具体的な取り組みを紹介したいと思います。
サービス開始以来取り組んできた「Anti-Abuse(不正対策)」
最初に『テクノロジー』のお話し。1つ目は、「セキュリティ開発」についてです。ここではみなさんがふだん使われている、LINEアプリの中のセキュリティに関するモジュール、対策技術などを開発してきた取り組みを簡単に紹介したいと思います。
まずはAnti-Abuse。サービスの開始以来LINEはスパム、アカウント乗っ取りなどのアビューズ(不正使用)と戦ってきました。特に2012年から続いたアカウント乗っ取り、これは多くの人が被害に遭ったと思います。
この対策では、さまざまなブロックルールのほかに機械学習を駆使して、とても長くまた高度な戦い、これはイタチごっこになりますが、そういった戦いを何年も続けてきました。そして2019年、アカウント乗っ取りが0件を達成できました。これは昨年のLINE DEVELOPER DAY 2019の中でも発表いたしました。
このほかにも、今でもさまざまなAbuseがあります。対策のためのさまざまな仕様策定、仕様改定、モニタリングルール、ブロックルールの開発、こういったことを毎日のように議論して、今でもアップデートを続けています。
メッセージの暗号化プロトコル「E2EE」
続いては、「E2EE」。これはEnd-to-end encryptionの略です。LINEではこれを「Letter Sealing」と呼んでいます。メッセージの送受信の相手同士でメッセージを暗号化するプロトコルになります。
最初にECDHを使って、ハンドシェイクをもとに鍵共有が行われます。そのあとAES-GCMを使ってメッセージの暗号化、また復号が行われます。みなさんのテキストメッセージをLINEでも見ることができない暗号化プロトコル、これがLetter Sealingです。みなさんのプライバシーを守る意味で、とても重要な機能だと言えます。
Letter Sealingの対象は、テキストメッセージと位置情報、それから1対1の通話、1対1のビデオ通話です。そのほかのスタンプや画像、映像などはLetter Sealingの対象外となっています。
そのほかにも、スパム・メッセージをユーザーが通報したときには、その対象のメッセージが復号された状態でLINEの専用サーバーに送信されます。またURLのサムネイルを表示する場合においても、URLの情報はLINEのサムネイル表示用の専用サーバーに送信されます。このような例外があります。
このようにして、Letter Sealingはプライバシー保護を最優先としつつ、必要な機能提供のためにその保護を一時的に解除し、全体的なバランスを取っています。これらの仕様の詳細については、LINE Encryption White Paperで確認できます。参照してください。
パスワードなしでも安全にログインできる「パスワードレス認証」
続いて、パスワードレスログインです。ここではFIDOを導入しています。これは最近リリースしたばかりの新機能になります。みなさんご存知のとおり、現在パスワードにまつわる課題はとても深刻な状況になってきています。パスワード忘れ、フィッシング、パスワードリスト攻撃など、いろいろあります。
LINEはこのパスワードレス認証を実現する仕組みを11月よりリリースすることになりました。まずはiPad版からですが、PC版も含めたLINEアプリ(セカンダリーアプリ)にログインするときにパスワードレス認証が使えるようになります。
ユーザーは、LINEのセカンダリーアプリにログインするときにメールアドレスだけ入れることでiOS版、Android版のLINE(プライマリーアプリ)にプッシュが飛び、スマートフォンのほうで顔認証や指紋認証を使った認証が行われます。これが成功するとセカンダリーアプリのログインが成功するというものになります。
「FIDO」「FIDO2」のしくみ
ここでパスワードレス認証の標準技術を実現している標準技術であるFIDO(導入したプロトコルとしてはFIDO2)を導入していますが、これについて説明していきたいと思います。FIDOのプロトコルを採用したフローは、このようになっています。
ログインの前に、スマートフォン側で指紋認証などに対応した認証キーの生成、FIDO Registrationが必要になります。ログインのときには、セカンダリーアプリを通じて認証サーバーに認証リクエストが飛びます。
認証サーバーからはFIDOに対するFIDO認証の開始要求が飛び、そのあとFIDO2のプロトコルが走ります。このときスマートフォン側へのプッシュの仕組みによってスマートフォン側では生体認証が要求されます。このFIDO2のプロトコル、つまりFIDO Authenticationが正常終了すると認証サーバーを介してセカンダリーアプリに対する認証の成功が伝えられ、ログインが成功します。
ここではFIDOのクライアント側のアーキテクチャについて少し詳しく解説します。まず前提として、FIDOのプロトコルというのはFIDOの認証器、Authenticatorと呼んでいますけれども、この正当性を証明することをattestationと呼びます。
このattestationのための鍵、それからユーザー認証のための鍵、この2種類の公開鍵暗号ベースの秘密鍵と公開鍵のペアが必要になります。2種類とも、秘密鍵はFIDOのクライアント側に格納されなければなりません。
FIDOをモバイルアプリ側で実装する場合には、秘密鍵など機密情報をモバイルアプリ側に安全に格納する実装が必要になります。各OSのサポート状況の違いがあるので、独特のアプローチが必要になるわけですけれども、こちらも私たちエンジニアが一から設計して実装まで手掛けています。
まずattestationキーの生成と管理、こちらはホワイトボックス暗号のモジュールで実装し、ユーザーの秘密鍵のほうはiOSのキーチェーン、またAndroidにおいてはAndroidキーストアに保存しています。これらはC++で独自実装した暗号モジュールをラッパーを介してモバイルアプリ側に提供することで全体としてFIDOクライアントを実現しています。
これらの詳しい話、それぞれ本日の13時30分、15時10分のセッションで発表があります。ご興味があれば、こちらにぜひご参加ください。
ソフトウェア開発の上流工程でエンジニアがサポート
続いて、「Secure-By-Design」。サービスの企画段階、それからソフトウェア開発の上流の工程でPIA、プライバシーインパクトアセスメント、それからセキュリティコンサルのかたちでサービス部門、開発部門に入り込んで、サービスの安全な設計ができるようにセキュリティエンジニアやプライバシーの専門家がサポートしています。
特に最近は、さまざまなデータ活用によるビジネスが盛んになっていることもあり、この「PIA(= Privacy Impact Assessment)」というプロセスはLINEにおけるデータガバナンスの一環として非常に重要なプロセスとなっています。データ活用するサービスは、PIAチームによるコンサルティングが必須になっています。
ソフトウェア開発がさらに進むと、開発中のソースコードのチェックが行われ、QAの段階で、脆弱性診断とリスクアセスメントを実施します。このリスクアセスメントは、すべてのサービスが必ず受診するルールになっています。これも、サイバーセキュリティ室のエンジニアが行っています。
また先ほどのパスワードレスやE2Eのような開発においては、(サイバーセキュリティ室のエンジニアが)開発プロジェクトに直接入り、セキュリティモジュールやHSMの開発、構築、インテグレーションを担当します。また、金融系サービスのように独自のネットワークサーバー環境の構築が必要な場合には、インフラのセキュリティ設計、構築にエンジニアが入り込み、直接的な支援を行っています。
続いて、「Proactive Defending」。まず、LINEは2016年から「LINE Security Bug Bounty Program」を運営しています。これは、脆弱性診断に関して自分たちだけでは確認ができない脆弱性もあるという前提に立ち、外部のエンジニアから運用中サービスの脆弱性の報告を受け付けているものです。こちらは現在、HackerOneというプラットフォーム上で運営しています。
また運営中のシステムに対して、定期的な巡回監査、サーバー情報などから脆弱性などを能動的に見つけるシステムを自ら開発したり、パッチ適応などの自動運用なども自ら開発して運用したりしています。このように、広範囲に迅速に、ときには自動的に脆弱性や脅威を潰していく。こういった取り組みに力を入れています。
またネットワークサーバー環境の各種セキュリティ設計、対策などにおいても、LINEのIT部門とも連携しながら、インフラ環境のセキュリティ全般の設計構築、運用を行っています。
特に先ほどお話ししたように、ゼロデイ攻撃のような攻撃が当たり前の現在では、大規模なサーバー環境でも、ホストベースのIDSを導入したり、数万台単位のサーバーの統合管理などをするなど、チャレンジングなことにも取り組んでいます。
また現在のLINEのインフラ環境は「パブリッククラウド」「プライベートクラウド」「オンプレミス」が混在するハイブリッド環境になっています。
このハイブリッド環境をいかに安全に運用するかという課題にもチャレンジし、セキュリティアーキテクチャの設計や構築、あるいは安全なOSイメージの自動配布や管理、HSMを使ったクレデンシャル管理、SSL証明書の統合管理システムなどといったことについて、私たちのインフラセキュリティのエンジニアが直接現場に入って活躍しています。
これらの取り組みについては、このあとの発表の中で聞くことができます。
そして4つ目、「Automation & Orchestration」。これまで説明したエンジニアの活動自体の効率化、高度化のための開発もしています。例えば、プロジェクトを通じて一貫してセキュリティ課題を管理できる「チケット管理システム」や「脆弱性診断の自動化」といった研究にも積極的に取り組んでいます。
これらの研究では、メタラーニングという高度な手法も取り入れています。こちらの発表も本日の他のセッションで聞くことができます。
安全にかつスピーディーに
続いて、(スライドの)4つの『文化』についてのお話を進めたいと思います。1つ目の文化は「Quick & Safe」と呼んでいます。つまり安全性を追求するのは当たり前ですが、同時にスピードも重視する。この点は、私たちが大事にしている文化の1つだと言えます。
例えば、脆弱性が発見されたり、インシデントが発生したとき、速やかに調査をしてバグ修正に向かいますが、これほどの大規模システムの場合には、通常フィックス版のリリースまでの意思決定に時間がかかります。
しかしLINEの場合には、エンジニア同士のコミュニケーションが非常に早く、また修正による影響範囲の把握がある程度エンジニアの中で完結できているという面から、こういった意思決定のプロセスが非常に早いという特徴があります。
例えば、今年(2020年)9月に、LINEに対して不正ログインの大量試行が発生するというセキュリティインシデントが起きました。このとき攻撃側は、LINEのユーザーのパスワードを正しく知った状態で逃げてしまった状況でした。ですので、私たちは2次被害をとても憂慮しました。
そこで、被害に遭ったユーザーの数万人単位の方に対して、パスワードを強制リセットすべきじゃないかという議論が内部で起こりました。すぐに長所、短所の整理が行われましたが、それでも普通であれば、かなり慎重になる取り組みだだと思います。
しかしサービス側も非常に早くこの長所、短所も含め理解を示してくれ、ほぼ即決でこのアクションについて決定できました。結果として、非常にスムーズにパスワードリセットの緊急実施を完了できました。
もう1つの例です。今年のコロナ禍で、VPN増設を検討したときです。(リモートワークで)VPNの利用者が増えることははもちろん最初から想定していましたが、VPN自体に障害が発生したときにどうするのか? VPNのヘルプデスクがなにもできなくなるのではないか? という“デッドロック問題”に直面しました。
このとき、あるサービス用にすでに開発、導入していたゼロトラストをベースにしたネットワーク環境があったので、これを使うのはどうかという案が出ました。これは2月14日の時点の話ですが、その12日後には全社員向けのリモートワークを実施する方針が見えていました。
この案もほぼ即決で決まり、VPN環境と並列でゼロトラストを導入することが決まりました。結果として、2月26日にはVPNとゼロトラスト環境のハイブリッド運用を開始できました。
このように、LINEはスピードを重視するという文化があります。現在のような非常事態、緊急時には、非常に大きなアドバンテージになると考えています。
LINEの外部コミュニティとの関わり方
続いて6番目、「外部コミュニケーション」についてです。これも、LINEがとても大事にしている文化の1つです。例えば、LINEの主宰で開催している「becks.io」という外部イベントがあります。このイベントでは、LINE以外のエンジニアも集めて、さまざまな技術、経験をプレゼンテーションする機会を提供しています。このイベントは、日本だけではなく、台湾や韓国でも定期的に開催しています。
また、サイバー防災という一般の方向けの啓発キャンペーンも2017年から毎年開催しています。これも外部活動の1つで、毎年6月9日に開催しています。
多くのネット系の企業、モバイルキャリア、警視庁さんなどにも参加いただき、フィッシングであったり、乗っ取りだったり、そういった一般のネットサービスでの脅威に対する啓発活動に、積極的に取り組んでいます。これまでも、芸能人にも参加していただいて、クイズに答えてもらうような、いろいろなキャンペーンに取り組んできています。
LINEは常にオープンに
そして7番目が「オープンネス」。これもLINEが大事にしている文化の1つです。例えばLINEは毎年「透明性レポート」というレポートを公開しています。ここでは、政府機関からの令状に基づいて、どういった情報をLINEが提供しているのか、そういった情報提供の状況、種類、また暗号化の状況などについて詳しくレポートしています。
これは、LINEがセキュリティに対してどう向き合っているのかをできる限り情報開示していこう、というところからスタートしています。こういった透明性の高い企業活動は、最終的には、本日のプレゼンの冒頭にお話しした「信頼を獲得する」ということにつながる大事な姿勢だと考えています。
そして「セキュリティブランディング」です。LINEでは、世界中の有名なセキュリティ有識者、また研究者をお呼びして、日本だけでなく北米や欧米などでセキュリティサミットを毎回開催しています。これは、私たち自身のセキュリティに対する考え方や取り組みを。世界中の有識者と議論を重ねて、また常にアップデートをしていくということが大事だと考えているからです。
これまでにも、アメリカのコンピュータサイエンスの権威であり、1986年のチューリング賞の受賞者でもあるロバート・タージャンさんに登壇いただいています。また、OpenID Foundationの理事長である崎村夏彦さんにも登壇いただいています。このように。外部のセキュリティの有識者と積極的に議論を重ね、私たちの考え、私たちの姿勢を見直す機会としても活用しています。
独自開発のeラーニングシステム「LINE Class」
最後に、『ピープル』のお話をしたいと思います。まずは「セキュリティスキル開発」についてです。LINEには、社内のソフトウェア開発に関わるエンジニアに対して、セキュリティの設計や実装に関する知識を学ぶことができる、私たちが独自開発したeラーニングシステム「LINE Class」があります。
このLINE Classも、私たちセキュリティ組織のエンジニアが独自に開発したものです。そしてこのLINE Classは、今ではエンジニア向けの教育だけはなく、従業員向けの教育やテスト、誓約書の提出といった、さまざまな面で使われています。
またサイバーセキュリティ室のセキュリティエンジニアもこのeラーニングシステムを活用しています。
またこのLINE Classでは、一般的なソフトウェアの脆弱性、例えばクロスサイトスクリプティングなどだけではなく、LINEプラットフォーム特有のセキュリティ実装に関わる知識やノウハウなども学ぶことができます。
ここでは、学習してテストし、定期的に受講するといったことが運営されています。また、このLINE Classには自習室という場所があって、いつでもわからない技術や脆弱性など、セキュリティに関する技術を勉強したり、自分でテストを受けたりできるようになっています。
またインフラのセキュリティのエンジニア向けにも、独自の教育コンテンツを開発しています。インフラセキュリティのエンジニアは、入社するとここに書かれているようなハンズオンの教育コンテンツを通じて、基本的なインフラセキュリティのスキルを身につけられるようになっています。
これらもLINE Classと同様に、教育コンテンツについてはいつでも利用し、学習できるようになっています。このようにして、エンジニアのセキュリティスキル開発に積極的に力を入れて取り組んでいます。
セキュリティ&プライバシーの研究活動
最後は「リサーチ」です。ここでは、セキュリティやプライバシーに関わる研究にも積極的に取り組んでいるお話をしたいと思います。
例えば「FIDO Alliance」。先ほどのパスワードレスのような新しい認証に関わるような技術仕様の標準化のためにも活動しています。
また「GNI(Global Network Initiative)」では、プライバシーやデータガバナンスに関する世界のトレンドを把握し、私たちがこれから正しい対策を打ったり、理解することを目的に活動してきています。
そして「情報法制研究所」、いわゆるJILISは日本の情報関連の法律に対する解釈について、私たちがより正しい理解を深めるために、組織の設立当初から支援して、活動に参加をしています。
また、LINEのセキュリティエンジニアたちは、さまざまなセキュリティ関連のカンファレンスや国際会議などの場で、最新技術、研究、また業務における取り組みなどをプレゼンしたり論文発表したりなど、こういった機会を積極的に活用し、積極的に外部発信をしています。
サイバーセキュリティ室としては、これらの参加費であったり出張費、こういった部分のサポートなども行っています。これらは、メンバーの成長機会を促進すること、それからプレゼンテーション機会を増やすことで、プレゼンスが向上するので、積極的に支援しています。
ユーザーからの信頼を獲得するためにLINEが目指すもの
それではまとめに入りたいと思います。本日の発表の前半で、私たちLINEはユーザーの信頼を獲得することを目指していると申し上げました。そして昨今のサイバーセキュリティの現状や、LINEの社会的責任の立場、これを踏まえ私たちが取り組んでいる全方位的なサイバーセキュリティの必要性、また、それらの取り組みについてテクノロジー、カルチャー、ピープルの視点で10の取り組みを紹介してきました。
これからも私たちは、ビジネスのスピードに追いつき、最先端のテクノロジーを追いかけ、外部に対して透明性を保ち、自らのチームを自ら成長させていく。そういうセキュリティ組織であり続け、またそのために今日申し上げたようなさまざまなチャレンジを続けていきたいと思っています。
そしてこれが、最後にはユーザーのみ信頼を獲得することにつながると考えています。
ご清聴どうもありがとうございました。
