文:斉藤 健一(日本ハッカー協会 監事)
シリーズ「ハッカーと仕事」の第5弾。今回ご登場いただくのは、暗号資産取引サービス「Coincheck」を提供する、コインチェックの喜屋武慶大(きゃん・よしひろ)さんだ。
暗号資産取引所などでは、大量の暗号資産を取り扱う場所ゆえ、多くのサイバー犯罪者の標的となっており、世界各地の交換所から暗号資産が不正に流出したというニュースを目にすることも増えている。
このように高いレベルのセキュリティ対策が求められる組織で、喜屋武さんはサイバーセキュリティ推進部長として活躍している。
●自身の興味にチャレンジし続けたい
まずは喜屋武さんの経歴から。出身は沖縄県で、県内の大学に在学中に参加したセキュリティ・ミニキャンプ(セキュリティ・キャンプ協議会主催)がセキュリティに興味を持つきっかけとなった。「大学では、PHPでデータベースを作成し、簡単なアプリケーションを作っていましたが、ミニキャンプではNetcatを使って手動で3ウェイハンドシェイクをしたり、ローカルプロキシなどでhttpリクエストに細工をしたりしました。こうした演習を通じて、動いているアプリケーションの裏側を見ることができて、良い経験になりました」と語る。
その後、セキュリティを独習し、大学卒業後は東京のセキュリティ企業に就職する。配属されたのはSOC(Security Operation Center)。顧客のネットワークを監視することが主な業務だ。異常を検知した場合は速やかに顧客に報告する。インシデントが発生した際、支援は行うが、対応はあくまでも顧客が主体となる。それ故、顧客が適切にハンドリングできずに、対応が後手に回ってしまうこともある。
こうしたケースの数々を目の当たりにして、喜屋武さん自身はもどかしさを感じていたという。そして、自分にできることは何かと考え、インシデント対応する側で仕事をしたいと、ユーザー企業への転職を決意する。
喜屋武さんがコインチェックに入社したのは2018年、同社が暗号資産の不正流出の被害に遭った直後のことだ。セキュリティチームの立ち上げに関われることにチャレンジのしがいがあると感じたそうだ。
業務内容は社内のセキュリティに関わること全般だ。社内で使用するネットワーク機器、ツール類、サービス、すべてのログを集計・解析して、異常がないか監視する。
また、社内で使用するツールのアップデートの案内、他の暗号資産交換業者がサイバー攻撃の被害にあったというニュースがあれば、レポートを作成し社内で共有している。
他にも、提供予定の新サービスや機能についてもセキュリティの観点からレビューしたり、過去にはレッドチーム演習を行ったりもした。
●セキュリティ対策のレベルを上げる方策
サイバーセキュリティでは、攻撃側と防御側の「非対称性の関係」がしばしば取り沙汰される。攻撃側はターゲットのサービスや社内で使用するツールなどから、攻撃につながる脆弱性を1つ見つけられればよいが、防御側は全方位をカバーしなくてはならないというものだ。
この点について、喜屋武さんに不安はないか尋ねてみたところ、「転職後、最初の半年間は自宅で過ごしていても気が休まりませんでした。しかし、人間はそういう状況にも順応していくもので、次第にそうした不安からも解放されました」と話す。ただし、こうした心持ちの背景には「その時点でできることはすべてやっている」という確かな感触があるからだともいう。
このことこそが喜屋武さんが考えるセキュリティ対策のレベルを高める方策でもある。「何か特別なことをするというより、基本的なことを粛々と続けることが重要。地味なことですが、運用もきちんと行っていくスタンスです」と語ってくれた。
●セキュリティ対策で譲れない一線
ネットワークの利便性とセキュリティはトレードオフの関係だ。コインチェックはエンジニアファーストを謳う企業であり、開発チームはネットワークを自由に使いたいと考えるが、セキュリティチームはそこに制限をかける存在だ。組織によっては、開発チームとセキュリティチームが感情的に反目しあうケースもあるそうだが、コインチェックの場合はどうだろう。
喜屋武さんによれば、セキュリティ対策を打ち出したときに対立が起こることもあるそうだが、そのときは開発チームと話し合いの場を設けて、妥協点を探っていく。セキュリティチームからは、開発環境への影響も含めて対策の目的をきちんと説明するようにしているという。
ただし、絶対に譲れない一線も存在する。それは、顧客の暗号資産を預かっているという立場であり、資産を毀損しうる可能性があるものにはきっぱり「ノー」を伝えているという。普段からこのスタンスをとっており、社内でも一定の理解を得ているそうだ。
●セキュリティ対策の取り組みが結実したインシデント対応
コインチェックのセキュリティの高さを端的に示すエピソードがある。2020年6月に起きたドメイン名ハイジャックへの対応だ。
発端は自社のWebサービスのレスポンスに遅れが生じたことだった。調査の一環として経路情報を調べてみると、クラウドサービスの国内のデータセンターを利用しているはずが、なぜか海外のルーティングになっていたという。さらに調査を進めると、DNSサーバーの一部のレコードが巧妙に改ざんされていることがわかった。
犯人は、レジストラ(ドメイン登録業者)側の脆弱性を突き、コインチェックのアカウントに不正にアクセスし、DNSのMXレコード(メールサーバーを指定)を書き換えていた。
同じ時期に、社員に対してGitHubアカウントのパスワード変更を促すメールも届いていたことから、犯人の目的はDNSレコードを書き換えることで、コインチェック社のメールサーバーになりすまし、開発者のGitHubアカウントの乗っ取りを画策したのだと喜屋武さんは指摘する。
この対応の特筆すべき点は、見過ごしがちな小さなエラーを早期に発見し、迅速に対応したこと、さらに対応をきちんと公表したことにある。
●コインチェックが求める人材像
コインチェックでは現在、自社サービスのセキュリティレベルの維持・向上を担当するアプリケーションセキュリティエンジニアの募集を行っている。
このポジションに期待する資質を喜屋武さんに尋ねた。「セキュリティもサービスの品質の1つであるという考えから、自ら要件を定義できる人」との答えが返ってきた。
最後に、喜屋武さん自身の今後の目標について伺うと「キャリアについて言えば、就職のときも転職のときも、新しいことにチャレンジしたいという想いがありました。自分の将来像はまだ描けていませんが、現在の目標としては、Coincheckを日本でいちばん安心して使ってもらえるようなサービスにしていきたいと考えています」と語る。
今回のインタビューを通じて筆者が感じたのは、喜屋武さんのしっかりとした受け答えだ。迷いがないという言葉に置き換えてもいいだろう。このことがサイバーセキュリティ推進部長という責務をまっとうする原動力にもつながっているのかもしれない。喜屋武さんの今後の活躍に期待したい。