ネットエージェント、コンピュータ・フォレンジック分野に進出第1回

特集特集

2005年6月30日（木） 19時00分

ネットワークセキュリティ分野では、屈指の国産技術を有するネットエージェント株式会社。Packet Black HoleやOne Point Wall等の独自の製品群で確固たる地位を築いてきた同社が伊原秀明氏を取締役に迎え、６月２日、フォレンジック・サービスを開始した。伊原氏は、コンピュータ・フォレンジック分野における国内では有数の専門家である。本連載では２回に分け、新サービス開始の背景や将来の展望について、ネットエージェント株式会社代表取締役の杉浦孝幸氏と伊原氏へのインタビュー内容を中心にお届けする。今回は、主に伊原氏のキャリア形成の背景に迫る。

●興味本位で始めた趣味が高じて本業に

セキュリティ関係の講演ではPort139の肩書きでよく目にすることが多かった、伊原氏。実は氏のキャリアのルーツは、長野県飯田市に本社のある父親の会社にて、システムインテグレータとして仕事を始めたところにある。しばらくは、NetWare等のインテグレーションを中心とした業務を行っていた。

その傍ら、1995年にIDG社の雑誌にWindows系のセキュリティに関する連載を行ったり、1996年には日本Windowsユーザ会の立ち上げを行ったりしているが、これもあくまでも趣味の範囲。システムインテグレータとしての仕事は、きちんと本業として行っていた。ただし、当時Windowsに関するセキュリティを語れる人材が少なかったこともあり、セミナー等での講演や執筆依頼が徐々に増え、気づいたら趣味（セキュリティ関係）と仕事（システムインテグレータ）に割く時間が逆転していたとのことだ。

●自社サイト書き換えでコンピュータ・フォレンジックに目覚める

それでも、システムインテグレータとしての仕事は続けていたある日、自らの会社のウェブサイトが何者かに書き換えられるという事件が起きた。幸い、本業でTripWireによるファイル改ざん検知システムを扱っていた関係上、その事実はすぐに検知できた。また手法も、当時Windows 2000 サーバのIIS上にて指摘されていた脆弱性、即ちUnicodeを利用したディレクトリ遡りによる攻撃によるものであることが、残されていたログファイル等から判別できた。（ちなみにパッチの適用を怠っていたわけではなく、侵害を受けてから数日後にマイクロソフトからパッチがリリースされている、いわゆるゼロデイで攻撃を受けた結果である）

しかし、最終的にどうしてもできなかったことが2つ残ってしまった。それは、被害範囲の特定と攻撃者の追跡である。この時、伊原氏は初めてこの両者を扱う世界、つまりインシデント・レスポンスとコンピュータ・フォレンジックと出会ったのだという。また「フォレンジック」という言葉に出会ったのも、「不正アクセス調査ガイド―rootkitの検出とTCTの使い方」（渡辺勝弘氏との共著：2002年4月出版）を執筆している最中のこと。「コンピュータ・フォレンジック」と言う用語は、日本ではようやく耳にする機会の増えてきた言葉であるが、伊原氏にとっても比較的新しい言葉なのだ。

このような過程からコンピュータ・フォレンジックに興味を持ち始めた伊原氏であったが、最初は関連ドキュメントの少なさに愕然としたという。もともと、コンピュータがらみの犯罪捜査において用いられる手法である関係上、その詳細は当然捜査機関の極秘事項扱いとなっており表に出て来ない。最近でこそ、少しずつ関連書籍が出版されてきたが、書籍や情報の少ない中での伊原氏の苦労は推して量ることができる。伊原氏も最初は不正アクセス調査ガイドに渡辺氏が執筆した内容を頼りに、様々な情報を集めていったとのことだ。

【執筆：株式会社アイドゥ　小松信治 http://www.eyedo.jp 】

──
（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》