イスラエルのサイバーセキュリティ事情

 これはマルウェアに感染した端末の基板で構成されたトロイの木馬.国際会議Cyber Weekの展示の一環.

はじめに

 先週,イスラエル外務省からの招待でイスラエルのサイバーセキュリティ産業の視察に参加した.
 視察の参加者は日本政府・重要インフラ・セキュリティ業界関係に大別される.視察の目的は彼らにイスラエルの起業文化とサイバーセキュリティ技術を伝え,相互理解を図ることにあった.そんな視察になぜ一介のモラトリアム大学生でしかない私が潜り込めたのかというと,イスラエル外務省をハックしたから———というのは嘘.昨年発表したCODEBLUEというセキュリティカンファレンスのオーガナイザーにイスラエル大使館から打診があり,若者枠に組み込まれたという経緯である.なんと旅費はイスラエル外務省の負担.
 そういうわけで,記憶が錆びつかないうちに,イスラエルのサイバーセキュリティ事情を紹介したい.

総括

 最初にまとめてしまうと,イスラエルのサイバーセキュリティ産業は小国ゆえのフットワークの軽さがあってこそ成り立っている.とりわけ,以下の要素に負うところが大きい:

  • 徴兵制による人的つながり
  • R&Dを重視したスタートアップのエコシステム
  • 危機感

したがって,そのまま日本にあてはめて考えることはできないが,柔軟な組織間連携の体制は間違いなく参考になるはずだ.

徴兵制による人的つながり

 イスラエルでは,18歳から男性は36ヶ月,女性は21ヶ月にわたる兵役が義務づけられている.高校を卒業して大学に進学するのではなく,まず国防軍 (IDF) に組み込まれるというわけだ.ツアーガイドの方が「6ヶ月間の基礎訓練が終わってはじめて教官が名前を教えてくれる.それからは下の名前で呼び合う,生涯にわたる仲になる」というエモい話を聞かせてくれたが,この兵役での人的つながりが,イスラエルのサイバーセキュリティ産業に多大な影響を及ぼしている.分野を越えたコネクションが形成され,小国ゆえに誰がどのように優秀か国が一元的に把握できるためである.
 とりわけ優秀な人材はタルピオットという3年で数学と物理学の学位および中尉の階級を取得する人材育成プログラムに組み込まれるか,8200部隊という諜報部隊———かのStuxnetをNSAと共同で開発したといういわくつきの———に配属され,それらの出身者であることがキャリアパス上の絶大なアピールポイントとなっている.
 このように兵役による能力のフィルタリングがあるため,学生は日本のように就職活動をするのではなく,優秀だった順に政府機関や企業から声がかかるという.多くの企業は軍との直接的なつながりを持たないが,重要インフラ事業者や政府のサイバーセキュリティ関連機関,軍需企業は軍と密接に結びついていて,盛んに情報を共有しているという.
 軍との関係は兵役が終わったらそれきりというわけではない.たとえば視察時に開催されていたCyber Week併設の全年齢対象CTFでは,空軍が(おそらくリクルートを兼ねて)作成した問題が用いられていた.開始早々に見学した問題の内容としてはMetasploitを用いるペンテストのようなものや,Androidアプリケーションのリバースエンジニアリングなど.

R&Dを重視したスタートアップのエコシステム

 さて,イスラエル政府が擁するサイバーセキュリティ関連機関は軍を除くと次のような構造になっている:

 国家サイバー局は日本でいうところの内閣サイバーセキュリティセンター (NISC) 的な立ち位置で,サイバーセキュリティ関連の産業育成と防衛について政府に進言する立場を担っている.国家サイバーセキュリティ委員会は各種標準化団体のほかCSIRTとしてIL-CERTを抱える機関である.IL-CERTではSTIX/TAXIIを用いた情報共有体制が確立されており,検体の挙動をタグベースで共有することで,機微情報を漏らすことなく複数機関にまたがったインシデントに対応できるようになっているらしい.視察では,ウェブベースの情報共有ツールも紹介された.
 国家サイバー局の下部にあるCyberSparkはイスラエル南部の中心都市ベエルシェバにある研究開発特区・機関で,ベンチャーキャピタル,国内のスタートアップ企業のほか,IBMやLockheed Martinといった多国籍企業,隣接するベン・グリオン大学から構成される.ネゲブ砂漠の開発を進めつつ,競合他社を大学との共同研究という形でまとめ,その研究をスタートアップとして興すことを目的としているようだ.ICRCもまたテルアビブ大学を中心とした同様の学際的研究機関で,Cyber Weekのオーガナイザーでもあった.これらは東大京大と産総研やNII, NICTが直接つながっているようなものだと思えばよいが,研究内容を即座にスタートアップ化する点は興味深い.
 IC3は国営の軍需企業IAI (Israel Aerospace Industries) を中心としたジョイントベンチャーで,2020年の東京オリンピックに向けた日本市場開拓を虎視眈々とねらっている.
 この構造には,政府機関のほか次のようなベンチャーキャピタルとスタートアップ推進企業が噛んでいる:

 BVPはアメリカ最古のベンチャーキャピタルだが,イスラエルのサイバーセキュリティ産業に熱視線を投げかけており,後述のTeam8やillusive networksなどに投資している.
 JVPはイスラエルのベンチャーキャピタルで,CyberSparkを構成する企業のひとつである.Cyber Labsという研究部門も設けており,軍と連携を図りつつ,国内のスタートアップをいくつも育成してきた.興味深かったのはCyActiveなる企業の取り組み.遺伝的アルゴリズムを用いて既存のマルウェアを変異させることで,亜種そして未来のマルウェアに対して頑強なヒューリスティックエンジンを開発するといった研究を行っているそうだ.折しも今年のはじめに国際会議NDSSにおいて(PDFファイルに限定してはいるものの)類似の研究が発表されており,今後の動向に注目したい.
 Team8はサイバーセキュリティのR&Dをスタートアップ化することを目的としたインキュベーション企業で,illusive networksの母体である.Team8の創設者はかの8200部隊出身者であり,軍で培った問題意識やマネジメント能力が糧となっていると語る.
 これらの企業の支援のもと興ったスタートアップは,狭いイスラエル国内でシェアを握るのではなく,海外市場の開拓とCyberSparkに参画しているような多国籍企業へのイグジットを目的としている.
 しかしこうした産学軍連携のスタートアップ促進体制は,イスラエルが小国であり,かつ物騒な隣人に恵まれていて,軍が産業の中核に食い込んでいるという特性(それは同時に「だからこそイスラエルはサイバーセキュリティ先進国である」というイメージを抱かせることにも寄与している)あってこそだろう.

危機感

 彼らの口ぶりからすると,やはり周辺諸国との関係がサイバーセキュリティ産業の発展を後押ししているようだ.
 たとえば,イスラエル電力公社は国内の電力を一手に担っており,発電所がサイバー攻撃によって停止してしまえばイスラエルの国防は壊滅的な打撃を被る(もちろん周辺諸国からの給電は望めない).したがって彼らのサイバーセキュリティに対する意識はきわめて高い.彼らのSOCは各施設に派遣されたオペレーターとそこからのアラートを分析する本社施設に分散して設置されており,情報の集約(縮約)と即時共有に力を入れている様子がうかがえた.
 また,電力公社の子会社として,電力制御システムに対するサイバー攻撃とその防御の訓練施設CyberGymがある.CyberGymは電力公社における訓練のみならず,他社からの依頼に応じてその運用環境を可能な限り再現,かつ攻撃ベクタを強調した環境を用いた5日ほどの演習サービスを提供している.演習場には小型のプラント装置が設置されており,攻撃によってはそこから水が噴き出してくるという.そうした物理的な(!)非常事態への対応力を養うことも,演習の目的であるようだ.
 電力公社のほか,IAIは企業のネットワークに対するサイバー攻撃演習サービスを提供している.IAIの演習では,仮想マシン・仮想ネットワーク上の演習環境を用いて,シナリオベースで攻撃への対応を学べるようになっている.
 電力公社・IAIとも,ベンダを問わずハードウェア・サーバソフトウェアを柔軟に組み替えられる環境を提供しており,有事———つねに有事ともいえる———に備えた訓練に余念がない.

おわりに

 ざっくりとではあるが,イスラエルのサイバーセキュリティ事情を紹介してきた.
 国防上の要請があるため,どうしても緊張感は漂っているし,そこばかり強調したような文章になってしまったが,いい国だと思う.海は綺麗だし,食事も野菜が多く健康的で美味(帰国したらすぐに口内炎ができてしまった).なにより,技術者が必要とされ,尊敬される風土である.サイバーセキュリティ関連の事業を興したいのであれば,移住を十分検討していい.とりあえずビザ申請しておくか…….
 はじめに断ったとおり,私はインテリジェンス活動や最新の脅威分析に携わっているわけではない,しがない学生なので,提示できる情報の解像度はこの程度である.同行したソフトイーサ登さんのレポートも参照されたし.
 そのほかメモと感想:

  • テルアビブ大学の学生のポスターセッション,みんな(セキュリティ分野なのに)機械学習やってて海外でも流行ってるんだなと思った
  • 何の変哲もない(外には看板など一切なし)アパートの一区画を徴発して国家サイバー局が運営されていて流石にクソ興奮した,まあ見学者向けのダミーかもしれないが
  • イスラエル電力公社のSOCではおよそオペレーターの役には立たないだろう攻撃元の国をGoogle Mapにマッピングするシステムが表示されていたが,「可視化はきわめて重要だ.なぜなら,視察にきた海外政府関係者におたくの国からこれほど攻撃されている.ゆえに~とアピールできるからだ」と語っていたのがよかった.nicterやWADJETもそんな感じに使えるのかな
  • 在イスラエル日本国大使館大使公邸にお邪魔したら入口の扉が3つあってモンティ・ホール問題かよと思った
  • 飲み屋でチェイサーに水 (water) を頼んだら毎回ウォッカ (vodka) が出てくるので英語力の低さを呪っていたらロシア系移民のふざけた風習だった
  • エルサレムもテルアビブも治安としては渋谷とかその辺程度
  • 人工知能による意思決定の文脈でadversarial examplesの問題を引き合いに出していた人がいて,やはりセキュリティ分野ではルールベースというか決定木に起こせないとトリアージが効かないから難しいなと思った
  • 死海の名前の由来は「塩分濃度が高すぎて魚が住めないから」だそうだが,湖水の比重が高く多少の風では波立たないため時間が停まっているように見える様子が死を連想させる
  • IED兵士はみんなタボールを抱えているのかと思ったらベエルシェバの検問を除いて警察と同様みなCAR-15系にジェリコだった
  • イスラエルはLGBTに寛容で多様性を尊重する国であるというイメージ戦略なのだろうか,カーナビの地図上でLGBT区域が緑色に表示されるらしい
  • ベン・グリオン国際空港の端末はWindows + IE9でアエロフロート機内の端末はLinuxベース
  • トランジットで立ち寄ったシェレメチェボ空港での入出国審査はロシアだし「Papers, Please」のような感じだと思っていたらそんなことはなかった
  • イスラエル出国審査時にパスポートの顔写真と顔が一致するかスキャンする(?)装置があったが,しっかりaccuracyが出るわけないのでおそらくはハリボテで,裏で人間がチェックしているのだろう
  • アラブ諸国に入国できなくなるという噂のパスポートへのスタンプは廃止されていた

 はい.