図表1:小菅祐史氏
「次世代を担うエンジニアたち」では、日本のソフトウェア産業の未来を担うエンジニアたちにフォーカスし、新時代のエンジニア像を明らかにしていく。
第4回では、情報処理推進機構(IPA)認定 スーパークリエータで、Webサイトの脆弱性を検出するツール「Amberate」を作った小菅祐史氏に話を伺った。
-未踏ソフトウェアに応募したきっかけとは?
大学4年生の際に卒論で、SQLインジェクションという攻撃に対するWebサイトの脆弱性を検出するツールを作成しました。そのコードが1万3千行ぐらいあり、周りの人から未踏ソフトウェアに応募してみてはどうか?と勧められたのがきっかけです。
図表2:Amberate:Webアプリケーション・セキュリティの自動検証フレームワーク
-Amberateを作ろうと思ったきっかけとは?
Webサイトの脆弱性は非常に多く、現在70%のWebサイトがセキュリティに問題を抱えているという現状があります。その点を改善していきたいと考え、作り始めました。
-Amberateの特徴とは?
まず、Amberateでは実際にWebサイトに攻撃をして、その動向を観察するという方法を選択しています。実際に、第3者が攻撃する際には、そのWebサイトごとに方法が異なります。
そこでAmberateも第3者が実際に攻撃するときのように、個々のWebサイトに合わせて攻撃を生成します。この作業を出来る限り自動化することを目的に作っています。
個々のWebサイトに合わせて攻撃を生成することで、ピンポイントに強力な攻撃を行うことができます。また、不要な攻撃の実行を行わないため、検証作業の負荷を減らすことができます。また、特定の攻撃だけ試すということも可能ですので、Webサイトの負荷を考慮してテストを行うことも可能です。
図表3:Amberateの手法(出典:AmberateのWebサイト)
-セキュリティに興味を持ち始めたのは?
高校生の時に、大学受験の個別指導を受けていた講師の方から、コンピュータについての知識を教えてもらいました。その当時、Code Redなどのコンピュータウイルスが流行っていて、その仕組みに興味がありました。それが、セキュリティについて学び始めたきっかけです。
-最初に学んだプログラムは?
講師の方に勧められて、情報処理技術者試験に使用されているアセンブリ言語のCASLII(キャッスルツー)を最初に学びました。プログラムの原理から理解できるため、その知識はとても役立ちました。
-勉強は書籍などですか?
セキュリティ関連について言えば、ツールや対策の書籍はありますが、ウイルスの原理まで記載している書籍は日本では少ないのが現状です。そのため、原理や仕組みを調べる際は、海外から情報を入手することが多いですね。
図表4:小菅祐史氏のWebサイト
-今、気になっている技術は?
注目しているのは、Webブラウザの進化です。ブラウザのセキュリティ機構や、HTML5によって新たに生まれる脆弱性対策は、大変興味がありますね。
-これまでで役に立っていることは?
昔、市場でアルバイトをしていたことがあって、それは良い経験になりました。自衛隊から勧誘もあるぐらい、肉体系の仕事でしたが、根性ではないですが、やり遂げる力がついたように思います。
-気になっているエンジニアの方はいますか?
未踏ソフトウェアのクリエイタの方たちですね。生まれてくるアイデアが面白いですし、それぞれの方が特化したスキルを持っていますので、とても刺激になります。
Twitterにしても、ブログにしてもそうですが、自分自身で発信できる人たちが面白いですね。今後、自分もさまざまな発信をしていきたいと思っています。
図表5:小菅祐史氏
■プロフィール
慶応義塾大学 理工学研究科 博士課程
日本学術振興会 特別研究員(DC1)
独立行政法人情報処理推進機構(IPA)認定 スーパークリエータ
小菅祐史
2008年度上期未踏ユースでの採択をきっかけに、Webサイトの脆弱性検出ツール「Amberate」の開発を開始。その後、AMBERATE.ORGを設立し、代表兼チーフ・アーキテクトとしてAmberateの性能向上に従事。脆弱性検出サービスの提供も行っている。未踏スーパークリエータ。
■参考リンク
ブログ:小菅祐史 – www.yujikosuga.com
Twitter:Yuji Kosuga
ピンバック: Tweets that mention #4 小菅祐史氏 Webサイトの脆弱性を自動で検出せよ! | Techzine.jp -- Topsy.com
ピンバック: Techzine.jpに取材していただきました | Yuji Kosuga's Blog