開発NOTE：ペネトレーションテスト支援ツール CATSploit ｜人を知る｜研究開発｜研究開発・技術｜企業情報

研究開発

R&D NOTE

開発NOTE

SCROLL

河内さん、木藤さん、井坂さんが並んでいる写真

サイバー攻撃シナリオの
自動数値化で耐久試験が容易にペネトレーションテスト
支援ツール
CATSploit

情報技術総合研究所：木藤圭亮
情報技術総合研究所：井坂佑介
情報技術総合研究所：河内清人

インターネットがビジネスからプライベートライフまで広く浸透した今、サイバー攻撃の脅威が深刻度を増しています。しかも攻撃手段は日々巧妙化しており、絶えず対策の強化が迫られる状況です。

三菱電機は、犯罪者が繰り出す多様な攻撃手段を、テストで容易に試せるよう支援する画期的なツールを開発しました。社会の安心・安全の担保につながるこのツールの研究開発に取り組んだ、情報技術総合研究所の3人が語ります。

情報技術総合研究所
情報セキュリティ技術部主席研究員木藤圭亮

「専門知識がないとテスト手法の
選択が難しい」という課題の解決を
目指しました

サイバー攻撃の脅威はとどまるところを知らず、自社のシステムがいつ犯罪者の標的にされてもおかしくありません。もちろん、どの組織もセキュリティ対策を実施していますが、多くのシステムには脆弱性が存在しています。

セキュリティ対策の実効性を確かめるため、ホワイトハッカー（コンピュータやネットワークなどの高度な知識・技術を善良な目的で活用するセキュリティエンジニア）が現実の攻撃に模して擬似的侵入を試みる「ペネトレーションテスト」は、実施に際して高度な専門知識を必要とし、そう簡単には行えないという悩みをよく聞きます。

この課題を解決しようと当研究所の情報セキュリティ技術部で開発したのが、ペネトレーションテスト支援ツール「CATSploit（キャッツプロイト）」です。最大の特長は、テストの目的に応じた攻撃のシナリオを自動的に生成し、その有効性を当社独自の手法で侵入側の視点から攻撃シナリオの適合度を評価・数値化する点です。この機能は三菱電機が世界で初めて（2023年12月5日時点、当社調べ）開発したもので、専門知識を持たないエンジニアもスコアを参照してテストを容易に選択できるようになります。

情報技術総合研究所
情報セキュリティ技術部主任技師長河内清人

「将棋AIから得たアイデア」と
「先輩のチャレンジ」を活かしました

実は三菱電機では、実際の攻撃手段に即してシステム脆弱性を検出できるセキュリティ診断ツール「ISAT（アイサット）」を2004年にリリースしていました。その製品開発を担っていたのが私です。

「ISAT」の開発を手掛けた2000年代初めはサイバーの脅威が世に知られ、企業での対策も始まっていた時期です。「ISAT」は現実の攻撃に沿った診断という生々しさがまだ受け入れられず、それほど日の目を見ることはありませんでした。

「ISAT（アイサット）」当時のカタログ

そこから時代が変わり、多くの企業がサイバー攻撃で多大な損害を被ったと報道されるに従い、侵入者が繰り出す攻撃に耐えられるかチェックするテストが求められるようになりました。そこで、高度な知識がなくてもテストを実施できることを目指した「CATSploit」の開発プロジェクトが始動したのです。

理論研究は2019年にスタート。その理論をもとにツールの概念や基本設計を考案して評価を重ね、プロトタイプを作って検証を始めたのは2021年のことです。

対象システムへの最適なテストを簡単に選べるようにしたいと考えたきっかけは、実は将棋でした。大学院時代、元プロ棋士の教授から対局の優勢・劣勢を判断して数値で示すAI（人工知能）の話を聞きました。このAIのことが頭にあり、攻撃手段のシナリオ評価を自動的に数値化できる仕組みがあればテスト選択が簡単になると思いついたのです。

「ISAT」は「CATSploit」とは概念が異なるのですが、内部の仕組みは参考にできる部分が多くありました。20年近く前に現実の攻撃を前提とする“尖った”製品を開発していた先見の明を知り、時代を先取りする力と、脈々と蓄積されてきた研究開発の歴史に感動したことを覚えています。

INFORMATION TECHNOLOGY
R&D CENTER

情報技術総合研究所
情報セキュリティ技術部研究員井坂佑介

研究者としての成長を、チームの雰囲気と
手厚いサポートが後押ししてくれました

開発が本格的に動き出していた2022年に入社しました。大学の研究室の教授が情報セキュリティ技術部と共同研究を行っており、三菱電機とは入社前から縁がありました。ただ当時は、研究所というと高いレベルの知識やスキルが求められるのだろうと不安も多かったのです。

実際に入社すると、テスト自動化の仕組みづくりという夢のある話がテーマで、大のゲーム好きである私の憧れや探究心がくすぐられました。また職場も、誰もが心の底から楽しみながら研究開発に携わり、良いものを作り出していこうという半ばマニアックにも感じられるような雰囲気にあふれていて、ゲーム好きの感覚にマッチしました。

もちろん仕事の上では、入社後すぐにテスト自動化手法の検討と「CATSploit」の実装を担い、苦労と同時に力不足の悔しさも感じました。ですが、先輩の工夫で「よろず相談室」と銘打った疑問点や悩みを気軽に相談できる窓口を設けてくれるなど、充実したサポートが自分のポテンシャル発揮につながったと実感しています。

“憧れの大舞台”での夢がかない、さらなる高みを目指します

木藤研究者としては研究成果の学会発表が一つのゴールですが、ことサイバーセキュリティでは「Black Hat」という世界的なセキュリティカンファレンスがあり、そこでの発表も大きな夢です。今回も開発中、チーム内ではいつかBlack Hatで発表したいと話していました。そして2023年12月、ロンドンで開催された「Black Hat Europe 2023 Arsenal」で実際に発表の機会を得られ、夢がかなった喜びを感じました。

INFORMATION TECHNOLOGY
R&D CENTER

井坂「Black Hat」は学生時代にセキュリティの研究をしていた頃から憧れの大舞台でした。会場で聴講するだけでも十分と思っていたところ、初参加で発表をして、しかも聴講者から高い評価をいただけたので、大きな手応えがありましたし、とにかく嬉しかったですね。

木藤「CATSploit」は概念実証を引き続き行っており、今後は多種多様な攻撃手段をもれなく評価できるよう充実を図っていきます。ゆくゆくは三菱電機が世に送り出す社会インフラやFA機器も含め、サイバー攻撃で狙われるさまざまなシステムの安全性を確かめられるツールに成長させ、社会の安心・安全に貢献したいと考えています。

────三菱電機の魅力と、三菱電機を目指す皆さんに向けた思いを教えてください。

多彩な分野への「興味」と「チャレンジ精神」で、よりよい未来につながる研究開発を！

「三菱電機は家庭から宇宙まで幅広い事業分野を持っているので、さまざまな分野に興味があり、常に新しいことにチャレンジしていく人と一緒に仕事をしたいと思っています。組織としても風通しがよく、挑戦できる環境が用意されており、学んできた知識や身につけてきた技術で社会課題を解決したいと望む人におすすめしたいですね」

「セキュリティに特化するのではなく、日頃から最新の技術ニュースやツールにアンテナを立て、情報を収集できる人が向いています。情報技術総合研究所は研究への興味を最大限尊重してくれるので、新しい分野にも積極的に挑戦でき、毎日わくわくしながら働くことができます」

「閉ざされた環境で研究していると、その成果が世の中でどう役立っているのか実感しにくいこともあるでしょう。その点、三菱電機は事業部と研究部門の距離が近く、製品としてリリースされることでお客様の困りごとの解決や社会貢献を具体的に体感できるので、仕事のやりがいを強く意識できる会社です。

今は2人の子がおり、在宅勤務を多めにしているのですが、個人の事情に応じて柔軟に勤務できる点も働きやすさにつながっています。この環境のもと、好奇心旺盛で気になりだしたら調べなければ気がすまない人、新しいことに物怖じしない人、そしてものづくりが好きな人たちと、未来に向けて研究開発に取り組んでいきたいと思っています」