『
東洋経済オンライン 3/28(火) 6:30配信 東出 拓己
https://headlines.yahoo.co.jp/article?a=20170328-00164981-toyo-bus_all
グーグルが雇った「ハッカーの姫」とは何者か
●米グーグルでセキュリティの専門家として働くパリサ・タブリス氏。プログラミングをするようになったのは大学に入ってからだという(撮影:梅谷秀司)
「セキュリティ・プリンセス」――。
米IT大手、グーグルの “雇われハッカー”、
パリサ・タブリズ氏の名刺にはこんな肩書が記されている。
赤く染めた髪に鋭いまなざし。
「お姫様」というよりは「女戦士」といった雰囲気を醸し出す。
タブリズ氏は約10年間、グーグルのセキュリティチームで自社のウェブアプリケーション製品におけるセキュリティ向上を担ってきた。
これまで彼女が手掛けてきたのは、それらの製品に対するハッキング。
アプリ上の脆弱な部分を発見して修復する。
これが雇われハッカーといわれる理由だ。
現在はウェブブラウザ「クローム」のセキュリティチームリーダーとして、ウェブ全体やブラウザの安全性を高める開発に取り組みつつ、社内のセキュリティ教育などを行っている。
■広告を消したくて、ハッカーになった
ダブリズ氏が初めてハッキングをしようと思ったのは、大学生だった時。
自作のウェブサイトの両脇に出てくる広告が気に食わなかったからだという。
「小さいころからキャンバスいっぱいに絵を描くのが好きだった。
このときも、広告をなくして”キャンバス”(コンピューターの画面)をすべて自分の作品で埋め尽くしたかった」(タブリズ氏)。
大学でコンピューターサイエンスを専攻していたタブリズ氏は、見事広告のブロックに成功した。
「今は広告収入で稼いでいる会社にいるのに、最初は広告をブロックしようとしていたなんて皮肉だわ」
と笑う。
以来、ウェブサイトなどの脆弱性を見つけ出すことにパズルのような楽しさを感じるという。
そんな彼女は今、グーグル社員に向けたセキュリティ講座を開いている。
授業は「ハッカー的思考」を鍛えるところから始まる。
最初のお題は、自動販売機への攻撃方法だ。
「お菓子用の自販機から、効率よく商品を盗み出すにはどうすればいいでしょうか」。
彼女はそう生徒に問いかける。
「ハンマーで自販機を壊す」。
「偽の通貨を用意する」。
授業では様々な回答が飛び交う。
中でもタブリズ氏の印象に残った回答が、自販機の中を水で満たし、水と商品を一緒に吸い出すというもの。
成功するかどうかよりも、発想の独創性に惹かれたという。
■なぜ自販機を題材に?
自販機の例を用いる理由は3つある。
一つ目が、ハッキングと同様に様々な攻撃の手法を考えることができるため。
二つ目が、防御策を考える際に、コストとリスクのバランスを考えるきっかけになるから。
守衛を雇って一日中自動販売機の前に張り付かせることもできるが、自動販売機の中身の価値を考えると、割に合わないのは当然だ。
最後に三つ目が、自販機という身近な例を用いることでセキュリティに対する心理的なハードルを下げられる点だ。
「セキュリティというとどうしても身構えてしまうが、誰にでもできるクリエイティブな活動だ。
自販機を例にとることで、”悪者”の思考をしやすくなる」(タブリズ氏)。
現在タブリズ氏が担当しているウェブブラウザのクロームは、全世界で20億人以上に使われている。
社内ハッカー以外にも、外部のハッカーがバグを見つけて報告してきた際にはグーグルが報奨金を提供するプログラムも用意されている。
報奨金はバグの種類に応じて様々だが、ひとつのバグに対して500ドル(5万円強)程度から、最高では10万ドル(1000万円強)にも及ぶ。
■「http」と「https」はこんなにも違う
タブリズ氏の問題意識は日本にも向けられている。
多くの企業のセキュリティ体制が盤石とはいえないからだ。
通常、ウェブサイトのURLの冒頭には「http」という通信プロトコル(コンピューターが互いに通信するための共通言語のようなもの)が表示されるが、
このhttpにはセキュリティ上の問題が多い。
httpを使ってウェブサイトとブラウザ間でクレジットカード情報などをやり取りした場合、
「子供ですら簡単に、やり取りされるテキストデータを盗み見ることができる」(タブリズ氏)
という。
通信プロトコルを安全性の高い「https」へと変更すれば、ウェブサイトとブラウザがセキュリティの鍵を共有し、その鍵を使って情報を暗号化することで、第三者が外部から情報を盗み見ることはできなくなる。
だがグーグルの調査によれば、日本でのhttpsの普及率が調査対象国の中で最も低い。
クローム上でhttpsを経由して読み込まれたページの割合を調べると、
トップである米国の61%(2016年10月末時点)に対して、
日本は35%。
その他の調査対象国は、メキシコ(59%)、インド(56%)、フランス(54%)、ロシア(51%)、トルコ(48%)などだった。
日本の普及率の低さが目立つ。
日常生活でよく使うサイトがhttps対応ではないということも多いだろう。
コストや技術的なハードルからhttpsの導入を見送る企業は多いが、
「大手企業が導入し始めれば、日本の状況も変わる」(タブリズ氏)。
もはや日常生活に欠かせないインターネットにおいて、セキュリティはウェブサイトの根本的な品質を左右する。
日本企業にも、タブリス氏のような”ハッカー”の存在が求められそうだ。
』
