ＦＦＲＩ-Tech-Meeting #1

技術戦略室の川崎です。

2012年9月から始まった新しい取り組みの一つであるＦＦＲＩ-Tech-Meeting #1の模様をお伝えします。

今回は各セッションの紹介に入る前に、ＦＦＲＩ-Tech-Meeting参加部門について、簡単にご紹介させていただきます。

まず、技術戦略室ですが、セキュリティ新技術の研究や技術シーズの開発を担当する部門です。研究成果の一部は、Monthly Researchとして毎月Webサイトでも公開しています。

プロダクト開発第一部は、FFR yaraiをはじめとした弊社の製品開発に携わる部門となります。

プロダクト開発第二部は、製品の周辺技術に関わるセキュリティ技術の調査・研究や、製品プロトタイプ開発に従事し、製品レベルの底上げに貢献しています。

先端技術研究部は、標的型攻撃マルウェア検査サービスやAndroid端末セキュリティ分析サービス、FFRI Expert Seminarといったサービスや、官公庁、大手企業からの委託研究、セキュリティ関連の受託開発などを担当する部門です。

ＦＦＲＩ-Tech-Meetingは、これらの技術部門から各1名をアサインし、毎月1回開催される社内勉強会です。

※「ＦＦＲＩ-Tech-Meeting」の活動の趣旨等については、前回の記事をご参照ください。

ここからは本題のセッションの紹介に移ります。

今回のアジェンダは、以下のとおりです。

---

15:00 - オープニング by 鵜飼

【第1部】

15:05 - [P] kBouncer: Efficient and Transparent ROP Mitigationの紹介 by 鈴木（技術戦略室）

15:30 - [P] WinDbgの活用法 by 秋竹（プロダクト開発第一部）

【第2部】

16:05 - [D] 激論! ド～する?! セキュリティ教育 by 本郷（先端技術研究部）

16:30 - [P] FFR yaraiの性能比較と競合EMET3.5の実力とセキュリティ業界が滅びる日 by 愛甲（プロダクト開発第二部）

※タイトルの冒頭についている[P]はプレゼンテーション、[D]はディスカッションで、質疑応答まで含めて、1セッション最大25分となっています。

---

まずは、代表の鵜飼からオープニングの挨拶があり、一人一人のエンジニアが自らの技術力を高め、他社の追随を許さない最先端の技術を常に追求していくことがＦＦＲＩの企業価値の一つであり、ＦＦＲＩ-Tech-Meetingの場を有効に活用するようにといった趣旨の檄がありました。

1番手の技術戦略室の鈴木からは、Microsoft BlueHat Prizeを受賞したVasilis PappasによるkBouncerについての論文に関する技術的紹介がありました。

脆弱性攻撃の緩和技術としては、既にDEPやASLRがWindows OSに実装されていますが、これらを回避する目的でROP（Return Oriented Programming）という攻撃手法が既に存在します。ROP対策は、幾つかのアプローチがありますが、その一つとして提案されているのが、今回紹介されたkBouncerです。

Intel製CPUに搭載されているLBR（Last Branch Recording）という機能に依存しているため、LBRが搭載されていないCPUでは利用できないなど、幾つかの制限事項はあるものの、ROP対策として有望な技術の一つです。

▽Vasilis Pappasの論文

　http://www.cs.columbia.edu/~vpappas/papers/kbouncer.pdf

▽「Microsoft BlueHat」については、下記URLをご参照ください。

　technet.microsoft.com/ja-jp/security/cc261637.aspx

　http://www.microsoft.com/security/bluehatprize/

　http://itpro.nikkeibp.co.jp/article/NEWS/20110804/363510/

2番手はプロダクト開発第一部の秋竹で、「WinDbgの活用法」に関する説明がありました。

WinDbgは、マイクロソフト社が無償で提供している強力なデバッガーですが、一般的には、覚えなければならないことが多くて使いこなすのが非常に難しいツールです。今回のセッションでは、そんなWinDbgの様々なTIPSの紹介等が中心で、WinDbgに関する基本的なコマンドから、その応用例.NET Frame Workのデバッギングまでが解説・実演されました。

3つ目のセッションでは先端技術研究部の本郷より、「激論! ド～する?! セキュリティ教育」と題して、弊社で提供しているFFRI Expert Seminarに関する問題提起とディスカッションが展開されました。

FFRI Expert Seminarは、弊社が設立当初から提供しているセキュリティ技術者向けの有償トレーニングです。マルウェアの動的解析や、リバースエンジニアリング、脆弱性分析などのコースがあり、一般的なセキュリティ技術者向けというよりは、そこから二歩三歩踏み込んだレベルの技術者を育成するためのトレーニングです。

Expert Seminarでは、0-day攻撃や新種マルウェアといった新たな脅威に対抗するためのノウハウをご提供していますが、この分野は日進月歩で進化しており、現在のコース内容もそれなりのボリュームがあります。また、各コースを学んでいただくための前提知識を事前にお伝えしてはいるものの、受講者の知識レベルにも幾分バラつきがあり、演習時間を延長するケースもあるといった課題がありました。

そこで、最新動向を必要十分に盛り込みつつ、受講者の方に今まで以上に効率良くノウハウを学んでいただくためにはどのように改善していくべきかといったことが議論されました。

なお、今回のディスカッションは結論を出すことを目的としたものではありませんでしたが、ディスカッション内容を元に先端技術研究部でさらに議論を交わし、コース内容の見直しが検討されることになっています。

最後のセッションは、プロダクト開発第二部の愛甲から「FFR yaraiの性能比較と競合EMET3.5の実力とセキュリティ業界が滅びる日」という刺激的なタイトルでプレゼンテーションが行われました。

セッションは、大きく3つのパートに分かれており、最初のパートでは、各アンチウイルス製品の検出率や対応領域の分析から、FFR yaraiが今後目指すべき姿についての提案、二つ目にマイクロソフト社のEMET 3.5の分析から見たFFR yaraiのZDPエンジンとの違いについての説明がありました。

そして、最後の「セキュリティ業界が滅びる日」では、例えば、脆弱性攻撃やマルウェア攻撃を100％防御可能な技術ができたらセキュリティ業界は滅びるけれども、そういった業界の動向に左右されない技術力を会社のコアコンピタンスとして提供していけるよう個々人がもっと努力すべきであるという内容で、冒頭の鵜飼からのメッセージとも重なるもので締めくくられました。

今後もＦＦＲＩ-Tech-Meetingの模様を随時お伝えしていきます。

関連記事

FFRI-Tech-Meeting #0