サイバーセキュリティー専門メディア「ScanNetSecurity」に紹介されました。

このコンテンツは、株式会社イードが運営するサイバーセキュリティ専門メディアScanNetSecurityに2023年2月8日に掲載された記事を転載したものです。

脱PPAPのリリーフエース、国産セキュリティ企業 パスロジ「クリプタン」が両立した高いセキュリティと抜群の利便性

まさかそんなと思うかもしれないが優れたセキュリティ製品ほど説明が上手でないケースがある。

反対に、一山いくらの凡百なプロダクトの場合、恐らく作っている本人も売っている当人も、一山いくらであることをよく知っているからか、乏しい兵をうまく使って戦(いくさ)に臨むではないが、説明やプレゼンが優れていることが多い。素敵なキャッチコピーがついていたりもする。要は、技術が低かったりあるいはたいした機能もない以上、もはや口がうまくなるくらいしか活路がないのだと思う。

高い技術は謙虚さと相性がいいということが本質的な原因かもしれない。

ここ最近で一番、良いセキュリティ製品なのにもかかわらず、その真価が今ひとつ理解されていない、あるいは市場に伝わっていないと感じた製品のひとつが、パスロジ株式会社が 2022 年秋にリリースしたファイル暗号化ソフト「クリプタン」であった。

同製品は、パスワード付き ZIP ファイル送付と、パスワード後送を組み合わせたセキュリティ対策、いわゆる「PPAP」の代替となることを目的とした製品なのだが、どうもその一番の魅力が伝わっていないのではないかと(同社には悪いのだが)勝手に本誌は感じていた。

そもそもにして PPAP の代替ソリューションという時点でどこかに、「PPAP という先発投手の失敗をなんとかせねば」という、まるで敗戦処理投手のような生真面目さと悲壮感が漂うのは致し方のないところではある。

「セキュリティシアター」という言葉があって、一見意味ありげに見えるが、投資や運用管理のコストに見合ったセキュリティ向上をもたらさない、あるいはデメリットの方がメリットを上回る、そんなセキュリティ対策の「悪手」を意味する言葉だが、外国人のサイバー犯罪者に分析され、マルウェア Emotet に悪用されるにまで至った PPAP こそ、正真正銘「メイド・イン・ジャパン・セキュリティシアター」の最たる例であろう。

そんな脱 PPAP 製品として登場したクリプタンを見て編集部が感じたのは、ありえないミラクルが起こったというか、あたかも敗戦処理としてマウンドに上がった投手が、完璧なピッチングで、あれよあれよという間にゲームを挽回して、ついにはチームを勝たせてしまったような、目の覚めるような爽快感だった。

そしてクリプタンは2023年2月、全ての機能を無料でウェブから使える「クリプタンWeb」を新たにサービスラインナップに加え、暗号化ソフトウェアから暗号化サービスにさらなる進化を遂げた。

本誌 ScanNetSecurity 編集長上野が、クリプタンを開発・販売するパスロジ株式会社の代表取締役社長 小川 秀治(おがわ ひではる)氏に話を聞く機会を得ることができた。


上野

はじめまして。

小川

はじめまして。よろしくお願いします。上野さんはトライコーダで、セキュリティ教育やトレーニング、脆弱性診断などをなさっていると伺いました。

上野

他にペネトレーションテストとかも。

小川

セキュリティの専門家ですね。

上野

バリバリのエンジニアです。小川さんもエンジニアでいらっしゃるんですよね。

パスロジ株式会社 小川社長(右)と上野
小川

キャリア的には技術畑をずっと歩んできました。パスロジ株式会社では、基礎技術の開発は私が行います。特許取得から実装のプロトタイプまでを自分がやって、サービスインするときやその後のサーバー管理などは担当のスタッフに任せています。

上野

よりテクノロジー側にいるんですね。パスロジ株式会社の強みについてお聞きしていいですか。

小川

使いやすいことが大事で、使いやすくないとセキュリティレベルは落ちますので、まず「使いやすくて」、さらに「安くて」、そして「セキュリティ100%」のものをいつも目指しています。だから基本的には「世界初」の商品しか作りません。そういう意味で、商品力が非常に強い会社です。強みのもう一点は、社内でしか作ってない。開発を外部委託していないんです。

上野

全部御社内で、国産でやるということですね。

小川

そういう点ではアメリカにおける「FBIの命令があればデータを提供しなければいけない」とか、何と言えばいいでしょう「Government Free」とでも申し上げればいいのか。何か明確な言葉があるといいんですが。

上野

日本の官公庁とかですと、セキュリティのソフトウェアは「国産」という選択肢で選びますね。

小川

また、全技術者が社内にいるのでサポート力が強い。何かトラブルがあったら、開発にあたった技術者に直接訊ねることができるので、すぐ問題解決して、玄人好みの回答をすることができます。そもそも弊社のお客様は、長い場合約20年も前から認証のセキュリティにお金をかけていただいてきたお客様です。つまり皆さんとても技術にお詳しいんですよ。そういう方々が質問してくると、こちらもちゃんと対応できないと馬鹿にされてしまう。(笑)

上野

どうやら相当「手強い」お客さんがいらっしゃるようですね。(笑) ところで2022年秋にリリースした「クリプタン」はどんなきっかけで開発されたんですか。

小川

元々クリプタンを作ろうと思ったのはパスワードでの暗号化をやめたかったんです。大事な情報があると、じゃあ暗号化しましょうとなりますが、パスワードで暗号化したら、総当たりで破れちゃう。

上野

自分が生きているうちかどうかは別として、パスワードは必ず破られますよね。

小川

確率論です。ですので、それは美しくないな、と。破られない暗号にするにはどうしたらいいかなと思ったとき、昔からあった「PGP」、公開鍵暗号を併用したシステムが使えると思って、それをWindowsのバックアップファイルの暗号化を採用して作ってみよう、という話から始めました。

上野

やっぱりPGPからのアイデアなんですね。クリプタンを見たとき「PGPっぽい」って思いました。

小川

バックアップとPGPなのでWindowsアプリが必要ですから、クリプタンがWindowsアプリになったのはそういうことです。ちょうど同時期にPPAP廃止の話が出ていました。それで、PPAPを公開鍵PGPの拡張版でできないかなと考えて「こうしたらできる」という着想を得ました。それで設計して、すぐ特許を取得しました。 実際のアプリケーション開発は、ひばら みつひろ 氏が「アタッシェケース」という暗号化ソフトを10年前から作っていらして、ブログを拝見していたら「公開鍵を使って暗号化できないか」というまったく同じことを考えていらした。ブログには「無理だった」という結論がありましたが、「うちの技術ならできるよ」と、この方ならと思って声をかけました。元々のWindowsアプリ「アタッシェケース」とパスロジが契約して、クリプタンを作っていただきました。私とひばらさんで、ずっとチャットでやり取りしながらプロトタイプを作って、鍵サーバーを作って、完成させました。ですので強度は、公開鍵と共通鍵のハイブリッドレベル(※)、上野さんがご存知の通りの水準です。

※ 編集部註:公開鍵と共通鍵のハイブリッド・・・共通鍵の処理の速さと公開鍵の鍵配送の容易さという両方式の長所を活用し短所を解消した暗号方式

クリプタンの基本機能は、相手のメールアドレスを指定して暗号化し、そのメールアドレスを持っている人しか復号できない仕組みです。

●クリプタン製品概要

 クリプタンは、脱PPAPを目的にWindows用のファイル暗号化ソフトウェアとして開発され2022年に提供開始した。

 2023年、暗号化の堅牢さはそのままに、ブラウザで手軽に利用できる無料ウェブサービス「クリプタンWeb」が加わり、ファイル暗号化ソフトウェアからファイル暗号化サービスに進化している。

 どちらも使い方は非常にシンプルで、ドラッグ・アンド・ドロップでまず暗号化を行う。その際に、復号を許可するメールアドレスを設定するのが特徴のひとつ。復号できるユーザーをメールアドレスで限定することができる。

 また、これはもうひとつにして最大の特徴でもあるのだが、暗号化の際にパスワードの設定は行わない(行うことができない)。暗号化が完了すると「.p4c」という拡張子の、パスロジ独自技術による暗号化ファイルが生成する。このファイルをメールで送ってもいいし、どんな経路でもファイルは渡すことができる。

 受信者がメールあるいは他の経路で暗号化ファイルを受け取ったら、そのファイルをドラッグ・アンド・ドロップして今度は復号を行う。その際に 8 桁のワンタイムパスワードの入力を求められる。このワンタイムパスワードは、それに先立って受信者が自身のスマホにインストールし、メールアドレスで登録しておいた「4Login(フォーログイン)アプリ」(Google Authenticator のようなトークンソフトと同様の働きをするパスロジが開発した認証基盤のソフトウェア)を立ち上げる。

 4Login アプリには「00」から「99」までの 2 桁の数字が 1 時間更新でランダムに表示される 5 × 5 計 25 マスのマトリクスが存在し、受信者が事前に決めておいた「パターン」(たとえば 25 マスの四隅を左上端から時計回りなど)で入力すれば復号が完了。このようにして、受信者が持つスマホ(HAVE)と、受信者しか知らないマトリクスのパターン(KNOW)による 2 要素認証が行われる。

4Loginアプリ起動画面、パターンが「25マス四隅を左上端から時計回り」であれば ワンタイムパスワードが「29304857」となる (※四隅のマスがグレーになっているのはパターンを説明する上の効果であり、実際は全てのマスが白色)
上野

クリプタンの「鍵サーバー」はPGPで言うとキーリングですか。

小川

そうです。上野さんはセキュリティの専門家の方なので、あまり公式ホームページでは言ってないことをひとつ申し上げます。さっきの4Loginの「アプリの中に」秘密鍵があります。

上野

アプリというとスマートフォンの?

小川

そう。4Loginのアプリの中に秘密鍵があります。ですから秘密鍵の管理がいらない。今のPGPの問題点とか鍵サーバーの問題点とかは、自分で公開鍵を作るときに秘密鍵と公開鍵をセットで作りますが、通常は秘密鍵の管理をしなきゃいけない。

上野

そうですよね。それが結構大変です。

小川

それをなくしたんです。ハッキングするなら、スマートフォンをハッキングするしかありません。

●上野が考える「クリプタン」の破り方

上野

バックアップはどうするんですか?

小川

暗号化してうちのバックアップサーバーに入ってます。そちらはスマホ側の位置情報を使っているので、基本的には弊社の管理者でも復号できません。そのぐらいのレベルになっています。

上野

どうやって破ろうかなって、今、考えています。(笑) 方法としては、スマホをハックするしかありませんね。

小川

結局ハッキングしようと思ったら、メールをハックするか、スマホをハックするか。あとはうちの鍵サーバーをハックしても、直接メリットはないだろうと思うんだけど、そのぐらいですかね。

上野

これだけハッキングするコストが高いと、認証側から破ろうとは思わないかもしれないですね。私は、暗号系の技術に関しては、いろんなセキュリティの分野の中で日本は強い方で、グローバルで戦えると思っています。是非普及して欲しいと思います。本日はありがとうございました。

小川

ありがとうございました。


クリプタンの製品サイトでは五つの特長が挙げられている。以下の通りである。

(1)正しい相手しかファイルを開けない (2)不正入手されても情報漏えいしない (3)パスワードの送信・伝達が必要ない (4)誤送信しても、あとから開けなくできる (5)受信者が環境に応じた受取方法を選べる

本誌も全く同意見で、特にパスワードをそもそも設定しない(したくてもできない)ことで、大文字 小文字 英語 数字 記号 八桁以上なんとやらの、パスワードの設定と管理そして送付の煩雑さと、それが呼び込む脆弱性を一掃して見せたのは、他の PPAP 代替製品と明確に異なる一頭地を抜く点である。

冒頭で「いい製品でも説明が上手とは限らない」という話をした行きがかり上、取材に協力いただいたパスロジ社にも小川社長にも誠に申し訳ないのだが、この五つのメリットに、さらに本誌なりに、「クリプタンの三つの良さ」を生意気にも付け加えてみたい。

ひとつは、何よりもまず、鍵配送問題をスマホを持っていればOKにした点は、パスロジのような本格派国産セキュリティR&D企業以外には、なかなか真似できない技術水準である点だ。たとえクリプタンと似たようなものを作れる会社はあってもクリプタンを作れる会社はパスロジの他に絶対に存在しないだろう。

ふたつめは、ファイルの受け渡しに得体の知れない(といったら失礼かもしれないが)クラウドストレージを一切使わなくていいというのも実に優れた利点であると感じた。地政学的リスクなどもサイバーの世界でささやかれる昨今、本誌読者なら恐らく、一点の心の曇りもなく嬉しく楽しくクラウドストレージサービス(特に海外のサービス)を使っている幸せな人など少数派であると推測するからだ。

そして最後の三つめが一番重要なところなのだが、何より奮っている(ふるっている)と編集部が考えたのは、年がら年中触っているスマホで出来る、という点である。現代人にとってメガネや結婚指輪などを除いて、スマホほど肌身離さず持ち歩き、そして触っている道具など他にあるまい。無くせばすぐに気がつくのは財布以上だし、電池切れがないよういつも充電を怠らない。つまり、どんな物理トークンよりはるかにきちんと管理されているのだ。すなわち「所持認証」の本質を追求しながら、高い利便性をさらりと実現したこのクレバーさには拍手を送りたい。

「PPAP」というセキュリティシアターの弥縫策(びほうさく:失敗を一時的に取り繕う策)的な製品かと思いきや、そもそも PPAP のような悪手を産んだ最大の理由のひとつ、パスワードの設定・管理・送付という宿痾(しゅくあ)を、独自技術で煙のように消し去り、さらに二要素認証でセキュリティ水準を大きく向上させながらも、誰もが持つスマホを活用し高い利便性を獲得することに成功したこのクリプタンという製品、冒頭で書いた通り、敗戦処理投手だったはずが、奇跡を起こしてチームを勝たせてしまったかのような、あっと驚く爽快感を感じさせるプロダクトである。

こんな試合が見たかった。俺もお前も。しかも純国産技術。もう親指を立てるしかあるまい。

技術の高さやコンセプトの骨太さ、斬新さだけではない。細部に至るまでクリプタンは作り込まれている。全てに言及する紙幅は到底ないが、そのひとつが「ログインプロテクト」機能である。クリプタンのワンタイムパスワードによる認証は、パスワード生成のためスマホで 4Loginアプリを起動した際の 60 秒間しか認証を受け付けない仕様になっている。つまり総当りを試みること「すら」できない。このように徹底的に安全を追求し作り込む姿勢は、デジタルプロダクトながらあたかも精巧な機械式時計を見たような思いに打たれる。

対談で上野が「これだけハッキングするコストが高いと、認証側から破ろうとは思わないかもしれない」と語った通り、金と技術のある海外のサイバー攻撃組織が将来日本を狙い、その仕事中にクリプタンで暗号化されたファイルを見つけたとたん、絶望し頭を抱えたり、苦い顔をしたり、舌打ちをする、そんな愉快痛快な未来があるかもしれない。

脱 PPAP を実現しながら、さらに高いセキュリティ水準をしかも抜群の利便性で実現した点において、セキュリティ製品にそもそも満点などありえないのだが、クリプタンこそ PPAP 代替サービスの決定打のひとつと言える製品であることは間違いない。

そんな感触を持って取材を終えた編集部だったが、後日パスロジ社から、次のような驚くべき連絡のメールが届いた。思わず二度見したそのメール曰く「この前の対談では社長を前になかなか上野編集長も本音をおっしゃりづらかったのではないかと感じています。ぜひ辛辣なご意見も含めて伺いたくご連絡申し上げました」

やれやれ。どこまでも謙虚な人たちである。だからこそこんな製品を作れるのかもしれないが。

上記の質問に対する上野の回答は、次のような素っ気ないほどシンプルなものだった。まるで「何回言わせるんですか。もう(笑)」そんなつぶやきが聞こえるような気がした。

「辛辣な意見というのは特にないですよ。利便性が高く、使いやすくて良いソリューションだと思っています。広まるとよいです」

パスロジ株式会社 代表取締役社長 小川 秀治氏(左)とScanNetSecurity編集人 上野宣

ScanNetSecurity(スキャンネットセキュリティ)
1998年に創刊された日本で最も歴史の長いサイバーセキュリティ専門メディア。独自のハッカー視点の編集方針が支持され、大手企業や中央官庁等の情報システム部門やセキュリティ管理者、技術者に愛読される。

上野 宣(うえの せん)
奈良先端科学技術大学院大学で山口英教授の元で情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の株式会社トライコーダを設立し、ペネトレーションテストやサイバーセキュリティトレーニングなどを提供する。併行して、OWASP Japan代表や一般社団法人セキュリティ・キャンプ協議会理事・顧問などを歴任、人材育成を目的とした社会貢献活動に長期に渡って取り組んでいる。

このコンテンツは、株式会社イードが運営するサイバーセキュリティ専門メディアScanNetSecurityに2023年2月8日に掲載された記事を転載したものです。