連載
» 2014年08月21日 18時00分 UPDATE

重鎮の話から緩いイベントまで:ITセキュリティの最先端、Black Hat USA 2014レポート (2/3)

[谷崎朋子,@IT]

セキュリティはもうからないし、誰も幸せにならない?

 今回のBlack Hatに登場したもう一人の重鎮は、暗号研究の大家、ブルース・シュナイアー氏だ。シュナイアー氏は、経済学と心理学の側面からセキュリティの現状をひも解いた。

 経済学では、特にセキュリティ業界に関係ある項目として「レモン市場」を挙げた。レモン市場は、アメリカの経済学者ジョージ・アカロフが唱えた理論だ。

 例えば中古車の売買において、中古車の状態は運転の仕方やメンテナンス頻度、事故率などによって異なるが、これらの情報は買い手から見えづらく、買い手は品質を平均レベルと想定し、購入額も平均額以上は支払わない。だが、品質を低く見積もられた上に買いたたかれる市場で、高品質な中古車の保有者は売らなくなっていく。これが繰り返されることで、市場の中古車はどんどん低品質・低価格になるというものだ。

 「ITセキュリティも同じだ。中身の違いが買い手からよく理解されないため、唯一分かりやすい価格に判断基準をおき、より安いものが買われている」(シュナイアー氏)

2014bh_03.jpg Co3 Systemsの最高情報セキュリティ責任者のブルース・シュナイアー氏

 心理学では、「プロスペクト理論」が取り上げられた。これは、リスクを選ぶか否かを判断するときの心理で、無条件で1000ドル手に入る場合は、「ギャンブルで倍にできる」と提案されても断り、逆に無条件で1000ドル失う場合は、「ギャンブルで負ければ損失が倍になるが勝てば損失ゼロ」と提示されると、ギャンブルを選ぶという理論だ。

 「後者はまさに、セキュリティ製品を購入するときの企業の考え方。対策に予算を出してくれと経営層に持ち掛けても、『先月何も起こらなかったのに月額利用料を支払うのは無駄。むしろコストの損失を回避したいから、何も発生しない方に賭ける』という判断が下されてしまう」(シュナイアー氏)

 総合すると、企業は低品質の製品を申し訳程度に導入するか、最悪の場合は対策すらせず、ひいてはセキュリティ業界に未来はないことになってしまう。

 だが、希望はあるとシュナイアー氏は言う。その希望の一つが、インシデントレスポンスだ。

 「高度な戦略やツールを使って誰もが軍並みの攻撃を実行でき、セキュリティ製品のみでは守りきれない現在、リアルタイムに状況を判断して対処できる『人』の重要性が高まっている。戦術も企業文化もネットワークも異なる環境において、レスポンスは完全に自動化できない。消防や医療のように、人間が主体となりながら、その活動を技術が支える。そんな仕組みが作れるのが、インシデントレスポンスだ」(シュナイアー氏)

 (活動や結果が理解しやすいので)より良いサービスを提供できる企業が評価され、企業の対策レベルも向上する。「双方が恩恵を得られる、良いスパイラルに転換できるかが今後の課題」と、同氏はまとめた。

日本人唯一の発表者がArsenalにブース出展

 講演にお腹いっぱいになったら、展示会場を歩き回るのも楽しい。中でも面白かったのが、自作セキュリティツールを開発者が自ら紹介する「Arsenal」会場だ。

 Arsenalは、「武器」という意味だ。会場には攻撃可視化ツールやフィッシングツール、ペンテストツールなど、過去最高の54のツールが2日間、午前、午後の部に分けて展示され、多くの参加者の興味を誘った。

2014bh_04.jpg 常に混み合っていたArsenal会場

 そのArsenalで、2年連続ブース出展をかなえたのが、マクニカネットワークスの凌翔太氏だ。今年はプレゼンテーションの時間も設けられ、開発ツールのアピール機会を獲得した。

2014bh_06.jpg マクニカネットワークス セキュリティ研究センター 主任技師の凌翔太氏。凌氏の説明に参加者は興味津々

 展示していたのは、2013年も紹介したというRATシミュレーター「ShinoBOT」の最新版「ShinoBOT Suite」だ。ボットがネットワークに入り込んでからC&Cサーバーと通信するまでの一連の流れをシミュレーションするツールで、RATシミュレータだけでなく、ダウンローダー、ドロッパー、エンクリプター、C&Cサーバー、偽ファイルなど、全てがバンドルされている。「脆弱性をスキャンして穴を探すMetasploitとは違い、不正なショートカットからPowerShellをキックし発動させる」(凌氏)

2014bh_05.jpg ShinoBOT Suiteの機能

 「最近のマルウェアはセキュリティ対策を巧妙に回避してくる。セキュリティ製品を導入して終わりの旧来の姿勢では、防ぎきれない。むしろ前のめりで取り組むことが重要だ」。そう述べる凌氏は、その意義を決済権限のある上層部に理解してもらえるよう、本ツールを開発したと述べる。

 「顧客先でデモンストレーションすると、システムのかなり深いところまでマルウェアが入り込んでいるのが見えて、驚きとともに対策の重要性を納得してもらえる」(凌氏)

【関連リンク】

マルウェアの視点で見るサンドボックス:

合法マルウェアで実感「リアルとサンドボックスの違い」

http://www.atmarkit.co.jp/ait/articles/1404/18/news004.html


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。