第4回情報セキュリティEXPOレポート
ケータイからジュラルミンケースまで――
あらゆる機器にセキュリティを組み込め!
宮田 健
@IT編集部
2007/6/6
重要書類の移動と開封を「ログ」として記録
ログ管理が必要なのはデジタルデータだけではない。機密情報が入ったバインダやPC自体を配送し、その動きを記録するためのソリューションが展示されていた。
ヤマトシステム開発が提供する「e-ネコセキュリティBOX」は、高いセキュリティを確保して物を配送するサービスである。専用のボックスには携帯電話のモジュールが内蔵されており、ボックス自身が位置情報を発信するので、現在位置をリアルタイムで把握することができる。
またボックスを開ける際には携帯電話にて解錠の指示を行う必要があり、誰が解錠/施錠したのかを履歴管理することが可能だ。
  |
| 開け閉めと現時点での位置をログとして記録できる(クリックすると拡大します) |
| 【参考】 e-ネコセキュリティBOX http://www.nekonet.co.jp/service/secure/secubox_index.html |
Webアプリケーションの脆弱性チェックはオンラインで行う時代
クロスサイトスクリプティングやSQLインジェクションなど、Webアプリケーションの脆弱性を解説する資料は多い。しかし、どのようにして脆弱性をチェックすればよいのか分からないという開発者も多いのではないだろうか。
Webアプリケーションの脆弱性は開発段階で作られてしまう。そのため、開発段階からセキュリティの専門家によるレビューを行うことが必要であるが、現実的には人材の確保が難しいため、結果として運用段階になるまで脆弱性が発見できないことが多い。
対策としては、開発フェイズで繰り返しセキュリティのチェックを行うことが望ましい。これに対するソリューションが三井物産セキュアディレクションの提供するWebアプリケーションの脆弱性検査のASPサービスである「WebSec ASP」だ。
WebSec ASPはインターネットを介して検査対象のWebサイトへの疑似攻撃を行い、脆弱性の検査を行うことができるサービスである。あらかじめ検査対象のWebサイトを、HTTP記録ツールにて巡回、そのアクセスパターンを基にWebSec ASPのサイトから特定のパターンの疑似攻撃を実施、その結果発見された脆弱性を一覧で確認することが可能だ。
 |
| Webアプリケーションの脆弱性をASP形式で提供する (クリックすると拡大します) |
| 【参考】 Webアプリケーション脆弱性検査 WebSec ASPサービス http://www.mbsd.jp/solution/asp/index.html |
組み込み機器のセキュリティ、どうしていますか?
「組込みシステム開発技術展(ESEC)」でもセキュリティに関連する展示を見ることができた。
日立ブースにてSELinuxを組み込み機器に搭載する展示が行われていた。展示ではLinuxベースで動くPDA上で、SELinuxを稼働させている様子がデモされていた。
ネットワークに接続されるデバイスが多様化した現在、組み込みソフトウェアも攻撃の対象となる可能性が高くなった。SELinuxではプロセスの権限を厳密に管理することができるため、脆弱性が狙われ万が一リモート操作が可能な状態となったとしても、プロセスには最小限の権限だけを付与するよう設定ができるため、被害を最小限にとどめることが可能である。
日立ソフトウェアエンジニアリングではSELinuxに設定ツールのSELinux Policy Editorなどを取り込み、SELinux設定作業の敷居を低くしている。
 |
| PDAでSELinuxが稼働している様子をデモしていた |
| 【関連記事】 SELinux Policy EditorでSELinuxを簡単に (@IT) http://www.atmarkit.co.jp/fsecurity/special/94seedit/seedit01.html |
ここで興味深い話を聞いた。セキュアOSの展示において、セキュリティ関連のイベントでの反応と、組み込みをターゲットとした展示会での反応が大きく異なっていたということだ。
組み込みの世界ではまだセキュリティに対する関心はそれほど大きくなく、組み込みOSで実行されるプロセスもrootに相当する特権ユーザーで動いていたとしてもさほど驚きはないそうだ。そのため、SELinuxの説明を行っても、あるべき姿と分かっていてもなかなか手を出しづらい分野であるという空気があるようだ。
組み込み機器では製品が一度リリースされてしまうと、もし脆弱性が発見されたとしても修正するための仕組みを作ることが難しい。そのためIPA(情報処理推進機構)でも組み込み機器に対するセキュリティ確保のポイントを「組込みソフトウェアのセキュリティ 〜機器の開発等における40のポイント〜」にまとめていた。この中で特権モードによるプログラムの実行を必要最小限にすることや、設計フェイズからセキュリティの専門家を参画させるなどの指針を出している。組み込み業界に限らずすべてのエンジニアに有用な資料となるので、ぜひ参考にしてほしい。
| 【参考】 組込みソフトウェアのセキュリティ対策のポイント集などをとりまとめ、公表 (独立行政法人 情報処理推進機構 セキュリティセンター) http://www.ipa.go.jp/about/press/20060518.html |
 |
2/2 |
| Index | |
| あらゆる機器にセキュリティを組み込め! | |
| Page1 セキュリティはデジタルの世界だけで完結しない ID管理の標準化を目指すSSFCのいま オフィスの入退場履歴と連動したPC管理 忘れてはならない「紙」による情報流出 |
|
 |
Page2 重要書類の移動と開封を「ログ」として記録 Webアプリケーションの脆弱性チェックはオンラインで行う時代 組み込み機器のセキュリティ、どうしていますか? |
 |
Security&Trust記事一覧 |
TechTargetジャパン
- 実録、「Hardening Zero」の舞台裏 (2012/5/25)
コラムの更新頻度を落として何をやっていたかって? 「守る技術」に焦点を当てたこんなイベントを開催しました - 複雑化、巧妙化する脅威への対策は? (2012/5/23)
データ保護や標的型攻撃対策、クラウドセキュリティ……「第9回 情報セキュリティEXPO」の会場で見つけた製品を一挙に紹介 - 仮想化がはらむ新たなリスク (2012/5/17)
仮想化に伴って生じるセキュリティやパフォーマンスへの影響を慎重に考慮し、うまく制御していく方法を紹介します - 新入生も新入社員も勉強会に寄っといで! (2012/5/14)
週末ともなれば至るところでセキュリティ系勉強会やCTFなどのイベントがあり、ツイートも盛り上がりました
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。