アプリケーションセキュリティは複雑なテーマ

“国家がクラッキングする時代”の防衛策とは〜SANS

2007/07/17

 米SANS Instituteは7月17日より東京で「SANS Future Vision 2007」を開催(18日まで)。このために来日したSANS Institute代表のアラン・パーラー(Allan Paller)氏は、報道関係者を対象とした説明会で、悪化を続けるサイバーセキュリティの現状に改めて警鐘を鳴らした。

sans01.jpg SANS InstituteのDirector of Research、アラン・パーラー氏

 SANS Instituteはセキュリティ関連のトレーニングや認定で広く知られるほか、さまざまなセキュリティ専門家の協力を得てセキュリティ関連の調査や公的機関への助言を行っている。

 「個人から集団へ」「愉快犯から金銭目的へ」というサイバー犯罪の傾向はよく紹介されるが、パーラー氏はさらに、サイバー犯罪の対象がモバイル機器や社会インフラの制御システムに広がろうとしていると指摘した。

 「モバイル機器への攻撃で金銭を手にする方法はまだ見出されていないが、おそらく機器をロックし、解除する代わりに金銭を要求するケースが出てくるだろう。制御システムについては、インターネットへの接続を誰もが否定するが、実はほとんどがつながっている。また、独自プラットフォームからWindowsへの移行が進み、攻撃がしやすくなった」。

 一方、サイバー犯罪には単なる犯罪集団だけではなく、テロリストや国家が関わるようになってきたと同氏は話した。「テロリストは犯罪組織と同じ手口を使って、爆弾のための資金を調達している」(パーラー氏)。また、国家の関与という点では、2003年から長期間にわたって行われた米国軍事関連組織への攻撃(当時「Titan Rain」と呼ばれた)が好例だとした(パーラー氏は2005年末、この攻撃におそらく中国政府が関与していると指摘した)。

 対策としてパーラー氏はまず、アプリケーションセキュリティの強化を挙げた。「セキュアなコードを書くことを学校で学んだプログラマーはほとんどいないはず。Webアプリケーションの70%にセキュリティ上の欠陥があるともいわれている。クラッカーは対策の強化されているOSからアプリケーションに焦点を移している」。パーラー氏はこの問題がプログラマ個人のレベルでは解決できないとし、11カ国の360以上の組織が協力して安全なコーディングの認定試験を開発している例を紹介した。

 また、企業や組織におけるセキュリティパッチのインストールが遅れがちで攻撃を許してしまう理由について、パーラー氏は「複合的」と表現。アプリケーション導入時の設定が個々に異なるために、パッチを各設定について検証する必要があること、さらにセキュリティパッチを導入するとセキュリティ設定がデフォルトに戻ってしまうこと、などが問題だという。米国政府はその購買力を利用して、「政府機関が使うコンピュータは標準的な設定のみで十分なセキュリティが保たれること」などを、マイクロソフトをはじめとするベンダに義務付けているという。

 エンドユーザーのセキュリティに対する認識の甘さにより、管理者を装った発信元からのセキュリティ対策を促す電子メールで、正しいURLを示すテキストにhrefタグとして埋め込まれた不正サイトのURLをクリックしてしまうなどの行為が、組織のセキュリティを脅かすことがある。ニューヨーク州政府などが実施した対策は、こうした電子メールを実際に送ってユーザーに実地体験させること。単なる通知よりもはるかに高い告知効果が得られたという。

 一般企業が2007〜2008年にかけて行うべき対策として、パーラー氏は次の点を挙げた。

  • IPS、ネットワークアクセス管理、ネットワークモニタリング、脆弱性検査、ディスクドライブの暗号化などはこれまで通り運用する
  • 契約をツールとして用いて、購入するシステムの設定におけるセキュリティを確保するとともに、セキュアなシステム上でのアプリケーションの動作を取引先に保証させる
  • セキュリティに対する意識は経験させることで植え付ける
  • プログラマーやアウトソース先、ソフトウェア供給元のセキュリティ関連スキルをテストすることを考える

関連リンク

(@IT 三木泉)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)