Tweet

「DNSキャッシュポイズニング」「PCI DSS」など

＠IT編集者が選ぶ2008年必読記事：「Security＆Trust」編

2008/12/24

　＠ITには1年間に多数の技術解説、動向解説の記事が掲載されます。重要ながら見落とされてしまった記事もありますし、いまあらためて読むと別の見方ができる記事もあります。そこで年末年始企画として、＠ITの各フォーラム編集者が推薦する「2008年必読記事」を紹介！ 最初はSecurity＆Trustフォーラムです。

　Security＆Trustフォーラムがお勧めする2008年の必読記事、まずは「DNSキャッシュポイズニング」関係の記事です。＠ITニュースの関連記事「DNSアタック、技術者がまずすべき3つの対策」は「2008年7月、インターネットの世界を根幹から揺るがす大きな問題が公開された」との書き出しで、DNSキャッシュポイズニング攻撃の深刻さを表現しています。

　技術的な解説はSecurity＆Trustフォーラムの「DNSキャッシュポイズニングの影響と対策 前編」と同「後編」が詳しく紹介しています。この記事の執筆者であるInfoblox 藤川浩一氏は「DNSキャッシュポイズニング対策は、インターネットを利用する誰もが意識しなければならない重要な課題の1つとなった、といっても過言ではないと考えます」と指摘します。また影響について「電子メールが正常に届かない」「Webサイトを閲覧できない」「Webサービスの危険性がさらに高まる」「SSLの意味がなくなる」などを挙げています。

　その上で同記事では攻撃の成功率を下げる方策として、「DNSサーバの対策パッチを適用する」「DNSサーバの構成を変更する」などを紹介しています。後編記事ではそのDNSサーバ構成変更の詳細を説明し、具体的な対策方法、設定方法を採り上げています。「過去のベタープラクティスの組み合わせによって十分回避できる可能性」とは藤川氏の言葉です。

　監視が手薄になる年末年始はシステムやネットワークの攻撃者にとって最適な時期。紹介した記事をぜひ対策にご利用ください。

カード業界だけじゃない「PCI DSS」

　2008年に多く耳にしたキーワードに「PCI DSS」があります。「Payment Card Industry Data Security Standard」の略で、一見するとクレジットカード業界に特化したセキュリティ基準のようにも思えます。しかし、カード業界だけでなく、企業一般に広く関わる基準であることは解説記事「5分で絶対に分かるPCI DSS」を読むと分かるでしょう。

　PCI DSSが注目されるのは、求める要件や実装方法が、ほかの基準と比べて具体的、定量的に表現されているからです。執筆者のラック 夏目雅好氏は、そのため「PCI DSSの要件を満たすようにシステム実装し、業務を行うことで、最低限確保すべきセキュリティレベルを達成できる」と指摘しています。PCI DSSは確かにカード会員データを保護の対象としていますが、一般企業であればそれを個人情報に置き換えることで、PCI DSS基準でのセキュリティレベルのチェックと実装が見えてくるというわけです。夏目氏は「今後、PCI DSSを活用する動きはさらに加速していく」と予想しています。

　また、PCI DSSを使った具体的なセキュリティチェックの例を、解説記事「Apacheセキュリティチェック、PCI DSSの場合」が紹介しています。アプリケーションサーバ「Apache」をチェックする際の確認ポイントを詳細に説明していて、実務に携わる人の参考になるでしょう。

高度化するセキュリティ技術を学び直す

　攻撃と防御のいたちごっこが続くセキュリティ技術の世界は知識の陳腐化が想像以上に早いと言えるでしょう。2008年も新しい攻撃が次々に登場し、これまでの防御技術を飛び越えていきました。しかし、新しい攻撃もこれまでの攻撃技術をベースに開発されるケースが多いのも事実。やはりベーシックな知識の習得は必須です。Security＆Trustフォーラムでは2008年「5分で絶対に分かるバッファオーバーフロー」が多く読まれました。攻撃手法として有名なバッファオーバーフローですが、あらためてその原理と対策の説明が求められると詰まってしまう人も多いのでは？ わずか5分で確認できます。

　基礎技術の解説記事ではほかにDNS/DHCPを説明する「もう一度見直したいDNS／DHCP」や、2003年に猛威を振るった「Blasterワーム」を振り返る「夏が来れば思い出す……」、コンピュータウイルスとは何か？ をその歴史と共に解説する「プレイバックPart.I：ウイルスのかたち、脅威のかたち」などが2008年の必読です。