第4回情報セキュリティEXPOレポート

ケータイからジュラルミンケースまで――
あらゆる機器にセキュリティを組み込め!


宮田 健
@IT編集部
2007/6/6




 重要書類の移動と開封を「ログ」として記録

 ログ管理が必要なのはデジタルデータだけではない。機密情報が入ったバインダやPC自体を配送し、その動きを記録するためのソリューションが展示されていた。

 ヤマトシステム開発が提供する「e-ネコセキュリティBOX」は、高いセキュリティを確保して物を配送するサービスである。専用のボックスには携帯電話のモジュールが内蔵されており、ボックス自身が位置情報を発信するので、現在位置をリアルタイムで把握することができる。

 またボックスを開ける際には携帯電話にて解錠の指示を行う必要があり、誰が解錠/施錠したのかを履歴管理することが可能だ。

開け閉めと現時点での位置をログとして記録できる(クリックすると拡大します)

【参考】
e-ネコセキュリティBOX
http://www.nekonet.co.jp/service/secure/secubox_index.html

 Webアプリケーションの脆弱性チェックはオンラインで行う時代

 クロスサイトスクリプティングやSQLインジェクションなど、Webアプリケーションの脆弱性を解説する資料は多い。しかし、どのようにして脆弱性をチェックすればよいのか分からないという開発者も多いのではないだろうか。

 Webアプリケーションの脆弱性は開発段階で作られてしまう。そのため、開発段階からセキュリティの専門家によるレビューを行うことが必要であるが、現実的には人材の確保が難しいため、結果として運用段階になるまで脆弱性が発見できないことが多い。

 対策としては、開発フェイズで繰り返しセキュリティのチェックを行うことが望ましい。これに対するソリューションが三井物産セキュアディレクションの提供するWebアプリケーションの脆弱性検査のASPサービスである「WebSec ASP」だ。

 WebSec ASPはインターネットを介して検査対象のWebサイトへの疑似攻撃を行い、脆弱性の検査を行うことができるサービスである。あらかじめ検査対象のWebサイトを、HTTP記録ツールにて巡回、そのアクセスパターンを基にWebSec ASPのサイトから特定のパターンの疑似攻撃を実施、その結果発見された脆弱性を一覧で確認することが可能だ。

Webアプリケーションの脆弱性をASP形式で提供する
(クリックすると拡大します)

【参考】
Webアプリケーション脆弱性検査 WebSec ASPサービス
http://www.mbsd.jp/solution/asp/index.html

 組み込み機器のセキュリティ、どうしていますか?

 「組込みシステム開発技術展(ESEC)」でもセキュリティに関連する展示を見ることができた。

 日立ブースにてSELinuxを組み込み機器に搭載する展示が行われていた。展示ではLinuxベースで動くPDA上で、SELinuxを稼働させている様子がデモされていた。

 ネットワークに接続されるデバイスが多様化した現在、組み込みソフトウェアも攻撃の対象となる可能性が高くなった。SELinuxではプロセスの権限を厳密に管理することができるため、脆弱性が狙われ万が一リモート操作が可能な状態となったとしても、プロセスには最小限の権限だけを付与するよう設定ができるため、被害を最小限にとどめることが可能である。

 日立ソフトウェアエンジニアリングではSELinuxに設定ツールのSELinux Policy Editorなどを取り込み、SELinux設定作業の敷居を低くしている。

PDAでSELinuxが稼働している様子をデモしていた

【関連記事】
SELinux Policy EditorでSELinuxを簡単に
(@IT)
http://www.atmarkit.co.jp/fsecurity/special/94seedit/seedit01.html

 ここで興味深い話を聞いた。セキュアOSの展示において、セキュリティ関連のイベントでの反応と、組み込みをターゲットとした展示会での反応が大きく異なっていたということだ。

 組み込みの世界ではまだセキュリティに対する関心はそれほど大きくなく、組み込みOSで実行されるプロセスもrootに相当する特権ユーザーで動いていたとしてもさほど驚きはないそうだ。そのため、SELinuxの説明を行っても、あるべき姿と分かっていてもなかなか手を出しづらい分野であるという空気があるようだ。

 組み込み機器では製品が一度リリースされてしまうと、もし脆弱性が発見されたとしても修正するための仕組みを作ることが難しい。そのためIPA(情報処理推進機構)でも組み込み機器に対するセキュリティ確保のポイントを「組込みソフトウェアのセキュリティ 〜機器の開発等における40のポイント〜」にまとめていた。この中で特権モードによるプログラムの実行を必要最小限にすることや、設計フェイズからセキュリティの専門家を参画させるなどの指針を出している。組み込み業界に限らずすべてのエンジニアに有用な資料となるので、ぜひ参考にしてほしい。

【参考】
組込みソフトウェアのセキュリティ対策のポイント集などをとりまとめ、公表
(独立行政法人 情報処理推進機構 セキュリティセンター)
http://www.ipa.go.jp/about/press/20060518.html

2/2

Index
あらゆる機器にセキュリティを組み込め!
  Page1
セキュリティはデジタルの世界だけで完結しない
ID管理の標準化を目指すSSFCのいま
オフィスの入退場履歴と連動したPC管理
忘れてはならない「紙」による情報流出
Page2
重要書類の移動と開封を「ログ」として記録
Webアプリケーションの脆弱性チェックはオンラインで行う時代
組み込み機器のセキュリティ、どうしていますか?

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH