 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
山口氏「インターネットインフラのセキュリティを高めるには相互理解が必要」 |
||||||||||||||||||||||
|
||||||||||||||||||||||
|
~Network Security Forum 2003 ディスカッション
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
山口氏は、日本の4000万世帯中、1000万以上が何らかの形でブロードバンドを利用している現状を紹介、「インターネットは、特定領域向けの情報通信サービスや趣味の領域を越え、生活に密接したインフラになっている」とした。その上で規制・法制、ソフト開発、ISP、リスク評価、セキュリティ団体など各方面からの参加により、それぞれの役割についての議論が交わされた。 ■ 事故前提の社会システム作りにおける政府の役割
同氏は「アメリカではセキュリティの観点として“サイバーテロから国を守る”で国内のコンセンサスがとれているが、この戦略を、ソフトウェアのパワーを土台にする日本ならではの基本目標の核になるものにしたい」と語った。 戦略の中身は、e-japan戦略の下で本格稼働を始める電子政府へ向けてセキュリティ基盤を整備するもので、3つの戦略に基づいた42の具体案からなっている。基本的には、「事故は起こりうるもの」との前提に立ち、被害の最小化、回復力を確保する社会システム作りを進めるというもの。 具体策に含まれるインシデントレスポンスの関連施策について、「セキュリティへの取り組みは、一企業や個人の主体で対策が可能な範囲を越えた時代になりつつある。これからは官民連携して、新たな基盤の構築を逃げ腰ではなくしっかりやっていく。この実現のために政府の役割を拡大し、欧米や韓国と比べて少ない人員の拡充も行っていきたい」と語った。 ■ ワーム対策には情報収集と分析が重要
同氏はまず「ワーム感染の広がりが生み出すトラフィックの量が、個人の帯域の拡大によって“トラフィックの暴力”と呼べるほどになり、ISPとして商用設備と顧客システムのどちらを守るべきか、インシデント対応での認識が変わりつつある」と語った。 Blaster対策では、「脆弱性の情報公開からExploitコードの登場まで10日、ここからワーム発生まで約2週間。弊社でも社内2万台のうち40台が感染した。どれだけ注意を喚起してもこの数字がゼロにはならないだろう」とした。一般ユーザーへの対応についても「400万通の注意喚起メールを送ったが未対策なユーザーも多かった。狙われる脆弱点によっては、今後もワームが大規模に広がるだろう」とした。 また亜種の発生の際には「ワームによるpingが行き場を失ってネットワークが混雑し始め、独自にコードを分析したが翌日まで米からは情報がこなかった。世界でもこの情報をいち早くつかんだのは日本人で、どうも日本が発信源だったらしい」とし、「これからも自分たちでやらなきゃならない状況が訪れるだろう」と語った。 同氏はこれらの経験から、「情報収集と分析が非常に重要」とした。「対象無差別のワームには、脆弱性の情報や悪性コードの公開など、何らかの予兆がある。時間のある間に、この分析と対策を行うべき」と語った。また「インターネットのトラフィック異常を観測する複数の機関と、観測点が違う複数の結果をつきあわせる国レベルの研究期間が欲しい」との提案も行った。 ■ マイクロソフトのセキュリティロードマップ
同社の調査では、「悪用コードの開発者は、修正プログラムをリバースエンジニアリングしており、しかも複数のチームで行っている」とのことで、「悪用コード公開が不正な行為であるとのコンセンサスを形成していきたい」とした。また脆弱性情報の公開からワームの登場までの期間が短縮されていることから、今後は修正プログラム公開を月1回とし、企業などでのスケジュール化による適用の改善を図っていく。また9カ月以内に、インストーラ改善による再起動減少や、サイズの縮小を行ったツール・パッチの改善を行う。 このほかWindows XP SP2では設定の見直しに加え、感染マシンをネットワークに参加させないシールド技術を今後9~12カ月で導入する予定。このほか、従来から“わかりにくい”とされているWindows Updateを、プログラム面から根本的に改善して、さらにOfficeほかの修正プログラムも統合した「MS Update」を新設する。 開発面でも、コーディングの仕方をDB化して自動検出するナレッジを構築して、メモリのバッファーオーバーランなど従来の脆弱性の減少も図るなど、設計、開発、出荷、サポートの各段階でセキュリティの強化を行っていくとしている。 同社ではBlaster対策として、新聞・TVでの告知、400万通のメールと100万枚以上のCDメディアの配布を行い、電話問い合わせは1日14万件、Webへのアクセスは累計数千万を数えるが、それでも「いまだにパケットは減っていない」とし「やはり1ベンダーの取り組みでは限界がある」とも語った。 ■ セキュリティインシデント後の対応が重要
同氏の所属するJPCERTでは、「ユーザーにもっとも近い顧客対応窓口を持つISPや国内の製品ベンダーとの連携を重視している」という。JPCERTでは海外から連絡を受け、ネットワーク侵入などの踏み台にされたユーザーへの連絡のため、関連ISPへの仲介を行ったり、製品の脆弱性発見者とベンダーとのコーディネートを行うことが多く、「業務の6~7割を占めている」という。 ■ 脆弱性情報の優先提供は是か非か 脆弱性発覚時における情報の優先提供対応について、高木氏と佐藤氏の間で意見が分かれた。海外から電話での参加となった佐藤氏は、「一時に唯一の情報を公開するワンタイムワンメッセージ」を方針に挙げ、たとえ機密保持契約に基づいて脆弱性情報を優先提供しても、「関わる人間や会社の数などもあり、現実的には情報が機密にされるのは難しい」としており、また「利用者からの損害賠償を機密保持契約に基づいて二次請求することも、得意先を相手にはやりにくい」とした。
最後に山口氏が、「相互理解の促進のため、ユーザーの立場からも声を発することがインフラとしてのインターネットのセキュリティを高める」としてディスカッションは締めくくられた。 ■ URL Network Security Forum 2003 http://www.jnsa.org/nsf2003/ 奈良先端科学技術大学院大学 http://nara.aist-nara.ac.jp/ 情報セキュリティに関する政策、緊急情報(経済産業省) http://www.meti.go.jp/policy/netsecurity/ 独立行政法人産業技術総合研究所 http://www.aist.go.jp/ マイクロソフト株式会社 http://www.microsoft.com/japan/ エヌ・ティ・ティ・コミュニケーションズ株式会社 http://www.ntt.com/ 日本ヒューレット・パッカード株式会社 http://www.hp.com/jp/ JPCERTコーディネーションセンター http://www.jpcert.or.jp/
( 岩崎 宰守 )
|
