エンジニアtype - エンジニアのシゴト人生を考えるWebマガジン

「セキュリティ関係者は知恵の拡散に従事せよ」Black Hat創設者Jeff Moss氏からの提言

公開

 

2014年に入り、高速増殖炉「もんじゅ」のコンピュータウイルス感染による情報漏えいや、また、4月9日にはWindows XPサポートが終了するなど、ビジネスから各家庭まで今まで以上に情報セキュリティが注目を浴びている。

そんな中、世界トップクラスのセキュリティ専門家による情報セキュリティ国際会議CODE BLUEが2014年2月17日、18日に東京で開催された。 海外のセキュリティカンファレンスが日本で開催、というケースはよく見られるが、このCODE BLUEは日本発祥という点で新しい。

発起人は篠田佳奈さん。非英語圏の優秀なエンジニアの発掘・育成をしたいという彼女の意思は、医療用語で「緊急招集」を意味する『CODE BLUE』と技術(CODE)を介して海(BLUE)を越えるという2つの意味を持ったイベント名にも表れている。

2月17日の基調講演に登壇した、Black Hat & DefCon 創立者で、ICANN最高セキュリティ責任者も務めるJeff Moss氏の講演でも、今後のセキュリティのあり方を医療に例えて説明していた。

Jeff Moss氏によると、医療的な予防・公衆衛生の考え方は、システムのセキュリティにも応用できるという。セキュリティに携わるエンジニアが持つべき医療的な考え方とは何なのか、講演内容から紐解いていく。

単一部署でのセキュリティ対策は限界の時代に

情報セキュリティ国際会議CODE BLUEに登壇したJeff Moss氏Jeff Moss氏によると、ネットワークが広がりすぎた今の時代で、自社内の専門の部署のみでセキュリティ対策を行おうとすること自体がナンセンスなのだという。

下記はIMPが発明された1969年から現在までのネットワークの広がりを示した図である。

1969年当時のネットワーク環境

1969年当時のネットワーク環境

1975年当時のネットワーク環境。IMPやTIPのおかげで長距離でネットワークが結べるように

1975年当時のネットワーク環境。TIPや衛星通信の発展のおかげで長距離でネットワークが結べるように

1977年にはマルチプロセッサコンピュータの普及でネットワークはさらに複雑に

1977年にはマルチコアプロセッサコンピュータの普及でネットワークはさらに複雑に

誰もがインターネットにアクセスできるようになった2011年にはもう誰も把握しきれない状況に

誰もがインターネットにアクセスできるようになった2011年にはもう誰も把握しきれない状況に

「Googleですらすべてのネットワークを把握し得ないこの現代、どんな攻撃をどこから受けるか、またその際どんな対応をすべきかは社内のセキュリティ担当者のみで管理するのは難しいでしょう。だから他部署と協力すればいいのです」

Jeff Moss氏は癌治療の発展の経緯を例に挙げてこう話す。
「昔の癌治療では、“医師1人で癌を治す”という考え方にもとづいて処置や研究が行われていました。しかし今では“関係者全員で癌を管理する”という考え方が一般化しています。根治できないものという意味では癌もセキュリティも同じではないでしょうか。公衆衛生ではないですが、セキュリティにかかわる人たちが“関係者全員で管理する”という同じ方向を向いて取り組まなければ共有は進みません」

サイバー攻撃を受けた場合、取引先との契約破棄の判断や訴訟の準備などが必要になる場合も考えられる。

その際、セキュリティ担当者だけで対応するというのは実際問題、かなり難しいだろう。普段からいろいろな部署と可能性を相談し、いざ事が起こった時にすぐに行動できるよう、行動指針を決めておくことが重要である。

Jeff Moss氏いわく、「セキュリティ担当者は白血球的な動きを」

またJeff Moss氏はウイルス対策についてセキュリティに携わるエンジニアの重要性についても次のように話した。

「ウイルス対策はそのまま、インフルエンザの予防接種です。世の中には3種類の人がいます。1、全くウイルス対策をしていない人。2、自分のネットワーク内のみで対策を行っている人。3、外部に接続した状態でウイルス対策を行っている人です」

1、全くウイルス対策をしていない人は、家庭内でPCを使って外部に接続している人であり、この人がウイルスに感染した場合、ネットワークを通じ、外部にも悪影響を及ぼす可能性がある。

2、自分のネットワーク内のみで対策を行っている人は、ウイルスに感染する可能性は低いが、外部に接続していないため、社会的に貢献することもない。

3、外部に接続した状態でウイルス対策を行っている人は、自分のPCのウイルス対策をすることで外の世界にウイルスをばら撒く危険性も排除できるため、社会的にも貢献度が高い。

予防接種の重要性

予防接種をする人が多ければ感染は食い止められる

「多くのセキュリティエンジニアは3に属しているでしょう。3の人たちにお願いしたいのは、PCのウイルス対策の方法を1の人たちに享受することです。公衆衛生の考え方と同じで、まずは伝染病を広めない工夫をしなければいけません。そのため、われわれセキュリティに携わる人たちが白血球のようにウイルスを排除しなくてはいけないのです」

社会で共有することの重要性

Jeff Moss氏は、上記の分類で言うと多くの人が1と2の間にいるという。

「20年前から予防の重要性を説いてきましたが、まだ世界は3には到達していません。20年経って分かりましたが、これはわたしの独力では無理です。行政の協力が必要です」

DNSSEC、DANE、IPv6の普及が今後のセキュリティの鍵を握る

DNSSEC、DANE、IPv6の普及が今後のセキュリティの鍵を握る

マルウェアなどの導入でウイルス対策を行う場合、もちろんコストがかかる。全体最適を目指すならDNS応答の偽造を見破るDNSSECやセキュリティ証明のDANE、より細かいアドレス設定のIPv6などの対策を社会が進めていく必要があるという。また、知識の共有の場を設けることも重要だという。

「いつも不思議に思うのですが、みんな進んで献血は行うのに、知識の共有はしない。人を救うためのものを社会で共有するという意味では同じなのにいまいち普及しないのはなぜなのでしょうか」

また、Jeff Moss氏はセキュリティ対策の未来についてこう語る。

「わたしのセキュリティ啓蒙に費やした今までの20年は残念な結果に終わりましたが、20年後には『安全な世の中になった』と笑って話せるようにしたいですね。20年後には医学が進歩し、癌が撲滅されているかもしれません。セキュリティの世界でもそれができるかどうかはセキュリティに携わるすべての皆さんにかかっています」

取材・文・撮影/佐藤健太(編集部)