本日の情報セキュリティコラム(2014年2月8日)
本日の情報セキュリティコラム(2014年2月8日)
2014年2月8日
【座談会1】
中西 克彦
上野 宣
川口 洋
■まずは自己紹介
上野 セキュリティのリサーチ、セキュリティトレーニングなどをメインでやっています。また、ウェブアプリケーションセキュリティを普及啓発するコミュニティのOWASP Japanのリーダもしており、普段からウェブサイトのセキュリティ向上に向けて活動しています。
中西 社内およびお客様のセキュリティインシデント対応の技術支援、インシデント対応のトレーニング、情報システムのセキュリティ診断などを提供しています。
川口 お二人とも最新の情報を入手していることが活動のキーになると思うんですけど、お二人の情報収集源を教えてください。
上野 ScanNetSecurity (http://scan.netsecurity.ne.jp/) というセキュリティ専門誌の編集長もやっているので、そこでの活動をすることがそのまま情報収集となっています。
[ScanNetSecurity]
http://scan.netsecurity.ne.jp/
※上記リンクをクリックすると別サイトに移動します。
( トークが盛り上がる二人 )
中西 NECグループのCSIRT会議に毎週参加していることと、お客様と直接話すことで最新の情報を収集しています。ISOG-Jのようなセキュリティ事業者が集まる協議会の活動も重要な情報源ですね。実は情報収集能力が非常に高い同僚が近くいることも重要なポイントです。
川口 それはうらやましい。
■ウェブサイトに対する攻撃
川口 では、2013年に発生した事件で気になっていることをお聞きしたいです。
中西 パスワードリスト攻撃がとても問題だと思っています。
※注 パスワードリスト攻撃:あるサイトで入手したログインIDとパスワードのリスト(ファイル)を使い、別のサイトに不正にログインする攻撃として最近注目を集めています。
上野 この攻撃の場合、多数のIPアドレスを使って攻撃してくることもあり、攻撃元のIPアドレスでフィルタするわけにもいかず、ウェブサイト側は頭を悩ませています。ある意味、旬な問題で言い頭の体操になるので、お客様向けのトレーニングで「どう防ぐか?」「どう検出するか?」ということを検討してもらっています。
中西 やはり根本的にはパスワードを複数のウェブサイトで使いまわしていることが原因なので、利用者側のリテラシーを上げることをなんとかしたいですね。
上野 技術的対策としては「リスクベース認証」や「二要素認証」を使うという手もあるよね。最近はそういう製品やサービスの選択肢が増えているようです。効果があるのは確実で、あとは利便性とのバランスを考える必要はありますが。
川口 それらの認証機能を強化する場合、お金がかかるという悩みを聞いたことがあるんですが、どうなんでしょうか。
上野 大きなシステムでないと導入コストがペイしないかもしれない。
中西 せめて、ログイン機能が存在する会員制サイトのようなところはログインした履歴を表示する機能やログインしたらアラートを通知する機能を実装して、ユーザに選択できるようにして欲しい。逆に、ユーザにとって負担になる対策は「パスワードの定期変更の強制」ですね。
川口 それ、私も困ります。強制的に変更させられるのはちょっと…。
上野 最終的にはコストと利便性のトレードオフになると思います。
川口 そのトレードオフは難しいですよね。バランスはどうやって取ればいいんでしょうか。
中西 難しいところだと思います。業界ごとのトップの企業の取り組みがその業界に影響して、他の企業のやりかたを参考にすることになるので、トップを走る企業は積極的にやってほしい。
上野 そのトレードオフを小さくすることがセキュリティ研究者の使命だと思います。
川口 おお~。かっこいい。
川口 話は変わりますが、今年はクレジットカードのセキュリティコードを含むものまで漏えいしている事件がありましたが、いかがでしょうか。
中西 原則としてセキュリティコードを保存してたらダメだよね~。
上野 セキュリティコードを保存していたということはさておき、そういう事件はシステム設計を間違えていたんではないかと思っています。業務とシステムのバランスから事件が発生しているようだと思います。
(以下、個別事案に関する業務とシステムの設計に関する話が盛り上がるが省略)
川口 セキュリティコードを保存しているシステムという実は結構あるものなんでしょうか。
上野 あるある。あってほしくないけど。
中西 実は個人的にあるサービスを使っているんですが、そのウェブサイトはセキュリティコードを保存しているような気がしています。クレジットカード番号を入力したときに決済されるものではなく、レンタルや個人輸入代行業など後で決済されるようなシステムはセキュリティコードが保存されているパターンが多いのではないでしょうか。あ、あとで問い合わせて確認してみよう。
■対策に関する苦労話
川口 ウェブサイトの侵入事件やSQLインジェクションなどの事件が相変わらず報道されていますが、ウェブサイトの対策というのはかなり難しいものですか?
上野 ウェブセキュリティの対策というのは基本的にはやることは決まっていて、「ものすごく目新しい攻撃手法やその対策」みたいなものはここ数年ほとんどありません。基本的なことをどれだけちゃんとやるかが重要。
中西 でも、実際にはその教科書通りの対策ができないところが多い。
川口 どうしてなんでしょう。
中西 予算の問題はもちろん、システムを提供する側にセキュリティに関することを担当する人材もいないことが原因だと思います。システムを全部理解している人がいない。
上野 システム全体が大きくなって、新旧システムのつぎはぎが多くて大変。現実には正攻法だけじゃ答えにならないんで、そういう相談がよくあります。
中西 お客様のセキュリティインシデント対応のサポートをしていても、そのインシデント対応の最中に社内のシステム運用に駆り出されてしまい、インシデント対応が進まないケースがあります。
上野 一方で、「The IT
企業」と言えるような企業のウェブシステムは捨てる前提(作り直す前提)でやっているので、比較的いいものになっているケースがあると思います。
中西 そういうところは将来を見越した設計をやっているよね。ただし、変更しない前提で作っている社内システムや複雑な業務システムのように作りこんだものは対応が難しいよね。
上野 昨年のロシアのカンファレンスに参加したけど、「社内システムはインターネットにつながらないから大丈夫だとみんな思っているけど、意外につながっているから危ない」と言っていた。実は誰もチェックしていないのも心配だよね。
中西 そうそう。
上野 あるIT系ユーザ企業は社内と社外のシステムはフレームワークを使っていて、すべてはそのフレームワークの仕様に影響されています。セキュリティインシデントで外部から専門家を呼んだ場合に、このフレームワークに関する知識が求められるので、そこの理解も大変だと思います。
川口 Webアプリケーションフレームワークと言えば、2013年はStrutsとか問題になってましたけど、アップデートはなかなか難しいのではないでしょうか。
上野 動かなくなるからアップデートしていないところも多いと思う。
中西 それでも何とかアップデート計画を作って実行したり、WAF(Web
Application
Firewall)でしのいだりしているケースもあります。予算を取ってから実施、となると時間がかかってしまうのが悩ましいです。
上野 それができないところはかなりやられ放題なのかもしれない。そして、アップデートできない要因としては、アップデートに関するポリシーを決めていないところも多いし、ミドルウェアやフレームワークは責任の所在があいまいになっているケースがあるように思う。Linuxはディストリビューションによっては、最新版にしているつもりでも古いバージョンのアプリが稼働していることもあるので注意してほしい。
■システム開発の入札の悩み
川口 運用時の悩みは尽きませんね。構築するときにそのあたりの配慮ができればいいとおもうんですが、いかがでしょうか。
上野 構築の段階で言うと、入札制度もなかなか悩ましい問題です。もちろん必要な制度なんですが、とにかく安くということで落札されて悲惨なシステムを作られたケースを見てきました。結局出来上がった後でお客さんが困って「助けてくれ」と相談がくることがあります。お客さんは「他はどうやっているんだろうか」と気にしてしています。どこの事業者がちゃんとやってくれるかわからないことも心配の種だったりするし。
中西 これって2つ問題があると思っています。一つはユーザ側の調達担当者のスキル不足。もう一つは検収するときのチェック項目の不足。せめてチェック項目でもあればおかしなものを作らせないで済むんだけど、そういうものがあっても担当者が知らないことが問題なんですよ。
上野 調達担当の人の教育って重要だよね。
中西 そう、そして教育してもすぐ人事異動で代わってしまうので、なかなか定着しないので困っているところも多い。
上野 やはり、LASDECの「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」が使えると思うのでぜひ使ってほしい。でも、なかなかうまく使えているところもないんだよね。
中西 そのモデルプランを開発会社に渡して、実装することをドキュメント化してもらうといいと思います。これをやってもらうと最低限SQLインジェクションくらいは防げるようなものができるので、使わない手はないでしょう。
上野 これを調達担当者が全て理解する必要はなくて、開発会社に見てもらって、どう開発するかを説明してもらうと良い。ウェブサイトのセキュリティ対策はかなりセオリーが決まっているのでそれを開発会社に把握してもらうことが重要ですね。
■中小企業やスタートアップ企業、都会と地方の問題
川口 お金がないような中小企業とかスタートアップ企業はどうすればいいんでしょうか。
上野 スタートアップ企業はお金をかけるよりもまずはお金をかけて生き残る必要があるので、対策を後回しにすることも選択肢としてはあると思う。サービス立ち上げ時には「狙われませんように」と祈るしかない。もちろん全くセキュリティ対策をやらなくていいという意味ではないですが。
中西 大企業や官公庁のような組織は、何かあったときに「あそこは何もしていなかった」と言われるのはまずいので、最低限のラインみたいなのが欲しいと思っているようです。
川口 ビジネスと業務とセキュリティの問題をどうバランスを取っていくべきなのか難しい問題ですね。
上野 それには指標が欲しい。ある経営者に「『セキュリティ投資は●●円使いましょう』と指示をされた方が楽」と言われたことがあります。予算配分のモデルケースがあると、上司や経営層に説明しやすい。ユーザによっては「セキュリティ診断サービス」や「セキュリティ監視サービス」という存在を知らないところも多い。できれば「IT予算に対する■%」みたいな目安があるとなお良いんじゃないか。日本は横並び意識が強いのでこういう指標ができると対策が進むのではないかと思う。
中西 IPAさん辺りがこういう調査をやってくれると嬉しいんだけど。
上野 だよね~。全然セキュリティ対策をやらなくていいという人は減ってきているように感じるのでいい傾向だと思います。必要だと思っている人は確実に増えているね。
( 何もネタを振らなくても次々と話題が出てくる様子 )
川口 地方の対策が進まないことが問題だという相談も受けたのですが、そっちはどうでしょう。
中西 ある地方でセキュリティの講習をやったときに一世代前のセキュリティ対策のキーワードがよくでており、都市と地方の格差を感じた。やはり地域性、特に予算の問題は大きいんじゃないでしょうか。
上野 地方との情報格差は感じることが多いね。IPAの10大脅威の話はわかりやすくて良いのでとっかかりに使ってほしい。
[2013年版 10大脅威]
http://www.ipa.go.jp/security/vuln/10threats2013.html
※上記リンクをクリックすると別サイトに移動します。
■最後に
川口 最後に読者の方にメッセージをお願いします。
上野 セキュリティ技術者が足りないと言われていますが、身の回りに意外にいますので、もっと身の回りのセキュリティ技術者を活用してください。
中西 興味を持って色んな情報に触れてほしい。やってみたら面白いことも多いので、興味を持ってほしい。
川口 お忙しいところお集まりいただき、ありがとうございました。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。