Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

Googleにおけるセキュリティへの取り組みを語る


 「RSA Conference Japan 2008」が4月23日・24日の2日間、都内で開催された。24日の基調講演には、米Googleのエンタープライズセキュリティ/コンプライアンス担当ディレクターであるスコット・ペトリ氏が登壇。「インターネットはワイルドウエストにあらず」と題して、Googleにおけるセキュリティへの取り組みについて語った。


機能を制限するのではなく、プロセスをコントロールすることが重要

米Googleのエンタープライズセキュリティ/コンプライアンス担当ディレクターであるスコット・ペトリ氏
 講演の中でペトリ氏は、Web 2.0の登場などITをとりまく世界は大きく変化し、iPhoneやBlackBerryといった新しいツールをはじめ、Googleのさまざまなサービス、Skype、ブログなどを利用するユーザーは確実に増加しているとIT環境の変化に言及。しかし、脆弱性やリスクは相変わらず存在しており、ITのプロフェッショナルには旧来とは異なる新しいセキュリティ対策が求められていることを強調する。

 「これまで企業のITプロフェッショナルは、外部のツールやサービスを禁止する方法で責任の所在を明らかにし、セキュリティを維持してきました。しかし、技術の“民主化”が進み、家庭で利用しているツールやサービスを、生産性向上のため企業内でも利用したいと考えるユーザーも増えています。すでに利用を制限するだけの旧来型アプローチでは、対処できなくなってきているのです。」

 外部のツールやサービスによって、企業の内側と外側、あるいは企業間の境界があいまいになっていることは事実としながらも、これは決して新しい問題ではないとペトリ氏は語る。外部サービスの利用を制限するのは、責任の所在が明らかにならないことが理由となっている。しかし、現在ビジネスのアウトソーシングを利用している企業は多い。例えば給与処理を外部に委託する場合、社員の給与額を含め多くの個人情報を外部の企業に知られてしまうことになる。そのため、情報の取り扱いについてのルールを定め、責任の所在を明らかにすることでこれらのリスクに対応する。同じようにビジネスの生産性を高めるために外部サービスを利用していると考えて、その対応を検討するべきだというのだ。

 「Googleにも普通の企業と同じようにセキュリティの専門チームがあります。彼らは機能を制限するのではなく、セキュリティをガードレールとして提供します。組織に自浄作用が必要です。セキュリティチームに“何かをしてはいけない”と言われるのではなく、自分たちが何をしなければならないのかを決めるのです。例えば、ドキュメントの共有といった場面、単に企業の外部のユーザーとのドキュメント共有を禁止するのではなく、“共有しようとしている相手は外部のユーザーです”と警告し、認証や監査といったプロセスを実行した上で共有が実現します。そのためにも、認証や監査などのプロセスをコントロールし、ユーザーの行動を予測したコードを書かなければなりません。Googleのセキュリティチームには、実際にコードを記述することができて、アプリケーションがどのように振る舞うか、また、どのような脆弱性があるのかを理解できる人が数多く存在しています。」


悪意のある攻撃は学習の機会

 悪意のある攻撃への対処についてペトリ氏は、これまでのようにホワイトボックスなメンタリティ(何をするのかが明確にわかっているプログラム)での対処だけでは十分ではないとしている。典型的なホワイトボックスメンタリティのセキュリティとしてペトリ氏は、ファイアウォールやアンチウイルスなど、ルールを設定して特定のパターンに対処するやり方を挙げた。

 「これらの対応が重要ではないと言っているのではありません。これからも変わらず重要な機能です。しかし、外部のツールやサービスといったブラックボックスが増えている現状においては、アプリケーションレベルでのモニタリングを行なう必要があります。つまり、ブラックボックスメンタリティです。しかも、変化し続けている脅威に対して、常に対応し続けていくことが重要になります。」

 さらにペトリ氏は、Googleはユーザーに対して大きな感謝をしていると述べ、しかもその感謝の気持ちは競合他社のセキュリティチームや、悪意のある攻撃を仕掛けてきた相手に対しても同じだという。

 「Googleは世界中で多くのユーザーに支持されているサービスです。多くのユーザーから脆弱性などに対する報告が寄せられ、その結果が反映されることでよりよいサービスになっていきます。仮に悪意のある攻撃が仕掛けられた場合でも、その攻撃を記録して複製し、リリースプロセスのテストの中に加えます。以前受けた攻撃を二度と受けないための学習の機会として捉えます。また、さまざまな脅威に対しては競合企業であるYahoo!のセキュリティチームと一緒に対応したこともあります。これらすべての人にGoogleは感謝の気持ちを表明し、そのメッセージはGoogleのサイトに掲載されています。」

 最後にペトリ氏は「セキュリティには新しいハードウェアやソフトウェアといった成果物だけではなく、プラクティス(経験)を考えなければなりません」と述べ、攻撃者も含めた多くのユーザーからの報告の重要性と、常に対処し続ける姿勢の重要性を強調して講演を締めくくった。

関連情報

URL
  RSA Conference Japan 2008
  http://www.cmptech.jp/rsaconference/

関連記事
局所化する攻撃への対策が課題、4人のプロがパネルディスカッション(2007/04/26)


( 北原静香 )
2008/04/24 20:43

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.