 |
 |
記事検索 |
特別企画 |
 |
||
|
||
【 2009/06/11 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/09 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/08 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/04 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/02 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/28 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/26 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/21 】 |
||
|
||
|
||
| ||
| ||
|
||
|
||
【 2009/05/15 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/14 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/04/16 】 |
||
|
||
|
||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
製品開発者は“バグハンター”と情報共有を |
||||||||||
|
||||||||||
|
MSが「Black Hat」に協賛する理由とは
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
10月5日から10日まで、東京・新宿の京王プラザホテルでセキュリティカンファレンス「Black Hat Japan 2008」が開催されるが、今年から同イベントにマイクロソフト日本法人もスポンサーとして協賛することになった。 Black Hatのようなセキュリティコミュニティとマイクロソフトの関係は、いわば「バグハンターと、ハントされる立場の関係」(マイクロソフトのチーフセキュリティアドバイザーである高橋正和氏)。それがなぜ協賛するに至ったのか、経緯や意図を聞いた。 ● “バグハンター”とともにセキュリティ問題を考えることの意義
これは、かつてのMicrosoftにもあてはまることだったが、2002年、ビル・ゲイツ氏が社員らに出したメールが転機となり、「脆弱性が存在する限り、対処しなければならない」とのスタンスに変わった。 もちろん、意識改革はそう簡単に実現するものではない。自分の開発した製品が脅威にさらされていることを、エンジニアたちにどうやって実感させることができるかが大きな課題となった。 そこで、米Microsoftで2004年3月に実施したのが「Blue Hat」という社内イベントだ。これは名称からも想像がつくとおり「Black Hat」に引っかけたもので、「Blue」はMicrosoftのコーポレートカラーだ。すなわち、外部のセキュリティコミュニティのメンバーを招き、Microsoft製品のセキュリティ面の問題点を指摘してもらうという趣旨だ。 じつはMicrosoftではすでに1999年から、Black Hatのプレミアムスポンサーとして協賛しており、2003年7月のBlack Hatではパーティを主催。Microsoftのエンジニアと、Black Hatのセキュリティコミュニティとの接触が始まった。最初のパーティの時こそ、両者のコミュニケーションはあまりうまくはいかなかったというが、以降、「バグハンターと、ハントされる立場の関係」ではあるものの、両者の間で「もっと安全なコンピュータ環境を目指すというゴールは同じ」という共通の認識を持つようになる。 Blue Hatを実施するにあたってはMicrosoft社内で反発もあったらしいが、「実際に自分たちの開発したアプリケーションが攻撃されるのを目の当たりにして、お互いに認め合うようになっていった」。また、Microsoftがセキュリティコミュニティの一員になることも目的の1つだとしており、Blue Hatは2005年以降、年2回のペースで継続して開催されている。 高橋氏は「脆弱性を見つける人と開発者を対峙させる実戦が必要だった」と振り返り、ともすれば「踏まなければ壊れない」「そんなところを踏む人はいないだろう」と考えてしまうからこそ、開発者がBlack Hatのようなコミュニティに参加する意味は大きいと強調する。 ● 日本を狙う攻撃が増加、対応するにはコミュニティでの情報共有が不可欠 Black Hat Japan事務局によると、こうしたMicrosoftの活動は「Black Hatコミュニティでも評価されている」としており、「日本においてもコミュニティを巻き込んで積極的にリーダーシップをとっていることは、セキュリティ対策の促進にたいへん意味深い」と期待を寄せる。一方、マイクロソフト日本法人がスポンサーになるに至った背景について、高橋氏は「攻撃のターゲットとなる環境が変わってきている危機感がある」と説明する。 すなわち、Windows OSなどMicrosoft製品の脆弱性に関しては、セキュリティコミュニティとの協力や、同社の「Security Development Lifecycle(SDL)」といった取り組みによって、同社自身で対処できる部分についてはかなり対応できるようになってきたという。その結果、現在は攻撃のターゲットがアプリケーションのレイヤーに移行してきており、「コミュニティとして情報を共有しないと、対応できない状況になってきた」。 特に2005~2006年ごろからは、日本特有のアプリケーションやフリーソフトがターゲット型攻撃で狙われるようになり、マイクロソフトとしても、他社の製品だからといって「誰かのせいにしておくことはできない」と考えるようになった。 一方で、高橋氏が危ぐするのが「日本では、脆弱性を発見するようなセキュリティ研究者に対する評価が低いのではないか?」ということだ。その結果、日本のアプリケーションのセキュリティ面について研究がおろそかになれば、格好のターゲットになる恐れがある。実際、「日本特有の問題の比重が上がっている」という。 また、攻撃者側の手法やツールが共有化され、グローバルでそれらの情報が流通するようになるにつれ、ターゲットとなる環境も拡大し、個々の攻撃じたいが局所化して見えにくくなる。 こうした状況を放っておくと、例えば電子認証のような社会インフラが「突然、クライシスにつながる恐れもある」。高橋氏は、こうしたクライシスを防ぐためには長いスパンの取り組みが必要であり、「アクションを起こせる人が日本でも必要だ」と強調。Black Hatのようなセキュリティコミュニティの重要性と、参加することの意義を訴える。セキュリティに直接携わっているエンジニアなどのほか、企業におけるセキュリティ対策の意志決定権を持つCIOらにも参加を呼び掛けている。 ● サードパーティ製アプリの脆弱性について情報提供する制度を開始 なお、Microsoftでは、8月に米国で開催されたBlack Hatにおいて「Microsoft Vulnerability Research(MSVR)」という新たな制度を発表した。これは、Windows上で稼働するサードパーティのアプリケーションの脆弱性についても、Microsoftでハンドリングする必要性が出てきたことを受けて開始するものだ。同様の取り組みはすでに、AppleのWebブラウザ「Safari」とWindows Vista/XPの組み合わせで脆弱性が見つかった時などに行われていたという。今後、MicrosoftとMSVRの契約を結んだサードパーティの製品に脆弱性が見つかった場合に情報を提供し、連携して対応にあたるとしている。 関連情報 ■URL Black Hat Japan 2008 http://japan.blackhat.com/ マイクロソフト http://www.microsoft.com/ja/jp/default.aspx 信頼できるコンピューティングのセキュリティ開発ライフサイクル http://msdn.microsoft.com/ja-jp/library/cc447635.aspx ■関連記事 ・ 「Black Hat Japan 2008」10月開催、Dan Kaminsky氏の講演決定(2008/09/11) ・ 「Safari」Windows版の複合的脅威について、Microsoftが警告(2008/06/02)
( 永沢 茂 )
- ページの先頭へ-
|
