NAISTの山口英教授がSecurityDaysで講演、セキュリティの現状について

　セキュリティの最新情報を伝える展示会・セミナー「SecurityDays」が2月28日～3月1日、都内で開催された。3月1日の基調講演には、奈良先端科学技術大学院大学（NAIST） 情報科学研究科教授の山口英氏が登壇し、「ITの進化と、セキュリティ対策の進化～終わらない“Secrity Days”～」と題した講演を行った。

　ITの変化がセキュリティにどう影響するか。セキュリティには内部の犯行や誤操作、自然災害なども含まれるがと前置きした上で、主に外部からの攻撃についてを説明した。

　まず最近の状況について、「実害が発生している」「数カ国のサーバーを経由したり、Torといった匿名通信システムを利用したり、実行者の特定がますます困難になっている」「攻撃ツールやインフラが販売されており、技術力がなくてもお金があれば高度な攻撃が可能になっている」点を挙げた。

　また、コードの難読化や大規模化、サーバーの不可視化、実行処理の偽装といった犯罪者の工夫も進んでいる。山口教授によれば「コードの大規模化で解析に数カ月かかることもある。コードの実行行為も偽装されるため、実行されたときしか何が起こったか分からないという問題もある。攻撃されていることを認知するのも難しく、何が起きているかを解明するのも難しい。誰がやっているかはほぼ分からず、だから捕まらない、だから減らない」という。

　そもそも、マルウェア感染の要因は何か。「怪しいファイルを開かない」とよくいわれるように、1つにはユーザーのリテラシがある。ただし、昨今の標的型攻撃においては、ユーザーの注意だけで防ぐには限界があると指摘。「先日、わたしの名前を騙った標的型メールが出回った。“学位審査”といった名前のファイルが添付されており、それがわたしの名前で届けば、大抵の関係者は開いてしまうと思う」。

　脆弱性を突くゼロデイ攻撃も多数報告されており、これはユーザーの注意ではそもそも防げない。そのため「ユーザーに任せるのではなくメカニズムで防止する。特にリアルタイムに不正なモノを検知する仕組みが必要になる」という。

　メカニズムで防止する際には、「ドライブ・バイ・ダウンロード」のような手口に対応できなければならない。「以前は攻撃者が外部からターゲットにマルウェアを送りつける手口だったため、ファイアウォールやIPSで防げた。しかし、通信の起点がユーザーにあり、レスポンスに不正なモノが混じってくるドライブ・バイ・ダウンロードのような手口には効果がない。これからは“内から外”の通信も監視できれなければいけないし、マルウェア対策やエンドポイントセキュリティは必須のものとなる」。

　攻撃に使われるマルウェアについても言及。RAT（Remote Access Trojan：リモートアクセス型のトロイの木馬）は標的のコンピュータを遠隔操作できるものだが、これに感染させれば何でもできてしまう。代表的な機能として「プロセス情報の取得」「特定プロセスの停止」「任意のプログラムの実行」「スクリーンショットの取得」「Webカメラの操作」「音声の録音」「キーロガー」などを備える。「例えば、音声が取れるため、会議の様子を盗聴できる。またWebカメラが操作できるため、ストーキングなどにも悪用できてしまう」。

　こうした状況に対して、「情報セキュリティ対策は科学である」という姿勢が必要と山口教授。「単に思いつきでやるものでも、他社がやっているからやるものでもなく、自分たちの情報システムがどうなっているかモニタリングして、課題を特定した上で、最適な対策を実施する必要があるのだ」とする。

　「課題となるのは、デバイスの多様化だ。PCを複数台、さらにモバイル端末を使っている人がほとんど。現状は管理するコンポーネントが増えると、それに応じて管理の手間が指数関数的に増大してしまう。これを正比例、あるいは対数関数的に、コンポーネントが増えてもそれほど手間が増大しないようにしなければならない。管理を集約化できるプライベートクラウドはそういった意味で効果的。また、モバイル端末については1台1台モニタリングする必要がある。境界線で守るだけではダメで、エンドポイントセキュリティが重要になる」。

　こうした対策の基盤を構築する上での勘所は、「独立した管理環境の構築」「構成情報の自動収集とデータベース化」「コンピュータはセンサーと思え」「観測に基づく優先順位付け」「徹底した自動化」「専門サービスは積極的に活用」「人間は人間にしかできないことをやる」「BCPをよく考えて実装する」にまとめられ、特にPDCAに代わるOODAが有効という。

　監視（Observe）－情勢判断（Orient）－意思決定（Decide）－行動（Act）によるサイクル型モデルのことで、米国の航空戦についての洞察を基盤にして構築された。オペレーションに重きを置くPDCAサイクルと比べ、状況解析や問題発見を行うOrientに重きを置いており、めまぐるしく変わる環境において、その変化に合わせて戦略を随時見直していくのに適しているという。

　最後に山口教授は「境界防衛から全域防衛に。特にエンドポイントセキュリティの導入と強化、ドライブ・バイ・ダウンロード対策を欠かさないこと。ラウドやモバイルといった生産性を高めるツールはうまく活用した上で、ユーザーの注意深さに頼るのではなく、コンピュータはセンサーという考えに基づく自動化と規模拡張性の確保が重要。加えて、OODAプロセスの確立を目指すべき」とまとめ、講演を締めくくった。