特別企画

山賀正人が見た、ヤマハのネットワーク機器とセキュリティのかかわり

 私にとって、ルーターメーカーとしてのヤマハはとても「ユニーク」な企業であるというイメージが強くあります。その理由は私がJPCERTコーディネーションセンター(以降、JPCERT/CC)に在籍していた10年以上前にさかのぼります。

ブロードバンドと共にやって来たルーターのセキュリティ

 2000年代初頭、日本でもブロードバンドが普及し始め、一般家庭でも「ルーター」というものが導入されることが普通のことになり始めていました。また、中小企業などでもブロードバンドの常時接続が既に当たり前のものとなっており、ルーターはさまざまなところで導入されるようになっていました。

 それ以前、ナローバンドの時代は中小企業や家庭向けのルーターに「セキュリティ」というものが求められることはほとんどなく、せいぜい管理者パスワードを設定する機能があるかどうかというレベルでした。しかし、ブロードバンド常時接続が普及するとともに、ウイルスやワーム(自己増殖型のマルウェア)の伝播速度は飛躍的に速くなり、ネットワークを介して爆発的に拡散するようになったことから、それまでは高価な専用機器でなければ実現できなかったファイアウォール機能が、中小企業などでも導入できる比較的安価なルーターにも求められるようになったのです。

 その象徴的な出来事と言えるのが、2001年7月13日に発見された「Code Redワーム」による被害の拡大です。Code RedはMicrosoft製のWebサーバープログラムIISの脆弱性を悪用して感染を広めるワームであり、これはブロードバンド常時接続時代の到来に伴う世界初の大規模なセキュリティインシデントとも言える事件でした。当時、日本でも一般のメディアで大きく報道されるなど注目を集めました。

 そのような中、ヤマハはこのインシデントを予見していたかのように、Code Redが出現する直前の2001年7月初旬に動的フィルタ(ステートフルインスペクション)を実装したルーター RTA54iを発売していたのです。そして、Code Redによる被害がなかなか沈静化しない中、Code Redに関する情報を自社のWebサイトで紹介するとともに、万が一感染しても被害を外部に拡散しないために内部から外部へのワームによる通信を遮断するフィルタリングの設定方法も合わせて紹介したのです。

ブロードバンドルータのRTA54i。コンシューマー向けに提供されていたルーターだが、ステートフルインスペクション・ファイアウォール機能を搭載していた

CodeRedに関する公開情報 (2001年8月27日公開)
http://www.rtpro.yamaha.co.jp/RT/FAQ/TOPIC/codered.html
ヤマハ ISDN&ブロードバンド ルーター/TA『RTA54i』
http://www.rtpro.yamaha.co.jp/RTA54i/ScreenShot/40310/
ファイアウォール機能
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/

 その後も、2003年1月に感染を広めた「Microsoft SQL Slammer Worm」や同年8月の「Blasterワーム」についても利用者に向けて詳細な情報発信を行っています。

Microsoft SQL Slammer Wormに関する公開情報
http://www.rtpro.yamaha.co.jp/RT/FAQ/TOPIC/SQL-Slammer.html
Blasterワームおよびその亜種による影響について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/blaster.html

 いずれのワームも、ターゲットとなるサーバープログラムやOSの既知の脆弱性を悪用したものであり、既に公開済みだった修正プログラムさえ適用していれば感染は防げたはず。つまり、ルーターでの対策はあくまで補助的なものであり、本質的な対策ではないのです。ルーターメーカーとしては、そもそもルーターに責任があるわけではないので「知ったこっちゃない」と無視しても(少なくとも当時の感覚としては)責められる筋合いのものではありません。それでも、さまざまな利用者(またはルーターの管理者)を想定して「ルーターでできる対策」を積極的に提供していく姿勢は、当時としてはかなり珍しいものでした。

 最近では、話題となったOpenSSLに絡む脆弱性情報も公開しています。

「SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)」を含む「OpenSSL の複数の脆弱性」について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN99125992.html
「TLS プロトコルにおける暗号アルゴリズムのダウングレード攻撃を実行される脆弱性(Logjam)」を含む「OpenSSL の複数の脆弱性」について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN91445763.html

 また、脆弱性情報の取り扱いについてもヤマハはかなり早い段階から積極的でした。

 脆弱性情報について日本では、2004年7月から「情報セキュリティ早期警戒パートナーシップ」に基づき、情報の届け出を情報処理推進機構(IPA)が受け付け、該当するベンダとJPCERT/CCが調整した上で、最終的にJVN(Japan Vulnerability Notes,https://jvn.jp/)で公開することになっており、現在では多くのベンダがJVNに情報を掲載しています。一方、ヤマハはこの制度が始まる前からJPCERT/CCと脆弱性情報について情報交換をしていた企業の1つであり、当時から自社製品の脆弱性情報についても積極的に公開していたのです。

 今でこそ自社製品の脆弱性情報を公表し、パッチ(更新プログラム)を提供するのは製品を製造・販売するメーカーとして当然の責任とされていますが、当時は脆弱性という言葉すら世の中に浸透しておらず、「脆弱性とはただの欠陥であり、それをわざわざ公開するのは自社製品に対するイメージを悪くするだけ」との考えが一般的でした。そのような中で積極的に自社製品の脆弱性情報を公開していたヤマハに対し、当時はヤマハ製品の信頼性を疑問視するようなバッシングもあったそうです。今となっては「先見の明があった」と高く評価できるのですが、当時の世の中の状況を知る者として、並大抵の苦労ではなかったであろうことが容易に想像できます。

 このようにヤマハは、機器の脆弱性対策はもちろん、利用環境や利用者の立場を考慮した情報発信など、周辺環境も含めたセキュリティ対策に、時代を先取る形で積極的に取り組んで来たのです。

 なお、1つだけ残念なのは、インシデント対応組織である組織内CSIRTをまだ立ち上げられてないことでしょうか。グループ企業のヤマハ発動機は2013年に立ち上げていますので、ヤマハにも、ぜひ遠くないうちに作っていただきたいと思っています。

標的型攻撃の登場

 現在のセキュリティを語る上で世の中の関心を最も集めているのは「標的型攻撃」でしょう。この数年来、多くの企業が標的型攻撃の被害を受けており、もはや世の中には標的型攻撃を受けた企業と受けたことに気付いていない企業しかないとまで言われるほどです。特に2015年6月に明るみに出た某機関の大規模情報漏えい事件以降はさまざまな企業や組織が被害を公表したことから、一般の人の中にも「標的型攻撃」という言葉が知られ始めて来ています。

 標的型攻撃への対策が難しいのは、技術的な対策だけでは十分ではなく、利用者1人1人に対する意識啓発も必要だからです。しかし、よく言われる「不審なメールは開かないように」との注意は、意識付けとしては悪くないのですが、現実的には生身の人間である以上、開いてしまう人は必ずいます。したがって、開いてしまうことを前提に、怪しいメールを誤って開いてしまっても、それを隠ぺいするのではなく、速やかに担当部署などに報告する「正直さ」こそが重要であり、そのためには開いてしまった人を責めるのではなく、正直に報告したことを褒めることが大事なのです。

 このような標的型攻撃に対し、ヤマハでは、技術的な対策として外部データベースを参照するタイプのURLフィルタやWebフィルタに対応した製品を発売しています。また、最新の機種であるFWX120では「メールセキュリティー機能」をアドオンできるようになっており、ハードウェア処理ではなく、チェック機能をクラウド化して切り出すことで、可能な限り長く使えるセキュリティ機能を提供できるようになっています。なお、このクラウドサービスと連携したFWX120用「メールセキュリティー」サービスは既に開始されています。このように、ヤマハは出荷後も継続して機能強化に努めているのです。

FWX120の「メールセキュリティー機能」では、クラウドと連携したチェック機能により、より厳格なセキュリティを実現している

 ほかにもFWX120では、セキュリティ装置であることをイメージした概観を採用することで、単なるルーターではないことをアピールする工夫もなされています。

青色・黒色系統が多いヤマハのルーターとは異なり、FWX120では、“セキュリティ”を意識させる赤い筐体を採用している

 なお、法人ユーザー向けに「FWX120 セキュリティーライセンス モニター」を数量限定で募集しています。1年間、スパムメール/ウイルス対策のライセンスを無料でお試しいただけますので、この機会を利用してみてはいかがでしょうか。締め切りは2016年3月18日(金)となっています。

FWX120
http://jp.yamaha.com/products/network/firewalls/fwx120/
FWX120用セキュリティーライセンスの製品情報
http://jp.yamaha.com/products/network/network_options/firewall_options/ysl-mc120/
セキュリティーライセンスに対応したFWX120ファームウェア (Rev.11.03.13)
http://www.rtpro.yamaha.co.jp/#fw_release
リリースノート
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.11.03/relnote_11_03_13.html
FWX120 セキュリティーライセンス モニター
https://www.scsk.jp/product/common/yamaha/fwx120_campaign.html

IoT時代に向けて

 家電をはじめとする、ありとあらゆるものがインターネットにつながるIoT時代が目の前に迫っています。IoTの定義にもよりますが、既にIoT時代は始まっているという人もいます。

 IoT時代に向けて、これまでのパソコンやサーバー、スマホとは異なり、インターネットに接続していることすら利用者が意識しない機器が増えていく中、セキュリティ対策にも大きな変化が求められています。

 まずセキュリティ対策の基本は脆弱性対策です。

 パソコンやサーバーのOSは多くのものが既にある程度自動的に更新できる機能を有していますし、自動でなくても比較的容易に更新できるようになっています。これはOSに限らず、広く一般的に使われているアプリケーションソフトウェアについてもほぼ同様のことが言えるでしょう。

 ところが、スマホのOSとして広く使われているAndroidとなると事情が異なります。Android自体の脆弱性が見つかった場合、AndroidのベンダであるGoogleはサポート中のバージョンに対しては修正パッチを提供しますが、それを実際に使われているスマホに適用できるかどうかはキャリアやメーカー次第。多くの場合、キャリアやメーカーごとのカスタマイズが多過ぎるために、Googleの提供するパッチを適用しても正常に動作する保証ができない(または検証に時間がかかる)ためというのが主な理由ですが、ほかにも、そもそもGoogleがサポートするバージョンよりも古い(サポート切れの)バージョンを搭載したスマホが使われ続けているという問題もあります。

 これらの問題は、脆弱性対策としてのソフトウェア更新の仕組みが十分に考慮されていないからというだけでなく、古いバージョンを次々と切り捨てていくサイクルの短さにも原因があります。Androidスマホの多くがハードウェアもソフトウェアもほんの数年でサポートが終了してしまいますが、すべての利用者が数年おきに買い替えるわけではありません。長く使われて来たWindows XPのサポートが終了した際には一般のメディアでも大きく取り上げられましたが、Androidの特定バージョンのサポート終了がそこまで注目されることはありません。知らないうちにサポートが終了してしまっていて、気がついた時には深刻な脆弱性が放置されたままでさまざまな攻撃を受けてしまっている(例えば機密情報が盗み取られている)という状況なのです。

 同じことはそのままIoT機器にも言えます。IoT機器にAndroidを搭載するものが多いからというわけではありません。OSはAndroidであろうとなかろうと関係ありません。重要なのは「OSを含めたソフトウェアをいつまでサポートしてくれるか」ということです。

 例えば家電製品を考えてみてください。多くの家電は数年単位で買い替えることはありません。ものによっては10年以上使うことも珍しくありません。そのような製品に搭載されたOSおよびソフトウェアもそれだけ長くサポートしてくれる、つまり脆弱性が見つかった場合に更新プログラムを提供してくれるのでしょうか?

 脆弱性の全くないソフトウェアを作ることはほぼ不可能です。また何らかの暗号化の仕組みを使用している場合は「暗号の危殆化」への対策は避けて通れません。いずれにせよ、OSを含めたソフトウェアの更新は必ず必要であり、そのためには利用者が容易に、または利用者が意識しなくても自動的にソフトウェアを更新できる仕組みが必要なのはもちろん、利用者が一般的に使用すると想定される期間はソフトウェアの更新を提供し続けなくてはならないのです。

 IoT機器を製造販売するベンダは、無料で使えるからと安易にオープンソースを採用するのではなく、オープンソースであろうとなかろうと、とにかく「サポートし続けられるもの」を採用し、実際にサポートし続ける「覚悟」が必要なのです。

 ちなみにヤマハのルーターではよく知られているように独自開発のOSを搭載しており、ソースコードのすべてを把握し、サポートし続けられるようになっています。

 次にセキュリティ対策として重要なのは、何がネットワークにつながっているかを把握することです。セキュリティインシデントを防ぐ場合も、また万が一インシデントが発生した場合も、そもそも何がどこに接続しているかを把握していなければ適切かつ迅速な対応はできないからです。

 パソコンやサーバー、スマホは利用者自身がインターネットにつながっていることを意識していますし、中小企業にしろ、家庭にしろ、それらの機器の接続状況を把握することはさほど難しくありません。しかし、IoTとなると話は違います。利用者がそもそもネットワークに接続していることをほとんど意識せずに使える機器が飛躍的に増えるわけですから、「ネットワーク構成」を簡単に頭の中でイメージできるというレベルではなくなるのです。

 一方、ネットワークに接続している機器や構成を把握する仕組みは既にあり、多くの企業で導入されていますが、一般的に非常に高価であることもあって、中小企業や家庭に導入することは難しい状況です。そのような中、ヤマハは比較的安価で中小企業でも導入可能な価格帯でほぼ同様の機能を独自の仕組みで提供する機器を開発・販売しています。これらの機器を使えば、LAN内に接続された機器とその構成を目に見える形でマップ化できるだけでなく、スイッチや無線LANのアクセスポイントをルーターでコントロールすることが可能となります。

ヤマハ製のネットワーク機器で提供される「LANマップ」機能では、ネットワーク構成の変更を検知することが可能。LANマップ導入前は「ネットワークで何が起っているかわからない」状態だが、LANマップの端末管理や、ネットワーク構成を記憶できるスナップショット、メール通知といった機能を連携させると、有線LANや無線LANに「未知の端末が接続された」場合、即座に管理者へ通知が届く

L2MS
http://www.rtpro.yamaha.co.jp/RT/docs/swctl/index.html
ギガアクセスVPNルーター RTX1210
http://jp.yamaha.com/products/network/routers/rtx1210/
ヤマハならアクセスポイントもスイッチもルーターからまとめて管理
「LANマップ」ではかどるオフィスの無線LAN環境とは
http://internet.watch.impress.co.jp/docs/column/shimizu/20150323_693131.html
「見える化」だけど、見えるだけじゃない! ヤマハが提供する「LANマップ」とは
http://cloud.watch.impress.co.jp/docs/news/20151224_734476.html

最後に

 今回、ヤマハで長くルーターの開発等に携わってきて、僚誌クラウド Watchの特集(例えばこちら)にもたびたび登場している平野尚志氏に十数年ぶりにお会いし、直接お話を伺う機会をいただきました。

 ルーターメーカーとして古くからセキュリティ対策に積極的に取り組んで来たヤマハが、今も、そしてこれからもセキュリティ対策に力を入れていくとの強く熱い思いと「覚悟」に胸を打たれるとともに、これからもヤマハが私にとって「ユニーク」な企業であり続けることを願う一方で、そうであり続けると固く信じています。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。