【RSA Conference】元ホワイトハウス特別補佐官Clarke氏が基調講演

【イベントレポート】

【RSA Conference】元ホワイトハウス特別補佐官Clarke氏が基調講演

■URL
http://www.key3media.co.jp/rsa2003/

　RSA Conference 2003 Japan 実行委員会は3日、セキュリティー専門のカンファレンス/展示会「RSA Conference 2003 Japan(以下、RCJ)」が東京国際フォーラムで開幕した。「RSA Conference」は、1991年より米国などで開催されている世界最大の規模を誇る情報セキュリティーカンファレンスで、日本での開催は今回が2回目となる。会期は、3日と4日の2日間で、当日料金は6万8,000円。参加人数は4,500人を見込んでいる。

　RCJでは、セキュリティー分野に関した基調講演や9つの分野に分けて行なわれるトラック、約50に分けられたセッションが行なわれるほか、展示会場ではセキュリティ関連の新製品やサービスなどが紹介されている。また、今回は併催イベントとして「Network Security Forum 2003 Spring」も開催されている。ここでは、基調講演として行なわれた元ホワイトハウスサイバースペースセキュリティ担当特別補佐官Richard Clarke氏の講演を紹介する。

●「実際にサーバーが止まらないと意識しない」リーダー達

「RSA Conference 2003 Japan」の展示場風景

　Clarke氏は最初に、日本で7日公開となる映画「マトリックスリローデッド」のワンシーンを例に出し、「映画内では、地底都市ザイオンの首長が機械室に入るシーンがあったが、実際の大統領や首相でデータセンターやサーバールームに入ったことのある人物は居ないだろう。彼等は“サーバーが止まるような事故が起きるまでは”意識していないのだ」と語った。

　また、現在のサイバースペースの実情として、攻撃はこの4年間で毎年2倍づつ増加しているほか、ソフトの脆弱性も4年間で毎年2倍づつ増加しており、脅威が増していることを強調した。現在では、毎週30件の脆弱性が発見されているという。

　また、脆弱性発見から実際の攻撃コードが攻撃者のWebサイト上に公開されるまでの時間も短縮しているという。数年前までは、脆弱性が公開されてから攻撃コードがWebサイトに掲載されるまでに数週間を必要としていた。しかし、今では脆弱性が発見されてから、攻撃者のWebサイトにその脆弱性を攻撃するためのコードが公開されるまでの時間は6時間だった例もあるという。

　このような脆弱性に関する問題のほか、2001年7月の「Code Red」や「Slammer」などのウイルスも脅威を増大させている。「Code Red」は24時間で30万台、「Slammer」に至っては、発生からわずか14分間で全世界の30万台のPCへ感染している。そのほかにも、2002年10月にはDNSルートサーバーへのシンフラッド攻撃が行なわれた。Clarke氏によると「この攻撃は、どの程度の攻撃を行なえばルートDNSサーバーをダウンできるか観察する意味もあったのだろう。このように、現在のインターネットはDNSとBGPプロトコル（パス・ベクトル型の経路制御プロトコル。現在のバージョンは4）が根幹となっているが、この攻撃に対しての安全性が確保できていない」といった現在のインターネットの構造的な問題を指摘した。

●インターネット上の脅威から守るための10個の提案

元ホワイトハウスサイバースペースセキュリティ担当特別補佐官
Richard Clarke氏

　Clarke氏は、このようなインターネット上の脅威から守るためには、各国の高官レベルでの協議が必要であり、国際的な機関の設立が不可欠であるという。その具体案として、同氏は10の提案を述べた。

　1つ目は、国際サイバースペース審議会（以下、審議会）のようなものを各国協力の元に設立し、OSなどのソフトウェアを出荷前に徹底的に検査し、品質を保証するというもの。これは同氏によると「あまりにもいい加減にソフトウェアを開発している業者が多すぎるためだ。この審査を通過しなくては、リリースできないようにすべき」という現状認識から考えられた提案だという。

　2点目は、審議会によって、セキュリティ修正パッチを検証するというもの。これは、「現状セキュリティパッチが提供される度に、すべての企業の管理者は何度も検証し、ようやく導入している。これは、どう考えても無駄だ。安心できるパッチであれば、この工程をなくすことができる（Clarke氏）」としている。

　3つ目は、FIRST（the Forum of Incident Response and Security Teams）のような機関に資金を提供することによって、各国CERT間の連携を現在よりさらに密接にし、インターネット上の脅威に対する国際連携を深めるというものだ。

　4点目が、IPv6の国際的な実装のための調整機関の設立。現状、日本とヨーロッパではIPv6実装への協力関係ができているが、米国は非常に遅れているという。「このままでは、日本やヨーロッパが既にIPv6に移行しているのに、米国がまだIPv4という状況が発生し、さまざまな障害が発生するだろう（同氏）」。この問題を解消するために、国家間でのIPv6導入への調整が必要だという。

　5つ目は、BGPプロトコルの“S（セキュア）BGPプロトコル”への移行を進めるという案だ。しかし、このプロジェクトを進めるためには、「標準化するための機関が無い」ことと「エッジルーターが処理できないために買い替えの必要がある」という2つの問題を解決しなければならない。

　6点目が、ルートDNSサーバーのセキュリティ確保。この問題は、4点目と5点目のプロジェクトを実施することにより、セキュリティを確保できるという。

　7つ目は、“SPAM”撲滅のための機関の設立。Clarke氏は、SPAMを「サイバースペース上の“安全性”という意味では特に問題になる訳ではないが、“健全性”という意味では最大の問題だ」と定義しており、各国内での取り締まりでは既に限界があり、国際的な機関を設立し、厳格に対処していかなければ解決できないとの見解を示した。

　8点目は、不正コードなどの出口フィルターを実装するという案。これは、各PCから出て行く不正なコードを監視するためのフィルターをすべてのPCに実装するというもの。同氏によると「勘違いして欲しくないが、内容を監視するためではなく、あくまでも不正プログラムがPCから出るのを監視するためのものだ」とのこと。

　9つ目は、ISPのための行動規範を策定するというもの。これは、ブロードバンド回線を導入する際には、必ずファイアウォールを設置しなければならないというもの。同氏は例として自動車を挙げ「安全面を考えてシートベルトを実装していない車は存在しない、それと同様に回線を販売する際には安全面からファイアウォールを義務付けるべき」と語った。

　最後の10点目は、審議会が率先して新しい技術を開発し、セキュリティの洗い出しを経た後にリリースするというもの。Clarke氏は、「これら10点の問題を解決しない限り、不正プログラムの“抹殺”は不可能であり、いつまでもSPAM問題は解決しないだろう」と結んだ。

(2003/6/3)

[Reported by otsu-j@impress.co.jp]

【INTERNET Watchホームページ】

INTERNET Watch編集部internet-watch-info@impress.co.jp