セキュリティ関連イベント「Security Solution 2003」と併催されている「Network Security Forum 2003」では、「日本のインシデント対応体制」をテーマとしたパネルディスカッションが行なわれた。
出席者はモデレーターが奈良先端科学技術大学院大学の山口英教授、パネラーが経済産業省情報セキュリティー室の山崎琢矢氏、独立行政法人産業技術総合研究所グリッド研究センターの高木浩光氏、NTTコミュニケーションズIPインテグレーション事業部の小山覚氏、日本ヒューレット・パッカードセキュリティ・コンサルティング部の佐藤慶浩氏、マイクロソフトアジアリミテッドセキュリティレスポンスチームの奥天陽司氏、JPCERTコーディネーションセンターの山賀陽司氏の7名。
冒頭、モデレーターの山口氏が「現在のインターネットはもはや人々の生活に直結したインフラであり、社会的役割が増大している。その中で、各自の立場からインシデントへの対応状況を説明してもらいたい」と趣旨を述べ、パネラー各氏のプレゼンテーションへ進んだ。
|
|
左から、奈良先端科学技術大学の山口教授、経産省の山崎氏、産総研の高木氏
|
左から、NTTコムの小山氏、マイクロソフトの奥天氏、JPCERTの山賀氏
|
● もはや個別対応が不可能なリスクに対しては官民連携が必要~山崎氏
経産省の山崎氏は、インシデントに対する政府の役割を説明した。まず、現在のITの役割は「社会の神経系を担う時代」になっているとし、その“社会の神経系”に対するウイルス「Slammer」や「Blaster」のリスクは確実に拡大しており、“新次元のリスク”に変質しているという。
そのような状況の中、政府の情報セキュリティ政策は、電子政府が開始した2003年4月時点で第1次が終了し、現在は第2次に突入していると説明。第2次の中心的政策として、「情報セキュリティ総合戦略」を策定していると語った。戦略では、情報セキュリティを国家戦略に組み込み「情報セキュリティにおいても高信頼性を獲得し、“高信頼性こそ日本の強み”として強調していきたい」と抱負を述べた。
戦略は3つの戦略と42の施策項目から構成される。実現のための具体策では「既存の事前予防策の充実・強化」を中心に、「国家的視点からの全体を支える基盤の強化」などを図るものの、「事故を前提にした対応策を抜本的に強化しなくてはならない」という意識改革の必要性を強調した。
また、情報セキュリティ全体の脆弱性に対する体制の整備面では、「Blaster問題などは、個別のユーザーや企業では対処しきれないレベルまでリスクが拡大している。政府においても3省庁連合の情報提供などを行なっているがまだ不十分だ。官民を密接に連携させた対応がもはや必要だろう」とアピール。脆弱性に対応するための体制やルールの策定、ウイルスの警戒情報を定期的に提供する機能の整備などの重要性を語った。
● 日本が局地的に狙われると、米国企業は当てにならない~小山氏
NTTコミュニケーションズの小山氏は、ISP代表としてのインシデント対応を解説した。同氏はまずインシデント発生時、「ISPとして何を守るべきか」に言及。「ISPの設備の安定運用やユーザー情報なども重要だが、最も重要なのはユーザーのPCやサーバーなどのシステムだ」と定義した。
また、以前のウイルスとBlasterやSobigなどを比較し、大きく違う点にトラフィック面を挙げる。「昨今のウイルスは、ブロードバンドの普及によるエンドユーザーの回線増強も加わり、もはやトラフィックの暴力となり、全体の概念を変化させるに至っている」。
Blaster騒動の際に同社では、「事前にある程度ウイルスの発生を予測し、警戒していたが時期的にお盆ということもあり、帰省先から対応する状況だった。実際にOCNユーザーへ注意喚起のメールを送信する際には、送信数が400万通に上るため、かなり悩んだが被害拡大を懸念して送信した」という。
またBlaster亜種発生時は、「当初、PINGのパケットが爆発的に増加したため、異常事態だということは認識できたが、米国系ウイルス対策メーカーが情報提供しないため詳細がわからなかった。結局、一番最初の情報提供は韓国のアンラボだった」という。この原因について、同氏は「Blaster亜種は、日本が起源となって広まった可能性があるからではないか」と推測している。
このような点から、小山氏は「万が一日本が局地的に狙われた場合には、米国のウイルス対策ベンダーの対応が遅れる可能性がある」と指摘。日本独自の調査機関として、政府などが先頭に立って行なう分析機関が複数必要だと強調した。また、ユーザーシステムへの対応の重要性として、「ブロードバンドの普及によって、ユーザーがウイルス感染するとトラフィックの爆発的増加によって、インフラとしてのインターネットが混乱する可能性が高い」とし、ISPにとって顧客対応コストが膨大化していると説明した。
● パッチ提供ペースを月1回にすることでウイルスは減るはず~奥天氏
奥天氏は、マイクロソフトのインシデント対応状況について説明した。冒頭、同氏は現在のウイルス発生までの流れを解説した。まず、第1に発見者がマイクロソフトに報告し、Webサイト上などに情報を公開。第2に、その情報を基にセキュリティ研究者などが調査を実施、攻撃コードを公開する。第3としてウイルス製作者が攻撃コードを基にしてウイルスを製作・頒布する、という流れになっているという。「この場合、発見、調査、頒布という3つの作業に分類できるが、この3つの作業を行なっている人物が複雑に混ざっているのが現状だ」と解説した。
またウイルス作成の基となる攻撃コードについて、「大多数の攻撃コードはマイクロソフトが公開した脆弱性やセキュリティ修正プログラムの情報を基に逆に辿って(リバースエンジニアリング)製作されているため、脆弱性を修正するための情報が逆に攻撃コードを製作の手助けをしている」のだという。
このような状況から、同社は修正プログラムが完成次第発表していた脆弱性情報を月1回のペースにするように方針を転換し、「これにより、攻撃コード製作者にコード作成のヒントを与える機会も減少し、確実に悪用したウイルスなどが減少するはずだ」と述べた。今後は、WindowsやOfficeといった製品単位でのパッチ提供ではなく、モジュール単位での提供を可能にする新しいレベルでの「MS Update(仮称)」を設置する予定だとしている。
またBlaster発生時には、「当社の脆弱性情報を提供しているWebサイトへは数千万のアクセスが殺到し、電話は最高1日14万件の問い合わせが来た。電話対応はトータルで100万件に達している。これは、もはや1企業では対応不可能だと感じた(奥天氏)」とのこと。
この状況を受けて、同社では新聞広告などのプレスやメール、CDメディアなど複数のメディアを複合的に活用して対応し、今後もこのような状況に対応していくと説明した。また、今後は「Next-Generation Secure Computing Base(NGSCB)」といったチップベースの強固なセキュリティも展開していくという。
|
|
悪用コードが登場するまでのプロセスを公開
|
今後の同社の取り組みについてのロードマップ
|
● 海外セキュリティ機関と日本企業の橋渡し的存在を目指す~山賀氏
JPCERTコーディネーションセンターの山賀氏は、xSPとの連携などについて発表した。現在のJPCERTの業務の6~7割は、海外からのセキュリティに関する連絡を国内に仲介することだという。連絡先の企業はほとんどがISPで、「そちらのユーザーが攻撃の踏み台にされていることが多いといった内容のものがほとんどだ(同氏)」と語った。
また、同氏は「現在、海外のセキュリティベンダーや研究者などは、国内の企業などに対してJPCERTしか連絡先がないのが現状だ」と指摘。より脆弱性情報の早期流通を図るために、「海外と国内のコーディネーションセンター」を目指すという。
● 「セキュリティ修正プログラムは何なのか?」を説明書に明記すべき~高木氏
|
佐藤氏が指摘する「脆弱性情報の優先的提供する」際の問題点
|
続いて、ヒューレット・パッカード佐藤氏と産総研の高木氏がプレゼンテーションを行なった。パリ出張中の佐藤氏は電話で参加し、「国際的にもインシデントに対する関心は高まっており、現在ISO18044などでガイドラインを策定中だ」と説明。また、PCベンダーとして、「脆弱性情報の優先的提供を行なわない」という同社の姿勢を説明した。
これは、秘密保持契約をした上で特定の企業に情報の優先提供を行なっても、パッチ適用などの実務段階で情報漏えいが起きる可能性が高く、情報漏えいが発生してしまっても得意先のために訴訟しにくいというもの。このことから、ヒューレット・パッカードでは、優先的な情報提供を一切行なっていないという。
一方、高木氏は「WindowsをOEM提供されている各PCメーカーは、パッチ適用によって独自ドライバに悪影響がないかの検証が必要だと考えているのではないか」と反論。「日本のソフトウェアメーカーの多くは脆弱性の公開方法に慣れておらず、“セキュリティ強化CD”と称してパッチ提供するメーカーも存在する(高木氏)」と指摘。このような事例は、一定のルールが存在しないために発生するとして、脆弱性情報の公開方法などについて政府等がガイドラインを策定し、ルールに沿った情報公開が必要だと提言した。
また、マイクロソフトの修正プログラムについても告知方法に問題があると指摘。「一般のユーザーの中には“セキュリティ修正プログラムとは一体何なのか?”がわからない人が多いのではないか。説明書にも書いていない」と説明している。そして、「セキュリティ修正プログラムの必要性を説明書に明記して、啓蒙活動を行なわなければ、修正プログラムの適用率は上がらないのではないか」と語った。
最後に山口氏は「ユーザーの立場からも意見を言うことが、インターネットのセキュリティを高める」と語り、パネルディスカッションを締めくくった。
関連情報
■URL
Network Security Forum 2003
http://www.jnsa.org/nsf2003/
Security Solution 2003
http://expo.nikkeibp.co.jp/secu-ex/
( 大津 心 )
2003/10/23 21:52
- ページの先頭へ-
|