Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

製品開発者は“バグハンター”と情報共有を

MSが「Black Hat」に協賛する理由とは

 10月5日から10日まで、東京・新宿の京王プラザホテルでセキュリティカンファレンス「Black Hat Japan 2008」が開催されるが、今年から同イベントにマイクロソフト日本法人もスポンサーとして協賛することになった。

 Black Hatのようなセキュリティコミュニティとマイクロソフトの関係は、いわば「バグハンターと、ハントされる立場の関係」(マイクロソフトのチーフセキュリティアドバイザーである高橋正和氏)。それがなぜ協賛するに至ったのか、経緯や意図を聞いた。


“バグハンター”とともにセキュリティ問題を考えることの意義

マイクロソフトのチーフセキュリティアドバイザーを務める高橋正和氏
 高橋氏はまず、製品を開発するエンジニアたちが“セキュリティホール”ではなく“脆弱性”という言い方を用いることを挙げる。これは、たとえ製品にセキュリティ面から見て弱い部分があったとしても、穴が空いている状態だとの認識ではなく、「踏まなければ壊れない」と考えているからだという。社内の品質検査の段階でそのような可能性が指摘されたとしても、「まさか、そんなところを踏む人はいないだろう」と受け流してしまうのが、エンジニア共通の感じ方ではないかと指摘する。

 これは、かつてのMicrosoftにもあてはまることだったが、2002年、ビル・ゲイツ氏が社員らに出したメールが転機となり、「脆弱性が存在する限り、対処しなければならない」とのスタンスに変わった。

 もちろん、意識改革はそう簡単に実現するものではない。自分の開発した製品が脅威にさらされていることを、エンジニアたちにどうやって実感させることができるかが大きな課題となった。

 そこで、米Microsoftで2004年3月に実施したのが「Blue Hat」という社内イベントだ。これは名称からも想像がつくとおり「Black Hat」に引っかけたもので、「Blue」はMicrosoftのコーポレートカラーだ。すなわち、外部のセキュリティコミュニティのメンバーを招き、Microsoft製品のセキュリティ面の問題点を指摘してもらうという趣旨だ。

 じつはMicrosoftではすでに1999年から、Black Hatのプレミアムスポンサーとして協賛しており、2003年7月のBlack Hatではパーティを主催。Microsoftのエンジニアと、Black Hatのセキュリティコミュニティとの接触が始まった。最初のパーティの時こそ、両者のコミュニケーションはあまりうまくはいかなかったというが、以降、「バグハンターと、ハントされる立場の関係」ではあるものの、両者の間で「もっと安全なコンピュータ環境を目指すというゴールは同じ」という共通の認識を持つようになる。

 Blue Hatを実施するにあたってはMicrosoft社内で反発もあったらしいが、「実際に自分たちの開発したアプリケーションが攻撃されるのを目の当たりにして、お互いに認め合うようになっていった」。また、Microsoftがセキュリティコミュニティの一員になることも目的の1つだとしており、Blue Hatは2005年以降、年2回のペースで継続して開催されている。

 高橋氏は「脆弱性を見つける人と開発者を対峙させる実戦が必要だった」と振り返り、ともすれば「踏まなければ壊れない」「そんなところを踏む人はいないだろう」と考えてしまうからこそ、開発者がBlack Hatのようなコミュニティに参加する意味は大きいと強調する。


日本を狙う攻撃が増加、対応するにはコミュニティでの情報共有が不可欠

 Black Hat Japan事務局によると、こうしたMicrosoftの活動は「Black Hatコミュニティでも評価されている」としており、「日本においてもコミュニティを巻き込んで積極的にリーダーシップをとっていることは、セキュリティ対策の促進にたいへん意味深い」と期待を寄せる。

 一方、マイクロソフト日本法人がスポンサーになるに至った背景について、高橋氏は「攻撃のターゲットとなる環境が変わってきている危機感がある」と説明する。

 すなわち、Windows OSなどMicrosoft製品の脆弱性に関しては、セキュリティコミュニティとの協力や、同社の「Security Development Lifecycle(SDL)」といった取り組みによって、同社自身で対処できる部分についてはかなり対応できるようになってきたという。その結果、現在は攻撃のターゲットがアプリケーションのレイヤーに移行してきており、「コミュニティとして情報を共有しないと、対応できない状況になってきた」。

 特に2005~2006年ごろからは、日本特有のアプリケーションやフリーソフトがターゲット型攻撃で狙われるようになり、マイクロソフトとしても、他社の製品だからといって「誰かのせいにしておくことはできない」と考えるようになった。

 一方で、高橋氏が危ぐするのが「日本では、脆弱性を発見するようなセキュリティ研究者に対する評価が低いのではないか?」ということだ。その結果、日本のアプリケーションのセキュリティ面について研究がおろそかになれば、格好のターゲットになる恐れがある。実際、「日本特有の問題の比重が上がっている」という。

 また、攻撃者側の手法やツールが共有化され、グローバルでそれらの情報が流通するようになるにつれ、ターゲットとなる環境も拡大し、個々の攻撃じたいが局所化して見えにくくなる。

 こうした状況を放っておくと、例えば電子認証のような社会インフラが「突然、クライシスにつながる恐れもある」。高橋氏は、こうしたクライシスを防ぐためには長いスパンの取り組みが必要であり、「アクションを起こせる人が日本でも必要だ」と強調。Black Hatのようなセキュリティコミュニティの重要性と、参加することの意義を訴える。セキュリティに直接携わっているエンジニアなどのほか、企業におけるセキュリティ対策の意志決定権を持つCIOらにも参加を呼び掛けている。


サードパーティ製アプリの脆弱性について情報提供する制度を開始

 なお、Microsoftでは、8月に米国で開催されたBlack Hatにおいて「Microsoft Vulnerability Research(MSVR)」という新たな制度を発表した。これは、Windows上で稼働するサードパーティのアプリケーションの脆弱性についても、Microsoftでハンドリングする必要性が出てきたことを受けて開始するものだ。

 同様の取り組みはすでに、AppleのWebブラウザ「Safari」とWindows Vista/XPの組み合わせで脆弱性が見つかった時などに行われていたという。今後、MicrosoftとMSVRの契約を結んだサードパーティの製品に脆弱性が見つかった場合に情報を提供し、連携して対応にあたるとしている。


関連情報

URL
  Black Hat Japan 2008
  http://japan.blackhat.com/
  マイクロソフト
  http://www.microsoft.com/ja/jp/default.aspx
  信頼できるコンピューティングのセキュリティ開発ライフサイクル
  http://msdn.microsoft.com/ja-jp/library/cc447635.aspx

関連記事
「Black Hat Japan 2008」10月開催、Dan Kaminsky氏の講演決定(2008/09/11)
「Safari」Windows版の複合的脅威について、Microsoftが警告(2008/06/02)


( 永沢 茂 )
2008/09/25 18:14

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.