【イベント】

JNSA、セキュリティーイベント「Network Security Forum 2002」開催

Web開発者は過去の失敗事例を学んでから開発に着手すべき
~産業技術総合研究所 高木氏

■URL
http://www.jnsa.org/nsf2002/
http://www.jnsa.org/

 セキュリティー専門イベント「Network Security Forum 2002」の2日目が13日、東京都・工学院大学新宿校舎にて開催された。ここでは、2日目のセッションから注目の講演を紹介したい。

●全てのWeb開発者は過去の失敗事例を学んでから開発に着手すべき~高木氏


独立行政法人産業技術総合研究所グリッド研究所センター セキュアプログラミングチーム 研究チーム長の高木 浩光氏

 2日目のテクニカルトラックでは、独立行政法人産業技術総合研究所 グリッド研究所センター セキュアプログラミングチーム 研究チーム長の高木 浩光氏が「失敗事例に学ぶセキュアなWeb開発」と題して、過去のWeb開発における失敗の実例を提示しながら、失敗が起きた原因と対策について講演を行なった。

 まず、「なぜ実例の提示が必要か」という問題に対して、一般的な「べき論」を繰り返してもなかなか関心を持たれないことや、実例の存在を知り脅威への切実さを肌で感じることが重要だと説明している。そのような失敗例は当事者が明らかにしたがらないことや、悪用される可能性への配慮から実例を提示することが難しいため、今回はその要件を満たした実例を紹介した。なお、今回発表された実例は、全て当該ベンダーから公表されているもので、パッチ等で対策済みのものであるため、この情報を元に悪用される可能性は低いといえる。

 最初の実例として紹介されたのは、「安易なActiveXコントロール開発」(高木氏)がもたらした、「ソニー製ノートPC『VAIO』にプリインストールされているアプリケーションソフト「CyberSupport for VAIO(以下、CSV)」のActiveXコントロールにおける危険性」について。この脆弱性は高木氏自身が発見したもので、発見した経緯から詳細に説明された。CSVは、IEを利用しローカルにおかれたヘルプなどのhtmlファイルを表示するもの。発見のきっかけは、何気なくCSV内の「DVgate」をクリックした際、ローカルのアプリケーションが作動した時だという。これに対して同氏は「おや?」と思ったという。通常、Webブラウザーからローカルアプリケーションは起動できないからだ。疑問に思いソースを調べたところ、ActiveXコントロールが使用されており一部を変更することであらゆるローカルアプリケーションが起動してしまったという。

 この失敗の原因として高木氏は、「『IEで表示する』ことと『クリックでアプリケーション起動できるようにする』という二つの要求がプロジェクトリーダーなどから下された」、「アプリケーションを起動する機能がWebブラウザーには存在しない」、「『ActiveXコントロールを使えばなんでもできる』という発想」などを挙げた。これと同様の失敗は、既に過去に発生しており「過去の事例を知らなくて作ったのだろうが、少し調べれば分かることであり、『セキュリティーという発想を常に持て』と言いたい。そもそも全てのWeb開発者は過去の失敗事例を学んでから開発に着手すべきだ」(高木氏)と語った。

 次の事例では、「オンラインストレージサービス『WebPocket』が、ユーザーにセキュリティーレベルを下げる設定を指示していた問題」について説明された。WebPocketのサービス中にて、ファイルを一括アップロードする機能を提供するためにSunのJavaであるJavaアプレットが利用されていたが、このJavaアプレットの一部に「セキュリティー設定の変更を強制するもの」が含まれていた。そのため、任意のアプレットに対して、任意のサイトへのネットワーク接続を許す設定となり、イントラネットの盗み見などが可能になってしまう。この要因は、SunのJava特有の、Proxyサーバーを必要とする環境で動作しないという問題を回避するためと予想され、「WebPocketは、この問題を回避するために、すべてのホストへの接続を許可するという最も安易な方法を取ってしまったらしい」(高木氏)としている。この事例からの教訓として高木氏は「セキュリティー制約が、なぜJavaアプレットの仕様としてデフォルトで設定されているのかをしっかり考えてから、外すべきだ。しかも、WebPocketのサイトにはこの問題について『どのような設定を行なうのか?』という説明が行なわれていなかった。設定変更を行なうならば、説明を行なう責任も生じるし、説明できないのであればそのような設定変更は行なうべきではない」と語った。

 「ルート証明書をインストールさせる」という事例では、2001年の7月に発覚した大手証券会社の例が挙げられた。この事例は、大手証券会社のオンライントレードサービスにて、自前の認証証明書をルート証明書としてユーザーにインストールするように指示したという問題だ。これは、自分自身のサイトの認証を、自分自身が証明書発行機関となり発行するというもの。通常は、Verisignなど専門の民間証明書発行機関が発行した証明書に基づき、サーバー認証が行なわれる。これは、第三者的立場である証明書発行機関が持つノウハウや、秘密鍵の保管場所等のセキュリティーに信頼がおけるからだ。しかし、この大手証券会社は、自前で証明書発行機関となることで、証明書発行機関への手数料は支払わずに済むが、秘密鍵が盗まれた際の被害や、ルート証明書をユーザーにインストールさせることの重要性を説明しないことにより、ユーザーを誤解させた。これによって、「この証券会社のように自前認証局をほかのサイトなどが真似しはじめたら、公開鍵認証基盤のビジネスモデルは破壊されてしまう」と高木氏は指摘した。

 最後に高木氏は、「今回例示したほかにも、2001年10月頃から話題にでているクロスサイトスクリプティングの脆弱性の問題など、Webサービスにはまだまだ多くの問題が累積されている。そもそもWebにおいて、サービスを提供するのは現状では問題が多い。しかし、多くの企業等がWebサイト上でサービスを提供したいという流れは変わらないだろう。そのようにWebサイトでサービスを提供するならば、セキュアなWebサービスを開発するのは最低限の責任だ」と語った。

◎関連記事
ソニー、VAIOにセキュリティー脆弱性があると発表
ジャストシステムのオンラインヘルプソフトに脆弱性、約420モデルのPCに搭載

●良い法律を作るためには技術者と法律家の知識が絡み合う必要がある~北沢弁護士


北沢 義博弁護士

 締めに行なわれたジェネラルトラックでは、今回のイベントの主催である特定非営利活動法人日本ネットワークセキュリティ協会の顧問弁護士であり、新東京弁護士事務所に所属する北沢 義博弁護士が「情報セキュリティーの法制度」と題して、情報セキュリティー法制度の動向と今後について講演を行なった。

 まず、現在の情報セキュリティーの法制度に関して北沢氏は「情報セキュリティーを問わず、法の担い手は裁判官や政治家や弁護士などだ。しかし、その法律家の多くが情報セキュリティーに関して、知識が少ないという現状に問題がある。そのような、知識が少ない人間が法律を作成するのでは、欠陥がある可能性も高くなる。まずは、このような法律家に情報セキュリティーを分からせないと駄目だ」と指摘した。

 そして、情報セキュリティー制度の本質は、「情報の流通環境が整備され、情報が安全・確実に流通すること」、「有意義な情報が不正に使用されないこと」の二点を挙げた。前者については、まず郵便などのようにインフラ面の整備から行なわなければならず、法律的には情報の安全流通を害するものに対する規制が主であるという。後者は、コンテンツの保護が主となる。

 この前者の分野に関して、インターネットの登場により新しく誕生した法律が、不正アクセス禁止法、電子署名・認証法、プロバイダー責任法、迷惑メール規正法、などだ。これらの新しくできた法律には、欧州評議会が採択した「サイバー犯罪条約」が大きく影響するという。例としては、条約6条に関連して「不正プログラムの製造・頒布行為そのものを処罰の対象にするか」や、「コンピューターデータと刑事手続(証拠収集)に関して新たな立法が必要か」などが挙げられる。前者を対象とすると、ウィルスや不正侵入ソフトを作成した時点で犯罪となってしまう。これは、例えばウィルス分析チームが研究のために実験用ウィルスを作成した時点でも犯罪となってしまい、研究の妨げなどになる可能性がある。後者には、「トラフィックデータのリアルタイム収集」の項目が入っており、盗聴に近い行為を認定してしまう問題が含まれる。この他にも、サイバー犯罪条約をそのまま国内法に取り入れるのに議論が必要な分野に「児童ポルノ規制」などがあるという。

 次に北沢弁護士は、マスコミの猛烈な反対によって、今国会での成立が難しくなった個人情報保護法案に関して「最近の議論の混乱と今後」を語った。マスコミ等は、個人情報保護法案の第二章の第5条「適正な取得」や、第8条「透明性の確保」などに焦点を当てて議論を行なっているが、これを北沢弁護士は「論点のポイントがずれている。この法案の真の問題点は、第5章の個人情報取扱事業者の義務の点にある」と指摘した。現在議論されている法案で想定されている「個人情報取扱事業者」は、約5,000人分の情報を持っている事業者と想定されている。これでは、日本に存在する殆どの事業者が含まれてしまう。これについては、「今回対象としなければならないのは、何十万件もの個人情報を保有する役所や大企業であるべきだ。しかし、今回の法案では、役所が対象に入っていないばかりか、保有数が5,000人以上の事業者では範囲が広すぎる。また、個人情報取扱事業者に対して役所の監督権があるが、これも重大な問題で極力減らす必要がある」(北沢弁護士)との見解を述べている。つまり、この法案での北沢弁護士が指摘する真の論点は、個人情報取扱事業者の対象を「数十万単位という大量の個人情報を有し、その情報を元に商売を行なっている企業」に範囲を狭めることや、役所の監督権を極力減らし、できれば第三者機関などに任せるべきだという二点になる。

 最後に、北沢弁護士は「情報セキュリティーの法制度は、まだまだ確立されていないというのが現状であり、議論の余地が大きくある。この中でも最も重要なのは『ネットワーク社会における個人の尊厳』や『正当な事業活動』がいかに保護されるかという点だ。これには、情報セキュリティーに詳しい技術者が、知識の乏しい法律家を助けて、お互いの知識を絡み合わせて法律を作って育てていかなくてはならないだろう」と語った。

◎関連記事
日米欧など30カ国、ネット犯罪に対処するサイバー犯罪条約に署名
経産省、サイバー犯罪対策に向けた報告書を公開

(2002/6/13)

[Reported by otsu-j@impress.co.jp]

ほかの記事はこちらから

INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2002 impress corporation All rights reserved.