| エンタープライズ:ニュース | 2003/05/01 22:15:00 更新 |
セキュリティ対策、不可欠なのは「脅威モデルの作成と深みのある防御」
米BBNテクノロジーズのステファン・ケント氏によると、セキュリティに関する状況はどんどん悪くなっている。同氏はセキュリティをテーマとしたカンファレンスの中で、次々と課題を指摘した。
Networld+Interop LasVegas 2003では、いくつかのテーマに沿って、内容を掘り下げて解説するカンファレンスが行われている。その中の1つ、「Internet Security:Reality or Myth?」では、米BBNテクノロジーズの情報セキュリティ担当チーフ・サイエンティスト、ステファン・ケント氏が情報セキュリティ対策の基本について語った。
ケント氏は冒頭、CERTやFBI、SANSなどがまとめているインターネットセキュリティに関する統計を紹介することから始めた。どの情報を見ても、事態はどんどん悪くなっていることは明らかだ。結局のところ、「脆弱性や欠陥のないシステムは存在しない。セキュリティ対策はまずこうした前提に立つことから始めなくてはならない」と同氏は言う。
「課題の1つは、ほとんどの企業が自社にとっての“脅威”を定義していないことだ。多くの企業では“脅威モデル”を作成していないし、それゆえ、セキュリティ上の対策もまとまっていない」(ケント氏)。同氏はさらに、自社の環境や業態、アプリケーションや仕事の進め方に沿って脅威を定義し、弱点を管理していかなくてはならないと述べた。
ケント氏によると、システム上の欠陥は大きく分けて3つの要素に起因するという。1つはデザイン。もう1つは、バッファオーバーフローなどがその代表例だが、実装のプロセスだ。そして最後は、設定や管理ミスなどの人的要因である。そのうえ、寄せ集めの、つぎはぎだらけの形でセキュリティ対策がなされていることが問題を悪化させている。
といっても、手をこまねいているわけにはいかない。そのために必要なことは「深みのある、徹底的な防御というコンセプトだ」(ケント氏)。
しかしながら、われわれを取り巻く状況はあまり歓迎できるものではない。セキュリティホールを悪用するためのツールが出回っており、誰でも容易に入手できるし、システムそのものは複雑化の一途をたどり、管理はますます困難になっている。
また多くのソフトウェア製品では、機能について知ることはできても、品質となるととたんに保証が困難になる。脆弱性テストやコードレビューが行われているのかどうか、行われているとしたらどのようになされているのかを知るのは難しい。
ケント氏の指摘はまだ続く。「アプリケーション開発の分野では、脆弱性を極力少なくするための手法について大きな前進が見られない。設定や管理は脆弱性を生み出す温床だが、これも特効薬があるわけではない。そのうえ、安全なシステムを構築するためのコンサルティング手法は、専門家の少なさもあってまだ確立されていない」(同氏)。
こうした数々の悲惨な状況を踏まえた上で、われわれにできることとは、基本的かつ地道なアプローチしかないとケント氏は語った。
まずは会社としてのセキュリティポリシーを策定する。そして、さまざまな可能性を視野に入れて脅威モデルを作成する。この2つを基に、自社の環境に合わせた戦略を立て、それに沿って一貫したセキュリティ対策を行う、というわけだ。そして「実際に対策を取るときには、できれば独立した第三者機関によって評価を受けた製品を選ぶのが望ましい」と同氏はいう。
それにしてもセキュリティ対策は、国を問わず、誰にとっても頭の痛い問題のようだ。「システムを安全にするのは本当に難しい。未知の脆弱性に対処するのは困難だが、それはどのような製品にも存在する可能性がある。適切に管理しようにも、システム内にどういったコンポーネントがあるのかを追跡し、記録することさえ難しい」(ケント氏)。
何よりも根本的な原因は、人にあることは言うまでもない。「多くの企業では、意思決定権を持つ人物が、脅威についてあまり理解していない。また、ユーザー教育が不足している場合も多い」と同氏は指摘し、講演を締めくくった。
関連リンク
Networld+Interop LasVegas 2003[高橋睦美,ITmedia]
