インタビュー
2004/04/07 08:40 更新
Interview:
「優れたセキュリティ対策」は「優れた企業」を意味する
米Counterpane Internet Securityのブルース・シュナイアー氏は、「脆弱性とは常に存在するもの」と指摘。それを踏まえた対策が必要という。
米Counterpane Internet Securityは先ごろインテックコミュニケーションズと提携を結び、日本でのセキュリティ監視サービスに乗り出した。これを機に、同社の創設者にしてCTO(最高技術責任者)のブルース・シュナイアー氏とワールドワイドセールス担当上級副社長のケビン・セナタ氏が来日。両氏に、最近のインターネット上の脅威の動向と同社のサービス展開について聞いた。
情報セキュリティの“病気”は見えにくい
ITmedia インテックコミュニケーションズとともにサービスを展開することによって、地域に特有のセキュリティイベントへの対応も容易になりますか?
シュナイアー 大半の脅威というのは、特定の地域に限られたものではありません。利用されているネットワーク機器やテクノロジは共通ですし、そこで発生するワームやウイルス、攻撃ツールにもほとんど違いはないのです。
ただ、その背後にいる犯罪グループは異なるでしょうし、スパムメールなどの言語的な違いもあるでしょう。こういった違いを考慮して、セキュリティ監視サービスのWebポータルを完全に日本語にローカライズして提供していきます。
ITmedia 脅威が世界中に広まるまでの時間がどんどん短くなっている一方で、ローカライズに時間を要しすぎることはありませんか?
セナタ 日本語を話すことができるエンジニアを東京に配置したほか、インテックコミュニケーションズの提携に基づき、同社のエンジニアに米国でのトレーニングに参加してもらいました。こういった取り組みを通じて、リアルタイムでの脅威の分析を可能にしていきます。
ITmedia 昨年のSlammerのように、わずかな時間で全世界に広まるワームも登場しており、対処が非常に難しくなっています。
シュナイアー おっしゃるとおり、脅威が広まるスピードは非常に高速化していますが、どんな脅威が発生しているかを速やかに把握し、迅速にレスポンスを取ることによって保護することができます。だからこそ、ワールドワイドに展開することに意義があるのです。Slammerのように韓国から発生しする脅威もあれば、米国発の脅威もまた存在します。国際的に監視を行い、その時点ごとに対策することが重要です。
ITmedia その意味では、現実の世界における伝染病対策に似ていますね。
シュナイアー ええ。ほぼ皆が同じような環境にあり、同じような問題に手をこまねいています。そこに規模の利益があり、アウトソースすることのメリットが出てくるわけです。
ITmedia ただ、症状によって感染を把握できる伝染病とは異なり、サイバーセキュリティの場合は異常を知ることが困難なケースがあります。
シュナイアー 伝染病ならば、新聞などで報道されるでしょうし、自分でも熱が出ていることが分かります。しかしサイバーセキュリティの場合、“病気”はなかなか目に見えません。だからこそ、被害を実際にこうむる前に、今いったいどんな状態にあるのかを把握するセキュリティ監視が重要になるのです。
ITmedia もう1つ、いくつかの伝染病には特効薬が開発されていますが、情報セキュリティにはそんな万能薬はありえませんね。
シュナイアー セキュリティに関しては、たった1つのソリューションなどというものはありえません。Slammerに関して言えば、パッチが治療薬となりますが、万能薬というわけではありません。
脆弱性とは常に存在するものです。パッチは対策たり得ますが、今度はどのパッチをいつ、どのように適用するか、優先順位を検討することが重要になります。その意味でプロセスが大切になってきます。
問題はテクノロジではなく、人
ITmedia 最近のセキュリティインシデントに目立つ傾向はありますか?
シュナイアー ワームやウイルス、ティーンエージャーによる攻撃といった事柄は相変わらずです。ですが最近の傾向として、現実の“犯罪行為”が増えてきていることが挙げられます。つまり、クレジットカード番号や口座情報、顧客名簿といった重要な情報を盗み出すようなケースです。しかもそれは、企業内部の犯罪であることが多いのです。
ITmedia 以前から、実は外部からの攻撃よりも内部犯行のほうが多いと言われていましたが、それがさらに顕著になったということですか?
シュナイアー 実際には内部か外部かの区別には難しいところがありますが、どちらも重要な脅威であることに変わりはありません。ただ、不満を持った社員やパートタイムによる内部犯行の場合、より深刻な被害を及ぼすことが多いのは事実です。
ひとつ言えるのは、コンピュータの分野に限った話ではありませんが、新たなテクノロジが登場すれば、新たな脅威もまた現れるということです。問題はテクノロジではなく、人です。テクノロジは確かに、問題の性質を変えますが、人のプロセスの問題に取り組まない限り、問題が好転するとは思えません。
ITmedia 内部犯行による情報漏えいの問題が深刻化しています。対策はあるでしょうか?
シュナイアー どういった経緯で情報が漏えいしたかにもよります。ユーザーによる操作ミスならば、教育が重要になります。またリソースに対するアクセス制限を行えば、情報漏えいの可能性は低くなるでしょう。ただ、社内の人間は基本的に信頼されているわけですから、こういった問題を防ぐのはなかなか困難です。
ITmedia それを踏まえて企業は、セキュリティ向上のためにどんな対処をとるべきでしょうか。
セナタ 1つのテクノロジだけでは脅威を止めることはできません。ファイアウォールや不正侵入検知システム(IDS)にしても、それだけでは不十分です。多層的セキュリティというアプローチを取り、さまざまなテクノロジを組み合わせ、ポリシー管理の下に統合してうまく回していくことができれば、セキュリティは改善されるでしょう。
ITmedia 今後登場しうる脅威にはどういったものが考えられますか?
シュナイアー 脅威の大半は、過去と同じようなものでしょう。ただ、こういった脅威が登場するペースは、もっと速くなるでしょう。また技術面では同じでも、その裏にある動機が変わってくると思います。同じテクノロジを用いていても、より犯罪的になるのではないでしょうか。
その一方で、ツールを手にした若者による攻撃は引き続き行われるでしょう。企業は常に攻撃にさらされるわけですが、膨大な数のいたずら的な攻撃の中から、本当に深刻な、危険な攻撃を特定する必要が出てきます。ですがこの作業は、非常に難しいのです。
ITmedia ノイズの比率が上がり、S/N比が悪化するというわけですね。
シュナイアー ええ。IDSなどは1日に数百ものアラートを出しますが、そのほとんどはノイズです。そこで、本当に危険なものをきちんと抽出することが重要になってきます。一方で、実際にダメージを与えかねない深刻な攻撃の数は、指数関数的に増加しています。この手のリスクはますます高まっているのです。
セナタ その意味で、Counterpaneが提供するサービスのユニークな点は、サービス開始時にあらかじめ、企業ごとにレビューを行い、「平常」の状態を把握していることです。あらかじめ情報を収集してベースライン(基準)を作り、チューニングを行うことによって、異常な活動を迅速に特定できます。古典的なセキュリティ侵害だけでなく、トラフィックが急激に増加したときなどにも、即座にこれはおかしいと判断し調査を行うわけです。
ITmedia われわれは引き続き、脅威とうまく付き合っていかなくてはならないわけですが。
シュナイアー 脅威やリスクを理解し、同時にテクノロジの限界もわきまえたうえで、プロセスを確立し、脅威やリスクに対処するため継続して努力していくことが重要です。優れたセキュリティ対策が実現できれば、優れた企業だと言えます。
ITmedia 現場がそれを分かっていても、経営陣の理解がないためにそれを実現できないケースが多々あります。
シュナイアー この数年で少しずつ改善されており、日本よりは先を行っているとはいえ、米国でも同様な問題があります。この部分に関する啓蒙は非常に重要です。
関連記事
ビジネス上の問題が解決されなければセキュリティは向上しない、ブルース・シュナイアー氏講演インテックが2種類のセキュリティサービスを展開、既存のEDIを強化関連リンク
Counterpane Internet Securityインテックコミュニケーションズ[聞き手:高橋 睦美&堀 哲也,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
