JPCERT/CCの歌代氏、「大人が相手の時代には根本的なセキュリティ対策が必要」

JPCERT/CCの代表理事、歌代和正氏は、プログラミングの段階で根本的に脆弱性に対処しておくことが必要だと述べた。

[ITmedia]

　「今までは子供が相手だったが、これからは本当の大人を相手にしていかなければならない」――設立から10周年を迎えたJPCERT/CCの代表理事、歌代和正氏は、今後のセキュリティ対策上の課題をこのように語った。

　この10年間で、インターネットを取り巻く状況は大きく変わった。中でも、Webや常時接続の登場によって、比べものにならないほど多くの人がインターネットを使うようになり、実用化が進んだと歌代氏。「当初は一部のモノ好きが使うものと見られていたが、インターネットの実用化が進み、それを用いて何か別のことをやろうと考える人、ツールとして使う人が増えてきた」（同氏）

JPCERT/CCの代表理事、歌代和正氏

　それにともない、リスクも増している。ウイルスからボットへの変化がその1つだ。MellisaにせよNimdaにせよ、大規模に感染はしたものも基本的には「愉快犯」だった。しかし、最近被害が増えつつあるボットは「裏のマーケットのビジネスに使われている」と歌代氏は述べた。

　「ボットは感染していても分からず、やられた方が気付かない。作者は、暇にあかせてではなく、きちんと報酬をもらってこうしたボットを作成しているからだ。その意味でボットは非常に『堅牢』だ」（歌代氏）

　フィッシングにも同様の傾向が見られると歌代氏は述べた。今のところ日本では、欧米に比べフィッシング詐欺の被害は少ないが、それは「ただ単にユーザーが少なかったから。オンラインバンキングなどが本格的に使われるようになり、ユーザー数がクリティカルマスを超えた瞬間、そこを狙って攻撃を仕掛けてくるのではないか」と同氏は警告する。

コードの段階で根本的な対策を

　もちろん、考えられる対策はある。たとえばボットについては、「ウイルスの場合と異なり、まだ対策がビジネス化していない。この部分に市場経済の原理がうまく働くような支援が考えられる」（歌代氏）。またフィッシングについては、たとえば送信者認証や電子署名のように、送り主の身元を確実に確かめる手段が、もっと簡単にユーザーフレンドリーに使えるようになることが必要だという。

　さらに「もっと根本的な対策を見つけていかなければならない。構造的に脆弱性やバグといったものを排除する仕組みが必要だ」と歌代氏は述べた。つまり、プログラミングのときに脆弱性を作り込まないという手法である。「事件が起きてから対処するのに比べ、プロアクティブに対処する方がいい」（同氏）

　特に、これからは組み込み系や情報家電などで、PCやインターネットの世界と同様の問題が浮上してくる可能性がある。

　もちろん、C/C++などで安全なプログラミングを行うための手法やフレームワークは存在するものの、「まだ使いこなせていないのが現状。せっかくいいツール、いい環境があるのだから、ぜひ開発者にそうした知識や本来の意味での『ハック』の楽しさを知ってもらい、根本的なプロテクションを実現してほしい」と歌代氏は述べた。なおJPCERT/CCでは、11月9日、10日の2日間、C/C++言語を使って安全なプログラミングを行うためのノウハウを紹介するセミナーを開催する予定だ。

　同時に、セキュリティについて考える開発者がまだ少ない背景には、受注者側の意識もあるのではないかと同氏は述べる。「発注者側にも、いろいろな状態を想像できる力や危機意識、当事者意識が必要」とし、その部分の意識改革も必要だろうと述べた。