エンタープライズ:ニュース 2002/08/01 23:34:00 更新


Black Hat Briefings Report:セキュリティのプロが集結した真夏のラスベガス

7月31日、8月1日の2日間にわたり、米ラスベガスにて、セキュリティに関するカンファレンス「Black Hat Briefings」が開催された。今回のカンファレンスの中心的な話題は、無線LANやプライバシー、WebサーバやCGIの脆弱性対策といったトピックだ。

 Black Hat Briefingsは、1997年より毎年、ラスベガスをはじめ、シンガポール、シアトル、アムステルダムの各地で開催されているセキュリティカンファレンスだ。企業システム管理者、システム開発者、政府機関のセキュリティ担当者、ベンダー、サービスプロバイダなど多様な人々が集まり、新技術およびそのセキュリティ対策について情報交換を行う場になっている。

 カンファレンスのスピーカーには、セキュリティ業界のベンダーやシステム管理者、コンサルタントといった各分野の専門家が選ばれており、営業的な情報を抜きに、現在起こりうる脅威について述べ、ネットワーク管理者やIT管理者に対して、重要なシステムを防御する方法をプレゼンテーションする。参加者側にも豊富な知識と経験を持つものが多く、各カンファレンスでは次々と質問が飛び交う光景を目にすることができる。

bhat01.jpg
昼食時のスピーチに立ったリチャード・ジョージ氏

 米ラスベガス、シーザーズ・パレスを会場に行われている「Black Hat USA 2002 Briefings」も例外ではない。NSA(米国歌安全保障局)のセキュリティ評価グループ担当テクニカルディレクターのリチャード・ジョージ氏も、「(Black Hat Briefingsは)我々にとって、さまざまな分野のセキュリティ専門家と意見交換を行う最良の場である」と述べている。

やはり無線LANの脆弱性がトピックに

 今回のカンファレンスの中心的な話題は、無線LANやプライバシー、WebサーバやCGIの脆弱性対策といったトピックだ。

bhat02.jpg
Black Hat USA 2002 Briefings会場の風景

 無線LANに関しては、構築における費用と時間が軽減できるだけでなく、利用者の利便性が高いことから、日本でも企業内での導入が進むほか、ホットスポットの構築が進んでいる。

 しかしながら、ザ・シェムー・グループのブルース・ポッター氏は「規模によっては、無線LANの方がトータルコストが増大する場合が多く、安易に導入すべきではない」と警告した。

 またセキュリティ面に関しても、同氏およびアットマークステイクのマイク・シフマン氏は、セッションの中で、たとえWEPを設定したとしても次の弱点が存在すると発表した。WEPは、無線LAN規格のIEEE802.11に用意されているセキュリティ用の設定だ。

    1.物理的なセキュリティに欠ける

    2.WEP自体の管理が煩雑である

    3.通信の暗号化機能がない

 1.は、電波の届く範囲内にいればそれを拾うことができるため、ネットワークの利用範囲を限定できないという問題である。逆に、電波の届く範囲を限定することは、無線LANの利点と相反するため、利用者がセキュリティと利便性のどちらかを選択する必要がある。

 次の2.は、WEPキーを使用し、それを大規模にユーザーに配布する場合、手間が非常にかかるという問題だ。社内の人間のみが利用可能なWebサイトに掲示するという方法もあるだろうが、セキュリティ的に問題がある。また、もし掲載したとすると人間関係や部署間に強力な信頼関係(絶対に部外者に閲覧させないなど)を築く必要があり、コストの面で問題が生じることが考えられる。かといって、ネットワーク管理者が個別に配布する場合は、利用者の増大と共に作業コストも増大し、現実的ではない。加えて利用者が多い場合、何らかの理由でWEPキーが漏洩するという事故が発生しやすくなり、WEPキー自体の耐用年数が減少する。これも管理コストの増大を招くと考えられる。

 3.は、無線LANの通信フレーム自体を暗号化する手段がないということだ。通信の内容自体は、VPNやSSL、SSHといった他の手段を利用しなければならない。これは非常に大きなセキュリティ上の問題だ。暗号化のために他のプロダクトを利用すると、利便性は低くなり、複雑性が大きくなる原因にもなってしまう。

 これらの問題点を回避し、せめてデータ部分だけでも暗号化するために、ポッター氏やシフマン氏はSSLやSSH、VPNの利用を推奨している。

 また最後には、このような問題点を解決すべく、アクセスポイントとクライアント間の認証のセキュリティをいっそう高めることを目的にした、PEAPといった技術が提案されていることも強調された。

 このようにセキュリティの専門家が集う場での意見交換を通じて、無線LANが今後、便利で安全に使える技術になっていくことを期待したい。

関連リンク
▼Black Hat

[烏山雄大(三井物産GTIプロジェクトセンターコンサルタント),ITmedia]