セキュリティへの取り組みに不可欠なのは「正しい知識」とCybertrust

米CybertrustのCTOを務めるピーター・ティペット氏が来日。製品に頼り過ぎなくとも、正しい知識に基づく設定の見直しでセキュリティの向上は図れる、と述べた。

[高橋睦美，ITmedia]

　「確かにファイアウォールやアンチウイルスといったセキュリティ製品の果たす役割は大きいが、あまりにもそれらだけに依存しすぎている。大事なのは製品だけでなく、正しいプロセスと知識。適切な手順で適切な設定を行うことで、脅威の侵入を食い止め、セキュリティを改善できる」――。

　12月10日、米CybertrustのCTOを務めるピーター・ティペット氏が来日し、プレス向けに説明会を行った。ICSA Labsのチーフ・サイエンティストも兼務するティペット氏は、「『他社がやっているからウチも』という安易な考え方で、正しい意思決定を伴わないままセキュリティ対策に取り組んでも、支出に見合った効果を得ることはできない」と指摘し、正しい知識や情報に裏打ちされた対策が重要だと語った。

設定見直しで大きな効果

　Cybertrustは、今年9月、BetrustedとTruSecureとの合併で誕生したセキュリティ企業だ（9月22日の記事）。PKIをベースとするアイデンティティ管理のほか、独自の監視網や測定手法に基づく脅威の管理、脆弱性管理、さらに各種セキュリティ標準や個人情報保護法に対応するためのコンプライアンス管理という4つの分野にまたがってセキュリティサービスを提供している。

　ティペット氏が説明会およびインタビューを通じて強調したのは、「何をすべきかという正しい知識を、適切なタイミングで、正しい人に伝える」ことの重要さだ。これができれば、新たなセキュリティデバイスの購入などに無駄な投資を行うことなく、既存の機器を生かしつつ、必要十分なセキュリティを実現できるという。

　たとえば「あまりに新たな脆弱性を心配しすぎてはいけない。その前に、今確実にできるセキュリティ対策を実施すべきだ」（ティペット氏）。セキュリティアップデートやウイルス対策ソフトの導入も重要だが、その前に、ACL（アクセスコントロールリスト）やNATといったルータの基本的な設定の変更、あるいはInternet Explorerやメールの設定の見直しなどの単純な作業を行うだけで、劇的にセキュリティを改善できるとティペット氏は言う。

　というのも、毎年新たに4000個を超える脆弱性が発見されるが、実際に攻撃に転化するのはわずかな割合に過ぎない。それらすべてについていちいちパッチを適用しても、「大半は無駄な努力に終わる。それも、何千、何万台と端末がある企業でパッチを適用するのは、コストがかさむ上に業務の中断につながってしまう」（ティペット氏）。

　だが、うちいくつかは悪用され、深刻な被害をもたらしかねないのも事実だ。そこで、脆弱性と各組織の状況とを照らし合わせ、それがもたらすリスクの順位付けを行ったうえで、「クリティカルなものに絞って、組織を危険から守るためのナレッジを提供していく」と同氏は述べた。

　事実、2001年に登場したCodeRedが悪用したInternet Information Server（IIS）のISAPIエクステンションの脆弱性（MS01-033）について、同社ではワームが活動を開始する1年前から警告を発していたという。それも、「悪用を防ぐための推奨サーバ構成を記した文書に加え、その設定変更が確実になされたかどうかを確認するツールも合わせて提供した」（ティペット氏）。さらに、顧客それぞれにメールや電話で連絡をとって対策を推進した結果、「実際にCode Redが発生したとき、サービスを提供している4万台のサーバのうち、CodeRedに対して脆弱だったのはわずか2台に過ぎなかった」（同氏）。

　「Cybertrustでは、単なる製品の脆弱性チェックに終わらず、組織におけるリスクを効率的に軽減するための知識を提供していく」（ティペット氏）。

組織犯罪の影

　ティペット氏は、世界初のウイルス対策製品を開発した人物としても知られている。

　そのティペット氏によれば、「20年前に『すべてのコンピュータにアンチウイルス製品が必要になるだろう』と予測したところ、聴衆は『そんなバカなことがあるか』と言って物を投げてきた」そうだ。しかし残念ながら、同氏の予測は当たってしまった。

　そしていまや、ウイルス作者の背後には、金銭を目的にした組織犯罪の影が見え隠れするようになった。多くの企業がインターネットコマースへの依存度を高めるようになった結果、DDoS攻撃を仕掛けるという恐喝が有効に機能するまでになっている。

　こうした変化を踏まえ、「ハッキングやワームも増加するだろうが、特に、何千、何万台というPCに潜むボットネットが仕掛ける攻撃に注意が必要だろう」とティペット氏。そのため、攻撃を仕掛ける「ボット」の背後に存在する本当の攻撃者を追跡する技術を提供していくという。

　また同社は、ハッカーコミュニティの中に潜入して、攻撃に関する最新動向を探るといった取り組みも行っているが、それによれば携帯端末をターゲットにした攻撃にも注意が必要そうだ。「まだ成功は収めていないが、何千人というハッカーが携帯電話のOSのソースコードを入手し、侵入方法について話し合っている。ナレッジを共有し、それは熱心に話し合っている」（ティペット氏）。