ITmedia エンタープライズ

　「複合型」と呼ばれる脅威が個人PCユーザーにも襲い掛かった2003年。幅広く普及したブロードバンド接続による利便性の向上は、企業だけでなく個人にもいやおうなくセキュリティ対策の必要性を迫った。インターネットセキュリティ脅威レポートで知られるシマンテック システムエンジニアリング本部の野々下幸治本部長に2003年のウイルス動向を振り返ってもらった。

ITmedia　Slammerに始まりBlasterと、2003年はウイルス騒動が社会的にも注目を集めました。昨年はどのような1年でしたか？

野々下　我々が脚光を浴びないほうが本当はいいのかもしれませんが、非常に忙しい年でした。2001年のCode RedやNimdaが登場したときから警戒していた「複合型」と呼ぶ脅威が、昨年初めのSlammerによってまさに現実の問題になりました。当社では2001年のCode RedやNimda以前から、買収によりアンチウイルスだけでなく、ファイアウォールやIDS（不正侵入検知システム）で複合型の脅威に備えるソリューションを提供してきました。また、SecurityFocusやRiptechを買収して、情報提供や顧客をマネージできるようにしてもいます。そういう意味で、当社にとっては複合型の脅威に対して準備してきたものがうまく機能した年とも言えるかもしれません。

　セキュリティベンダー各社も、複数のソリューションを統合させた動きを見せました。ベストオブブリードという形でファイアウォールとアンチウイルスを統合したり、ファイアウォールベンダーがIDSベンダーを買収して、ファイアウォールIDPを提供するなど、複数のソリューションをまとめた統合型を提供し始めたのが目立ちました。

ITmedia　かつての脅威と複合型の脅威は、どのように異なるといえますか？

野々下　これまでウイルスというと電子メールで感染するものが主体で、知らない人から届いたメールや怪しいメールは開かないなど、ユーザーが自分で対策をする方法がありました。しかし複合型になると、ユーザーがメールをクリックしなくても、脆弱性をついて勝手に感染してしまいます。感染を避けるにはエンドユーザーであっても、パッチの適用を徹底したり、ファイアウォール、IDSを導入するなど、きちんとしたセキュリティ対策が必要になります。複合型の脅威に対しては、マナーやリテラシーといったものは通用しなくなってきています。

「仕事始はセキュリティ情報に注意してコンピュータを使い始めてください」と野々下氏

　また、昔は感染すればその症状を出しましたが、いまは感染症状を出さないということもあります。現在でも、BlasterやWelchiaは夜になるとパケットを出しています。これは明らかにユーザーが感染に気が付いていないためでしょう。複合型の一番の特徴は、ユーザーが感染に気付かないことにあります。恐ろしいのは、スキルと悪意を持った人がこういったコンピュータを利用しようとすれば利用できる状態になったままになってしまっているということです。

ITmedia　エンドユーザーにパッチを適用させることが難しいということも分かった年でもありました。

野々下　マイクロソフトがTVCMなどでWindows Updateを訴えるなどしていますが、ユーザーを啓蒙・教育できるレベルには限界があると思います。何が解決策になるかというと難しいのですが、一番の問題点は、Windows 9xといったインターネットの上でいろいろな人がつながることを想定していなかった、古いOSをどうするかです。想定されずにデザインされているので、後追いでプロテクトしていかならず、話はかなり難しくなってきます。

ITmedia　対策はないのでしょうか？

野々下　当社のようなセキュリティの会社の製品をエンドユーザーに利用してもらうか、ユーザーがつながっているISPのところで被害を広めないようにする方法が考えられます。感染パケットの経路を末端で把握するより、ISPの中で発信源を特定すれば、自分の顧客ですから対策もしやすいわけです。既にISP自身でもウイルスチェックを無償で提供しているところもあります。次は複合型に対して感染パケットを外に出さない、感染を通知するといった対策を講じることは可能だと思います。

　いまインターネット上はワームのパケットであふれています。こうなってしまうとIDSを仕掛けても、システム管理者は膨大なログデータに埋もれて、攻撃を仕掛けている人がいても分からない状態でしょう。実際に当社のSOCの調査では、ワームのパケットを隠れ蓑にして攻撃を仕掛けるといケースも観測されています。

ITmedia　セキュリティの専門スキルを持った人材が不足していることにも関係してくるのでしょうか？

野々下　セキュリティとはいっても、全員が知っておかなければならないレベルと、IDSのログを解析できるような特殊なレベルの2つに分けて考える必要がありますが、全体的にはセキュリティ意識は高まってきています。ただ残念なのは、日本はセキュリティ技術を導入するのは米国に負けず積極的なのに、運用面で劣っていることです。

　もともとシステムがセキュアかそうでないかの議論は、ベースラインがあって始めて成り立ちます。しかしこのベースラインを忘れて、技術だけを導入しようという傾向が日本にあります。Windowsにしても、不要なサービスを使わないなど、設定を変えればセキュリティを高められます。こういったもともとのベースライン知らずに技術で固めてシステムを設計しているように思います。

　システムを構築する場合、たいていはアウトソースになると思いますが、安全性の考え方そのものまでアウトソースしてしてはいけません。本来、安全性がどうあるべきかは発注元が持っておくべきです。日本では最低限のペネトレーション（侵入）テストで終わりになっています。もっと高いレベルでベースラインを持って、これに合致させていく必要があります。

　技術を使う前にリクスを小さくすることがセキュリティの根本的な考え方になります。技術だけで対処しようとすれば、新しい脅威に対応できなくなってしまいます。そういう意味で、マネージドセキュリティサービスや情報提供サービスなどが登場してきているわけです。

ITmedia　それでは、2004年の脅威に対処するために私たちは何をすべきでしょうか？　それに対応するためにシマッテックが向かう方向を教えてください。

野々下　複合型の脅威は今後もなくならならず、反対に増えていくでしょう。ユーザーにとってアンチウイルスやファイアウォール、パッチのコントロールといった、いわゆる基本的なセキュリティ対策は、個人でさえも当たり前で欠かせないものになってきます。そして、できればセキュリティの状況に対して関心を持つようにしてください。

　昨年、当社はセキュリティを統合的にマネジメントできるソリューションを提供し、解答を提示してきました。次にユーザーが関心を持っているのは、クライアントPCのライフサイクル管理です。昨年、当社はパッチ管理のOn Technologyとストレージライフサイクル管理のPowerQuestを買収しまています。今年はライフサイクルセキュリティや、ライフサイクルマネジメントといった分野へ解答を示せる年になると思っています。

2004年、今年のお正月は？
元旦は家族そろって初日の出を見に行っていたという野々下氏。「子供が成長すると、なかなか家族そろって初日の出をとは行かなくなってね」と笑って話すが、今年も家族と一緒に初日の出を見に行こうと提案する予定だ。

2004年に求められる人材像とは？
エンジニアの観点では、セキュリティ全体を幅広く見渡せる人材が必要になるという。「重箱の隅をつつくような技術ばかりを見ているエンジニアよりも、顧客のシステムの中でセキュリティがどうあるべきか、を判断できなければならない。“木を見て森を見ず”というエンジニアではダメです」。

関連記事
新春インタビュースペシャル2004

[聞き手：高橋睦美、堀 哲也，ITmedia]