Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

セキュリティ業界のベストプラクティス: Black Hat 2010

Created: 13 Aug 2010 09:27:21 GMT • Translations available: English
Gary Phillips's picture
0 0 Votes
Login to vote

業界カンファレンスの後、学習したり確認したりしたことをじっくり振り返り、それを現在の仕事にどのように応用できるかを考えることが私にとっての優れた実践法であることに気が付きました。カンファレンスでは学習して取り入れることがたくさんあるため、少しの時間ですべてのことを混ぜ合わせ、カンファレンスの雑音から離れて自分のデスクに戻ってから、新たに学習したことを掘り返すのにその実践法が役立ちます。BlackHat が終わってほぼ 2 週間が経ちましたが、カンファレンスのトピックや確認できたことが私の頭の中でごちゃごちゃになっています。これらの考えを業界の仲間ともっと詳しく調査して、セキュリティ業界のベストプラクティスの向上に貢献できるような自分なりの方法を見つけられたらと思っています。
 
サイバーセキュリティの専門家には教育が必要

教育は、サイバーセキュリティの専門家にとって依然として関心のある分野です。大学を卒業したコンピュータ科学者や、学位を持ったほかの専門家は安全なソフトウェア製品を作る準備が十分にできていないという認識があります。あるコメントが BlackHat の多くの出席者の共感を得ていたようでした。「ジャーナリズムの卒業生が適切な文法で書くことを期待されてよいのであれば、コンピュータ科学の卒業生が安全なコードを書くことを期待できないのはなぜでしょうか?」というものです。この問題は、多くの課題、特に絶え間なく変わるテクノロジーの状況に合わせてカリキュラムを調整する必要があるということが原因になっています。さらに、セキュリティは「野菜も食べなさい」と言われて学習するようなものでもあり、コンピュータ科学のほとんどの学生にとって関心度は高くありません。雇用主や SAFECode などの団体には、大学に対して、安全なソフトウェア製品を作り出すために十分に訓練された卒業生が必要だということを知らせる役目があります。
 
Web を壊すべきか?

この質問は、BlackHat カンファレンス中にするには奇妙なものに思えますが、実際にいくつかのセッションで話題になりました。Tim Berners-Lee 氏は、Web を、ドキュメントを簡単に共有するメカニズムとして考えていました。彼はもともと、Web が、グローバルな e コマースやリアルタイムのビデオ配信の基盤になったり、あるいはネットワークでつながった社会の基礎的なインフラになるとは考えていませんでした。現在のニーズを満たすために Web に求められている機能の多くは、後から付け加えられたものです(大部分は Web のアプリケーション層で)。たとえば、Web はステートレスであるため、ほぼすべての Web 2.0 サイトではアプリケーション層になんらかの形のセッション管理が実装されています。これは役に立つソリューションですが、理想的なものではありません。これまで、Web はユーザーのニーズに合わせて進化してきましたが、進化だけでは不十分で、革命が必要なときに近づきつつあるのではないでしょうか。Web の下位互換性を維持しながらテクノロジーを前進させることが理想的な目標ですが、BlackHat の多くの講演者や出席者によると、その目標は達成できないかもしれません。
 
無線ネットワークは有線ネットワークより安全か?

この問題に対して、BlackHat のパネルディスカッションで意見が一致したのは、驚いたことに「はい」という答えでした。最初は聴衆の間に驚きが走りましたが、出席者の多くの賛同を得たのは、有線ネットワークよりも高いセキュリティが無線ネットワークで実現できている数多くの要因があることでした。まず、暗号化やアクセス制御などのセキュリティテクノロジーは、無線アクセスポイントでは当たり前のものですが、有線ネットワークでは依然としてほとんど使用されていません。次に、多くのネットワーク管理者はアクセス制御を確実に行うために物理的なセキュリティに頼りすぎており、最近のいくつかの侵入事例で見られるとおり、悪意を持った人間の手が届くような出入口の近くに放置されたサムドライブが、実はファイアウォールで保護されたネットワーク内に物理的にアクセスできる最も簡単な経路となります。さらに、安価で効率的なスイッチが入手できるようになったことも、管理の行き届かないところでネットワークが拡大する要因になっています。これが、今すぐ有線ネットワークのコードを抜いて、あらゆる場所で無線アクセスポイントを展開した方がよいことを意味するわけではないという点で意見は一致しました。しかし、私たちは視野を広げて、用心深くなるべきです。ドアに鍵を掛ければ有線ネットワークの安全が確保されるわけではないことを常に意識しておかなければなりません。無線ネットワークの安全を確保しているのと同じ原則やテクノロジーを、有線ネットワークにも適用する必要があります。
 
BlackHat での脆弱性公開に関する議論

最近、ソフトウェア業界は、いくつかの企業が脆弱性公開に関するポリシーの変更を発表したことで騒然としています。BlackHat は、この継続中の議論を行う場となりました。ある研究者は、ソフトウェアベンダーが「責任ある公開ポリシーの背後に隠れるのをやめる」べきだとコメントしましたが、そのようなポリシーに「責任ある」という言葉を使用することに対して軽蔑しているように見えました。ほかの人たちは、顧客やパートナーの両方がソリューションを展開できるようになるまで、ベンダーは顧客やパートナーに不利になるような立場に立つことはできないという点を理由に、このようなポリシーを擁護しました。この議論で理解しにくいと感じた 1 つの事実は、ソフトウェアビジネスのバラバラな体質です。たとえば、顧客基盤の小さい製品が、数多くインストールされている製品よりすばやくパッチや更新をリリースすることが期待される場合があります。同様に、SaaS ベンダーが、多くの場合、修正を数時間で作成、テスト、および展開できる一方で、従来の市販型ソフトウェアベンダーはリリースまでに数週間が必要なことがあります。現在のところ、すべてのソフトウェアベンダーにとって公平な状況ではないため、脆弱性公開に対する期待は各製品にとって現実的な範囲内で決める必要があります。
 
バグに対する報奨金

このような脆弱性公開に関する話題と同じように、バグに対する報奨金についての発表が最近いくつかありました。著名なベンダー数社が資金を増やし、製品内に存在するバグを報告した研究者に現在数千ドル程度支払っています。このため、他の企業にとっては、報奨金を支払ったり増額したりしなければいけないというプレッシャーが高まってきています。これは、セキュリティを確保するために、開放的に行う方がよいのか、秘匿的に行う方がよいのかを尋ねるのと似ていて、ある種宗教的な議論となる場合があります。あるベンダーは、報奨金を支払うことにより、コード内の不具合を見つけて、不具合に関する議論は研究者とベンダーにとどめるよう研究者にオープンに働きかけています。一方、多くのベンダーは、どの研究者が不具合を見つけたかについて一般に(場合によっては従業員に)公開していますが、その成果に対して金銭的な報酬は直接支払っていません。では、どちらが優れているのかという議論は続きます。
 
そして最後に、男性の皆さんに警告です。BlackHat において、元連邦政府職員の委員会では、サイバー犯罪の逮捕と有罪判決につながった一番の情報源は、前妻であると認めていました。もっとも、男性の皆さんはサイバー犯罪を行うのではなく、パートナーにやさしくしてください。