ニュースレターNo.26/2004年3月発行
特集2:xSPのセキュリティの未来
~JPNIC・JPCERT/CC セキュリティセミナー2003報告~
JPNICと有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は、「xSP※1の日々のオペレーション」に焦点をあて、実務上必要なセキュリティへの対応方法を4回シリーズのセミナーとして開催してきました。具体的には、セキュリティ対応を「(1)(基礎知識を)学ぶ」→「(2)(インシデントから)守る」→「(3)(インシデントに)対応する」→「(4)(インシデントから)復旧する」と四つのフェーズにわけ、そのフェーズを一つ一つ学習していくという構成です(図1)。本特集では、4回シリーズの締めくくりに行ったパネルディスカッション【xSPのセキュリティの未来】の中から、各分野を総括してパネリストが語ったセキュリティの「未来予想図」を抜粋してお届けします。全4回セミナーのエッセンスを多少なりとも感じていただければと思います。
パネリスト
警察庁情報通信局技術対策課 伊貝耕氏
独立行政法人産業技術総合研究所 高木浩光氏
(株)NTTデータ 西尾秀一氏
(株)インターネットイニシアティブ 三膳孝通氏
奈良先端科学技術大学院大学 山口英氏
モデレータ
JPNICインターネット推進部担当理事 佐野晋
責任と投資
~ASP・SIの立場から~
西尾秀一(株式会社NTTデータ)
ASP・SIの立場からセキュリティの未来を考えると、二つの要素があると思います。一つ目は「義務」の要素。すなわち、IT社会を支える企業として、社会的責任はますます重くなるということです。安全性の基準や設計標準に沿ったサービスを提供しないと企業として淘汰されていくでしょうし、また将来的にはASP企業の情報セキュリティ格付けが行われる可能性もないとはいえません。このような厳しい状況下で社会的責任を果たすためには、事業者間で脆弱性情報やインシデント情報を共有化できる仕組みも鍵になります。また、情報セキュリティインシデントに備えた契約を結んでおく必要性や、外注先・パートナー企業に対するセキュリティ面での監督・監査を強化することも必要です。
二つ目は「投資」の要素です。先に述べた厳しい状況を「義務」の側面だけではなく、「ビジネスチャンス = 投資」として捉えることも可能です。セキュアなASPサービスを提供できれば、競合他社との差別化要因ともなり得ます。というのも多くの企業は限られたリソースを本業へ集中させたいため、可能な限りセキュリティはアウトソースをしたいと考えているからです。
ASPが元気になるためには、やはり「ビジネス的に成功する」ということが非常に重要です。とは言え、なかなかすぐには成功できない場合もあるでしょうが、IT社会を支えている、このインフラは自分達が支えているというある種の使命感を持つことが必要なのではないでしょうか。矛盾しているかもしれませんが、ボランティア的な使命感から出発し、その上でビジネス的な成功を夢見るということが、この業界を発達させることにつながるのではないかと思います。また現在は、セキュリティに詳しい技術者は大変少ないと考えられています。各自資格などを取ることにより、それを「自分のビジネスチャンス」につなげて自身の価値を高めることも可能です。逆境を価値に転換する発想が必要です。
犯罪の発生を前提としたセキュリティの枠組みを
~法執行機関の立場から~
伊貝耕(警察庁情報通信局技術対策課)
今やインターネットは情報通信分野でもっとも廉価なインフラとなっています。これを利用し事業を行おうとすると、対象は「一般大衆」となります。そうなるとまさにxSPのサービスが犯罪に利用されるという状況は、さほど特殊とは言えなくなってきています。
インターネット上で犯罪が発生した際、ネットワーク上で行われる行動について検証するためには、システム上に残されるログを解析する以外に方法はありません。ログがないと客観的証拠がないということになり、捜査が行えないわけです。特に、インターネットは公的な空間のように見えていますが、インターネットというインフラは私的空間の集合として成り立っているとも言えます。警察は、公的空間においてはある程度の活動を許されていますが、私的空間においてはその活動が著しく制限されています。よって、私的空間を守るのは第一義的にはそれぞれの管理者ということになるのですが、管理者がこれを怠って犯罪が行いやすい場所であると認識されると、そこが犯罪の巣窟となりやすくなります。もし巣窟化するようなことになると、その対処にコストもかかります。したがってxSPは、社会的責任を持つという側面を考えあわせても、自身が管理する空間にはきちんと責任を持つことが必要なのではないでしょうか。
これまでともすると対立関係にある警察とxSPというような報道がされることもありましたが、そのようなことは決してありません。民間は、自らの作り上げた私的空間で犯罪が起こる可能性を防ぐ最大限の努力をし、それでも犯罪が発生した場合は、警察(等の公権力)が最小限の関与を行うという形が理想なのではないでしょうか。
Webの脆弱性はなぜなくならないのか
~開発技術水準向上の立場から~
高木浩光(独立行政法人 産業技術総合研究所)
Webの脆弱性や個人情報の漏洩がなくならないのはなぜでしょうか。適正な費用をかけずにWebサイトが構築されているからでしょう。安いサービスが使われ、入札で安いところが落札する。そうなる原因として、セキュリティ欠陥が存在し得ることが認識されていない、適正費用の算出法に標準がない、発注仕様にセキュリティ要件を書く方法がわからないなどの点が挙げられます。ではどう問題を解決していけばよいのでしょう。まずは、欠陥が存在した事実の統計情報を公表するなどして、欠陥種別ごとの発生頻度と想定被害規模等を皆が把握することです。
他方で、開発技術者が一般ユーザとして普通にサイトを利用している過程で、そうした欠陥に偶然に気付くことがあります。気付いた人は、その事実をどこにどう伝えたらよいのか困惑することがあるようです。欠陥情報の不安定な暴露という事態を避けるためにも、どこかの機関が届出を受け付ける機能を持つとよいでしょう。事実確認の際に不正アクセス禁止法が定める禁止行為をしてはなりませんから、指摘できる欠陥の種類は限定されますが、それでも、ファイルが丸見えになっているといった指摘を取り次げれば、掲示板で暴露されて被害が拡大するといった不幸な事態は減らせるでしょう。
また、届出の内容から、欠陥種別ごとのリスクや対策時間の実態を統計情報として公表できれば、対策コストの標準が自然と定まっていくでしょう。発注仕様でのセキュリティ要件の標準ができれば、Webアプリの脆弱性は減っていくと考えられます。
そもそも、Webアプリというのは危なっかしいものです。サイトごとに必要な作りを柔軟にできる反面、構築者が自前でセキュリティに関わる部分を実装するのですから、欠陥が頻出するのは当然です。あえて非現実的な主張をすれば、Webアプリを使うのはやめるべきと言えます。専用クライアントを提供するなら、これほどまでに欠陥が続出することはないでしょう。これまでは、ネットサービスの便利さを消費者に気軽に体験してもらうことが最優先でしたが、もうそろそろ、安全を優先してもよいころではないでしょうか。
レイヤのセキュリティはレイヤごとで
~ISPの立場から~
三膳孝通(株式会社インターネットイニシアティブ)
ネットワーク上でレイヤ3※2を提供するISPの立場からセキュリティを考えると、いろいろと悩ましいところがあります。最近は特に、アプリケーションなど他のレイヤで起きたインシデントに、レイヤ3側で対応することを要求されますが、こちらではコネクティビティを第一に考えているため、適切な対応がとりにくいというような点がこれにあたります。各レイヤごとに対応すれば本質的対応が取りやすいし、そこで守る形が理想です。
インターネットがここまで発達した一因は、ネットワーク利用の過程において、アプリケーションや端末を規定しなかったということが挙げられます。その端末やアプリケーションの問題解決にレイヤ3側がすべて対応するとなると、それはほとんど不可能に近いことです。この点をユーザや各レイヤの技術者にうまく伝え、認識してもらうということが、今後のサービスを組み立てる上で重要なポイントなのではないでしょうか。
組織のみがネットワークにつながっていた時代から、人がつながり、次の時代は「モノ」がつながっていくことが見えています。「モノ」は疲れを知らないので、それをどうコントロールするかが次の時代の課題であり、これを各レイヤの技術者はきちんと考えなくてはいけません。ISPにとってのセキュリティの理想を言えば、基本的にユーザ自身が自分のやりたいことを判断してコントロールをできる環境があり、ISPはそれを代行することです。しかし、現在のように取り巻く環境が複雑になっている中、すべてを一般ユーザに理解してもらうことは難しくなっています。
利便性が高まり、ネットワークが使われる幅が広がることによって、ますますインターネットはインフラとしての重要性を増すことでしょう。さらに我々ISPの今後は厳しいものになっていくとは思いますが、ただ今回のセミナーのような場で、皆が集まって悩みを共有し、何とかしようという動きがここまで大きくなっているということは喜ぶべきことです。こうも環境が複雑になると「レイヤのセキュリティはレイヤごとで」とは言っていられない事態も出てきます。これをまたがって調整する仕組みをうまく機能させてほしいという点において、JPCERT/CC等の組織には期待していきたいと思います。
良いお店は良いお客が作る
~ユーザの立場から~
山口英(奈良先端科学技術大学院大学)
ユーザがあるサービスを購入する場合に、何をポイントとするかを考えると三つの指標があると思います。「カスタマイズにどれだけ対応してくれるか」、とは言いながらも 「パッケージ性が高く、導入に手間がかからない」こと、そして「効果発現までの時間」の3点です。携帯電話のようなサービスを例にとると、個別化はなくパッケージ性も高く、導入の手間は全然かかりません。しかし、設備を借りるサービスを例として考えた場合は、パッケージ性が高く個別化の必要がないところまでは携帯電話と同様ですが、導入に手間がかかるので、顧客の満足度は高くないなどと分析できます。では、セキュリティサービスの導入についてはどう考えられるのでしょうか。
そもそも「セキュリティ」というものは、それ自体、場面に合わせた個別化が必要で、パッケージ化できない種類のものです。また効果発現にも時間がかかります。こう考えると、xSPのサービスを購入する場合には、まず、そのxSP自身にとっても、自身の「セキュリティ」の導入はオーバーヘッドだということを想像した上で、サービスを選ばなくてはなくてはならないということです。すなわち、xSPのサービスの中には、見栄えはよくても、最終的な利益率を勘案し、自身のセキュリティを棚上げにしたサービスもあるかもしれないと考えられるのです。
また、解決する技術はたくさん提案されていて、それが手の届く範囲にあるにも関わらず、それを実践しない作り手もいます。したがって、顧客としては購入前にはきちんとしたサービスが提供されているかを見極める目と、購入後も定期的チェックを怠らず、悪いところは正確に伝える姿勢が重要です。また、受けたサービスの対価は値切らずに適切に支払うことも重要です。良いお店は良いお客が作り上げていくものなのです。
残念ながら、セキュリティの問題を解決する魔法の薬も決定打も今のところありません。それでもセキュリティに関わる時には常に新しい解決法を求めるチャレンジを行い、バランスの中でベストの解を見つけていくこと、また知見などを積極的に共有することが重要です。少しの知恵で、大きな進歩が望めるのです。
JPNICの会員をはじめとするオペレータの皆様の真のニーズにあった情報を、という思いからはじめたこのセキュリティセミナーですが、予想以上の反響をいただいて嬉しく思っております。(図2)JPNICにできることを考えた時にこういったオペレータ同士の情報交換の場の提供ということは重要な役割です。2004年度も、形態こそまだ未定ですが、セキュリティやISPオペレーションに焦点をあてた活動を行っていければと考えております。
モデレータ:JPNICインターネット推進部担当理事 佐野晋
※本稿は2004年2月4日に東京大手町サンケイプラザにて開催した「第4回 JPNIC・ JPCERT/CC セキュリティセミナー2003」のパネルディスカッションでの話をもとに編集したものです
(文責:JPNIC インターネット推進部 根津智子)
参照URL
- JPNIC・JPCERT/CC セキュリティセミナー2003
- http://www.nic.ad.jp/security-seminar/
- セキュリティセミナー資料
- http://www.nic.ad.jp/ja/materials/security-seminar/
- ※1 xSP
- ISP(Internet Service Provider)やASP(Application Service Provider) 等のネットワークを基盤とした多様なサービスを提供する企業
- ※2 レイヤ3
- OSI参照モデル(コンピュータの持つべき通信機能を7階層に分割したモデル)の第3層のこと。ネットワーク同士の通信を行うための方式を規定している