 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
WindowsとLinux、それぞれの脆弱性への対応は? |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
RSA Conference 2004 Japan パネルディスカッション
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
|
5月31日、6月1日の2日間開催されているセキュリティ関連イベント「RSA Conference 2004 Japan」のクラストラック「ネットワークへの脅威と対策」でのセッションとして、「システムの脆弱性とOS~問題の所在と取り組み~」をテーマにしたパネルディスカッションが行われた。
システムを管理する側からみれば、システムの脆弱性に関する膨大な情報を収集・分析し、セキュリティを維持することは簡単ではない。また一口に脆弱性といっても、システム作成者が予想しない形で利用される欠陥、ウイルスにより顕在化される通常の利用に問題のないバグといった技術的なことのほか、情報管理体制の不備、不徹底も含まれる。この議論ではOSに的を絞り、バグや仕様上の欠陥のもたらす問題への対処方法、ユーザー/ベンダーやSIの役割と責任などについて議論が行われた。 ■ 脆弱性対応からパッチ/開発プロセスまでを改善するマイクロソフト
まず脆弱性には、OSやソフトウェア製品に関するものに加え、Webサイトでのインターネットサービスやテクノロジー、無線LANやプロトコル、認証システムなどが含まれる。同社では発見者からの報告のほかに、コミュニティ、Web投稿、メーリングリストといったさまざまな情報源を絶えずチェックし、マイクロソフトセキュリティレスポンスセンター(MSRC)に情報を集める。これを判断して製品開発者に確認を行い、脆弱性の評価と修正、更新プログラムのビルドとテストが一気に行われている。その後プログラムによる変更点を社内でテストし、問題があれば開発チームへのフィードバックが行われる。このテスト期間までは約2週間とのことだ。そして毎月第2週にセキュリティ修正プログラムが世界同時公開される。同社では公開後にも修正内容について監視し、必要であれば見直しを行っている。 一方のインシデントは、ウイルス/ワームのほか、クラッキング、デマメール、フィッシング詐欺など。「実際に事が起きたかどうか」を判断材料に、ワールドワイドのセキュリティチームを経て、トレンドマイクロやシマンテック、ネットワークアソシエイツといったセキュリティベンダーをはじめとしたパートナーと連携しながら解析チームが作業を行うという。
同氏はセキュリティ対策実施にあたっての困難として、“情報伝達の壁”があるとした。同社OSは世界で2億以上のPCで稼動しており、すでにダウンロード数からはパッチ適用状況を把握できなくなっているという。さらに新聞各紙1億5,000万部の告知広告を行っても、約1割のユーザーにしか効果がないとの調査もあるという。一方で約4割のユーザーが、知り合いからセキュリティパッチの情報を入手しているとのことだ。同氏は「マイクロソフトがどれだけ活動しても、セキュリティの状況が劇的に変わることはもうないだろう」としながらも、同社ではコミュニティ活動を重視した活動も行っていきたいとした。 またAuto Updateについて「勝手に動かれるのは気持ち悪い、またパフォーマンスダウンにつながるので止めるといった風潮があるが、この意識を変え、アップデートの恐怖感を拭い去るようにしていきたい」と述べた。 また過去と同様の攻撃手法が、引き続き被害を出していることにも触れ、「感染ホストをインターネットから遮断する方法はない」とし、感染根絶は難しいとした。 このほか対策の実施をより容易にするため、パッチ適用プロセスについても今後改善を行っていくという。パッチの展開リスクを低減するため、テスト人員を増強するとともに、2004年中旬までにMSI 3.0ベースのパッチにロールバック機能を実装する。またMBSA、SMS、Windows Updateの検出エンジンをSUS 2.0で利用されているものに共通化し、一貫性を向上する。 2004年後半までには、Windows 2000以降のOS、Office、SQL Server、Exchange Serverの各製品についてパッチのインストーラをMSI 3.0もしくはUpdate.exeのいずれかへと統合し、複雑性を低減するとともに、パッチプログラムについて「劇的にサイズを減らす」“デルタ技術”を適用する。また適用後の再起動回数も削減し、Windows Server 2003 SP1では、パッチの30%が再起動不要で適用可能になるという。 ■ 基本はオープンながら脆弱性対応はクローズドなGNU/Linuxのプロセス
1991年からカーネル開発が始まったLinuxについては、1990年代後半からは、IBMをはじめとして産業界で広く使われ、また2000年以降は政府でも関心が高まり、日中韓で連携した取り組みなどが行われていることが紹介された。 同氏は「もともと“Free”は自由、オープンを基本とした情報の共有の一形態」と述べ、「技術情報を企業の差別化手段と考える商用ソフトウェアと大きく違い、ソースコードの流通による自由な変更と再配布が認められている点が、結果として開放型の開発を促し、多くの開発者が参加することになった」とした。そのコミュニティには誰もが参加可能で、基本的にはどのような情報も共有される。 こうしたコミュニティの活動として同氏はCVE(Common Vulnerabilities and Exposures)、OVAL(Open Vulnerability Assessment Laungage)を紹介、これらの一定の協力のもと、セキュリティの情報がやり取りされているという。またDebian、SUSE、Red Hatといった各ディストリビュータもこれらに準拠する形でアドバイザリを出しているという。同氏は「コミュニティの影響なしに、セキュリティ、ソフトウェアを安心して使える形にならない」とした。 脆弱性情報については、Debian GNUでも情報流出の危険性を考慮し、レビューからテスト、対応パッケージの作成までがクローズドなコミュニティ内で作業が行われるという。ただ「オリジナルオーサーという考え方がもともと希薄で、修正を行うのが作者とは限らないのがフリーの特徴」とした。 同氏は「自律分散型の開発と利用を行うフリーの枠組みは、階層型の構造でなく、それぞれが自分で判断する。これがこれからの社会の要請に応えられるのではないか」と述べ、。「産業界や政府に頼っていては、本当の安全、安心にはならない、この2つに市民運動を加えた3者がそれぞれを補完すべき」との考えを示した。 ■ コンプライアンスを前提にするといまの商用OSは力不足
「コンプライアンスを支えるのはマネジメントとセキュリティ」とした同氏は、最近の情報漏えい事例を踏まえ、「本来はアクセス権のない社員に情報を渡すなど、企業内でルールを徹底していない。多くは技術でない問題になってしまう」とした。 OSのパッチマネジメントについては、「2年前にビル・ゲイツ氏が“Trustworthily Computing”といい始めてから、これまでにずいぶん改善した」との見方を示した。マイクロソフトのツール「MBSA」はじめ、「プラットフォームの安全性を確認できるツールはそろいつつあると認識している」と述べた。 同氏は「パッチ管理は脆弱性問題の中でも一部分に過ぎず、事後の話。根本問題は、脆弱性を出さない考え方にある」とした。開発プロセスについて同氏の目から見ても「マイクロソフトは変わってきている」という。同氏の所属するIBMでも、セキュリティ標準に沿って開発を行っている。同氏はソフトウェアの品質標準としてのISO 15408、ベンダーの開発体制の指標となるCMMIのほか、ベンダーそのものの管理体制の基準となるISMSなども重要とした。 同氏は「企業のコンプライアンスを考えた場合に、いまの商用OSには弱い部分がある」と述べた。これはroot、administrator権限さえあれば、アクセス権限を勝手に設定できてしまうほか、自分のコピーしたデータは、オーナーとして権限を設定できるなどの点を指してのこと。 同社のメインフレーム用OSであるRACF(zOS)では権限が細かく分かれており、「ひとつの作業をするために、いくつかの権限を別々に取る必要がある」とし、「これまでは軍でのみ考えられていたが、SELinuxなど、強制アクセス制御についても今後はまじめに考える必要がある」とした。 次にTrusted Computing Group(TCG)の取り組みについて触れた。TCGでは、OSやミドルウェアなどのプラットフォームの身元が正しいか、汚染されていないか、またデータ取り扱いのポリシーなどについて、逐一計測してチップに格納し、遠隔からリモートでこの値を参照できるチップの標準仕様を定義している。AMD、HP、IBM、Intel、Microsoftなどが中心となっており、国内からはソニー、富士通が参加している。IBMではクライアントPCの一部で既にセキュリティチップを実装しており、マイクロソフトのNGSCBなどもこの取り組みの一環となる。 ■ 脆弱性情報をいかにユーザーに届けるか
委員会報告では、ウイルスなどからの攻撃により、セキュリティ上の問題が顕在化する状態を脆弱性と定義されており、脆弱性とその関連情報についての流通の仕組みが定められている。 脆弱性の攻撃と検証の方法については公表されない一方、ポートを閉じるなどの回避方法とパッチ適用などの修正方法について、「必要な人に向けていかにあまねく届けるか」が目指されている。 IPAの試みについては「経済産業省の情報セキュリティ総合戦略に基づいて、脆弱性関連情報の流通体制を国主導で作った構想」とし、7月の開始が予定されているとした。「ベンダーと発見者の直接取引はよくないのではないか。公的な色彩をもった機関があったほうがよい」との考え方に基づいているという。ソフトウェア製品の脆弱性のほか、Webアプリケーションについても脆弱性情報取り扱いの一連の流れが定められており、こちらは「統計情報を定期的に公開してセキュリティを高めていく」とのことだ。 また同氏の所属するJNSAとTelecom-ISACが主体となり、「脆弱性対策情報をいかにスムーズにユーザーに伝えるか」にクローズアップした組織となるインターネットセキュリティ推進対策協議会の設立も明らかにされた。「エンドユーザーが困ったときに窓口になるPC購入店や製品ベンダー、ISPなど」が会員になる。また企業ユーザーにとっての窓口としてSIも会員として想定されている。 「ユーザーにとっては自分が知ったときがゼロデイ」とした同氏は、脆弱性発見から攻撃までの期間が短期化していることについて、「何千万台にパッチを当てる、またベンダーが何千万人のユーザーにメールで告知するまでの時間が足りない。中身はともかく“重要な情報がある”というだけでも事前に情報がいただけけないか」としたが、これを受けたマイクロソフトの奥天氏は、「デマメールなど事前情報にも弊害が想定される。一切のリスクはなるべく排除したい」とし、さらに「たとえアメリカや日本の政府が相手でも、事前情報は出さないポリシーでやっている」と述べた。しかし「意味は痛いほど理解できるので、何か別の方法が考えられないか、本社にフィードバックしてみたい」とした。 最近、一部海外機関などから、更新プログラム発行前にマイクロソフト製品の脆弱性情報のみが公表されている。IBM BCSの丸山氏は、自身が1997年にNetscapeの脆弱性を発見した際に、1,000ドルの小切手を受け取ったことを紹介、「脆弱性のFinderに対して報告しようと思わせる仕組み、モチベートをいかに与えるかも大事」とした。マイクロソフトでは最近、セキュリティ更新プログラム公開の度に協力者への謝辞をクレジットしており、富士通総研の前川氏は「これもハッカーの勲章になる」とした。新部氏によれば「Debianでは定常的プロセスには入ってはいないが、3~4日のカンファレンスでバグをつぶした人に賞金を出したりすることはある」とし、また不定期ながら開発プロセスにおいて“バグ潰しの日”が設定されることもあるという。 またIPAの取り組みについて、下村氏から「オープンソースの脆弱性の有無の問い合わせ先はどうなるのか」との設問が新部氏に出され、「MySQLやRed Hatなどのビジネスディストリビュータを除くと何らかの代表できる立場の組織はない」とし、自らが「そうした社会的要請を受けられるような市民運動を展開できればと考えている」とした。 ■ URL RSA Conference 2004 Japan http://www.medialive.jp/events/rsa2004/
( 岩崎 宰守 )
|
|
|
|
|
|
|