Enterprise Watch
最新ニュース

シマンテック星澤氏「次世代ウイルス対策には“ウイルス版天気予報”が必要」

~RSA Conference 2004 Japan マネージメントトラック

日本コンピュータセキュリティリサーチ 村上氏(左)、日本ネットワークアソシエイツ 能地氏(中)、シマンテック 星澤氏(右)
 5月31日と6月1日の両日、赤坂プリンスホテルで開催された「RSA Conference 2004 Japan」のマネージメントトラックにおいて、「コンピュータ・ウィルスへの脅威 ~継続する脅威と企業経営への影響を考える~」と題して、小講演とディスカッションが行われた。参加者は、トレンドマイクロ株式会社 戦略室の小屋 晋吾氏、日本ネットワークアソシエイツ株式会社 マーケティング本部の能地 將博氏、株式会社シマンテック Symantec Security ResponseのDevelopment Managerの星澤 裕二氏、日本コンピュータセキュリティリサーチ株式会社 代表取締役社長の村上 清治氏の各氏。進行役は独立行政法人情報処理推進機構 セキュリティセンター長の早貸 淳子氏が務めた。


セキュリティのライフサイクル確立が必要だ

トレンドマイクロ 小屋氏(左)、IPA 早貸氏(右)
 小屋氏はまず昨年猛威を振るったBlasterに関して言及し、「ネットワーク担当者の方の中には、ウイルス対策ベンダに毎年お金を払っているにもかかわらず、Blasterを防げなかったことで責められた人もいると思う。(大規模感染の原因となった)持ち込みPCの制限に関するルールがなかったことは悪いかもしれないが、ネットワーク感染型のウイルスが出てくる前はそれに対する知識もなく、当時感染を防ぐのは難しかった。このように、脅威は変わってきており、追随していくのは難しい」と述べた。

 もちろん対策はあり、こうした通常のウイルス対策だけでは防げないワームが流行した場合でも、「当社では脆弱性のあるPCを検知し、それを埋めてからネットワークへ接続させるような製品を提供したり、脆弱性に関する情報を配信したりすることで、担保することは可能になっている」(同氏)。

 しかし、新しい対策手法を確立しても、ポイントの対策だけではあまり意味がない、とも小屋氏は語り、「セキュリティライフサイクルの確立」こそが大事だと主張した。このライフサイクルでは、どのような脅威があるのか、どのようなルートで感染する可能性があるのか、といった“プランニング”、どうやってパターンファイル更新を徹底するか、社員を教育するかといった“運用”、セキュリティシステムが思った通りに動いているかをチェックしたり、脅威が変わっていないかの確認を行ったり、といった“評価”の各項目を回していくことになる。しかし「セキュリティの場合はこれに加え、もう1手順必要になる」と小屋氏は説明する。

 それは、「新たな脅威への対応」だ。「新しい脅威が登場した場合、その脅威を再評価し、予防措置ができているかの確認、インシデントが起こってしまった場合の対応確認を行っておけば、被害を100%防げなくとも、被害を最小限に防ぐことができる」と、その意義に関して述べた。


コスト、管理負荷、リスクの3つはトレードオフ

 現状のウイルス動向について能地氏は「1時間あたりの感染台数の推移が早くなっており、またマイクロソフトなどのソフトウェアの脆弱性を悪用するもの、SMTPやHTTP経路のものなど、感染の経路も多様化している」とした後、多様化・進化するウイルスに対するのだから、対処方法も新しくなると述べた。その対策とは、クライアントやサーバー用のウイルス対策ソフトだけでなく、アンチウイルスゲートウェイ、ファイアウォール、IDS/IPSを組み合わせて防御を行うこと。しかし、「これらすべてを利用しようとしても予算の兼ね合いなどがあるため、リスクと管理負荷、対策コストのトレードオフで考えるべき」と説明した同氏は、続けてその対策を説明する。

 以前はクライアント対策を行っていれば大部分のウイルスを防ぐことができたものの、前述のようなウイルスの多様化に伴い重要度は変化しており、それだけですべてを防ぐことができなくなっているのは確か。しかし、それでもまず必要なのはクライアント対策とした能地氏は「ここで使われるパターンマッチングは新しい技術で覆せない部分。(管理面を考えた場合)人に任せていてはうまくいかないので、更新スキームを自動化して管理コスト、リスク、負荷を減らすことが大切」と述べた。また、「ゲートウェイ製品やIPS/IDSは(装置そのものの)1カ所だけ定義ファイルを更新すればいいため管理コストやリスクは減る」として、これらをうまく使っていくことで対応できる、と語った。


感染速度の向上に対応するには、ウイルス版天気予報が必要

 続いて登壇した星澤氏もウイルスの多様化に触れ「メモリに常駐し感染したPC内にファイルを作らないCode Redなどの“ファイルレス型”、メールで感染し、多い月では感染数の9割くらいを占める“マスメーラー型”、ファイル共有を利用するBagleなどのタイプに加え、最新ではIMやIRC、P2Pなどを感染経路とするものが出てきている」と述べ、これらに対処するためには、ウイルス対策ソフトだけではなく複合型の対策が必要になっている点を前の2氏と同様に強調した。

 加えて、これらは感染速度も速くなっているとして、注意を促した。星澤氏によれば、感染を拡大する速度別にシマンテックはウイルスを3段階に分類しているが、最近のものは、数時間から数分単位で感染を広げる“クラス2”に分類されるものが多いという。以前のクラス1のウイルスでは、手動で定義ファイルを更新していっても対応ができたが、BlasterやSasserなどのクラス2では、「間に合う場合もあるとしても防ぎきることは難しく、対応に関しては自動化が必要」と説明する。しかし、実際にはないもののコンセプトとしては出てきている“クラス3”では、数秒単位で拡散することが想定されており、自動化したとしてもパターンファイル頼みのような通常の手段では対策が間に合わないという。

 星澤氏は、これに対応するためには事前に何が起ころうとしているのかを察知する、いわゆるプロアクティブな対策が必要とし、例としてシマンテックの早期警戒システムを紹介した。これらのプロアクティブな手段を活用すると、「例えば、何が原因かわからないけれど、TCPポート1434へのアクセスが急激に増えている」という、通常のインターネット世界の出来事では普通に起こることのない事象が発生した場合、ウイルスまん延を警戒して事前に1434を閉じておく、といった対応をすることが可能になる。これらの仕組みを天気に例えた星澤氏は、「傘を持っていく(対策をする)」ことができるようにするため、「通常の取り組み以外に、ウイルス版の“天気予報”=プロアクティブな対策も重要になる」ということを強調していた。


経営者としては、セキュリティに詳しい人を育てるべき

 講演終了後に行われたディスカッションでは、早貸氏の問いに対して各氏が答える形で行われた。最初のお題は「ウイルス対策としてしなくてはならないことが増えているが、すべて導入しようとするとコストに跳ね返ってしまう。導入基準とリスクをどうやって図ればいいのか」というもの。

 ウイルス対策ベンダ側の意見としては、小屋氏が「ITセキュリティには常識がないので難しいが、自社のIT依存度を考えると大まかには出せると思う。例えば生産性の20%をITに依存していれば、それが止まると売上の20%が止まるということ」と述べ、IT依存度からセキュリティにいくらかけられるか、いくらかけるべきかというコストを概算できるとしたほか、星澤氏は「まずセキュリティポリシーを考えるべき。やみくもに製品を導入してしまうと、管理が煩雑になったり、同じ機能のものを複数入れてしまったり、といったことが起こってしまう可能性がある。ポリシーを作ると、何が必要かが見えてくる」、能地氏は「PCの保有台数が5台の会社と1万台の会社ではリスクが変わってくる。感染後の復旧やメンテナンスにかかる時間を考えると、リスクを見極められるのではないか」と述べていた。

 また村上氏は、「費用対効果が一番大事。何%守りたいのかで変わってくる。限りなく100%に近づけることもできるが、ポリシーにそった形でやることが大事。そのためには会社の中に一人二人セキュリティに詳しい人がいないと無理だろう。経営者としてはそうした人を育てることも必要。お金はいくらかけてもかけすぎるということはなく、ウイルス対策の問題は真剣に考えるべきだ」と述べた。


100%守れないならお金をかけても仕方がない?

 次は、「アンチウイルス製品、ファイアウォールなどを入れても感染してしまい、マスコミで報道されるなど大ごとになってしまった例をみかける。何をやっても100%防げないのなら、お金をかけても仕方がないという意見もあるようだが」というお題が提示された。

 これに対しては、能地氏が「ウイルス対策製品はパターンマッチングが基本で、これを利用すれば定義ファイルのあるものはほぼ100%防ぐことが可能。(ウイルス登場の)サイクルが速くなっているので、防げなかった場合は製品の定義ファイルが古い場合など、運用面の問題がほとんどだろう」と回答したが、「ヒューリスティックなどの技術を使ってもマスメーラー系の未知ウイルスは防げないことが多い。ウイルス対策ソフトとは違う技術でブロックすることになる」と、複合型の防御が必要なことも繰り返し述べた。

 星澤氏も「設定ミスや使い方を間違った場合など、漏れがあることで感染することが多い」と、基本的には同じ回答をしたが「セキュリティには100%はない。ソフトである以上、ファイアウォールやウイルス対策ソフト自身にもセキュリティホールが存在する場合もあり、そこを攻撃されてしまう例もある。漏れをなくす努力をすれば100%に近づけることもできるが」と補足した。

 小屋氏からは「パターンファイル提供までには、誤検知しないかどうかのテストも含めて1時間ほどはかかってしまう。パターンファイルに頼る限りは100%はない」という意見と、「ウイルスを作った人が法律で裁かれるようになり、犯罪者として(明確に)認知されるようになれば、コンプライアンスが守られるように、社会が若干変わってくるかも」という意見が出された。


未知ウイルスは検知できるのか?

 「未知のウイルスに対応する技術が実現できる見込みはあるのか」(早貸氏)という質問に対しては、「10年前から対策はしており、方法はたくさんある。CPUメーカーでもバッファオーバーフロー対策をCPU自身に盛り込むなどを行っている。しかし、こうしたものを全部使ってしまうと運用がしにくいシステムになり、どこまで入れるかが難しい。また、ある程度実用化されてきてはいるが、それ以上にウイルスの変革が速い」(小屋氏)、「一番問題なのは、ウイルス制作者が対策ソフトを買って試すことができる、という点。ウイルスを作り替えてしまえばスキャンに引っかからないものができる」(星澤氏)と対策の難しさを両氏が述べた。

 また村上氏がこれに関連して「マスウイルスではなく、感染はしないが悪意を持って送りつけられるスパイウェアやTrojan(トロイの木馬)などに関しても、ウイルス対策ベンダのパターンファイルに取り込んでもらえれば」と述べたのに対し、ベンダ側の3氏は各社ともすでに対応していると回答。しかし村上氏は「対応しているといっても一般に出回っているもので少しだけ。スパイウェアや未知のウイルスなどは、感染後に何らかのアクションを起こすものが多く、そうしたところを監視すればもっと多くのものが検知できるのではないか。スパイウェアなどは広がることはないが被害を起こすという意味では重要な部分なので、ウイルスだけに目を向けるのではなく、こうしたところにも注力して欲しい」と注文を付けた。



URL
  RSA Conference 2004 Japan
  http://www.medialive.jp/events/rsa2004/

関連記事
  ・ 「ユーザーはこんなところに無頓着」ITベンダの3氏がユーザーに望むこと(2004/03/16)
  ・ 「1事業所あたりのウイルス被害額は28万円」IPAが国内外のウイルス被害調査結果を発表(2004/04/27)


( 石井 一志 )
2004/06/01 20:44

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.