〔前編〕OSSとセキュリティのスペシャリストが考えるITインフラの未来

【OSSのプロフェッショナルたち #1】IoTに代表されるように身近なものがインターネットに接続されるようになってきました。しかし同時に、不正アクセスや情報漏えいのリスクも高まることから情報セキュリティがあらためて注目されています。CISSP (Certified Information Systems Security Professional - セキュリティ プロフェッショナル認定資格制度)の有資格者で、サイオス OSS&セキュリティエバンジェリストの面 和毅(おも かずき)に、セキュリティに関する国内外の動向、OSSコミュニティでの取り組み、これからの挑戦などについて聞きました。

記事をシェアする

  • twiiter
  • facebook
情報セキュリティ分野の啓発活動に注力

― 面さんは、情報セキュリティ分野のスペシャリストとして啓発活動に力を入れていますよね。どのような取り組みが中心でしょうか?

まず、啓発活動の一環として企画・運営に参画しているメディアが、サイオスが提供するOSSポータルサイトのなかの「サイオス セキュリティブログ」です。こちらでは特にサイオスが長年得意としてきたOSSとITインフラに関するセキュリティの技術情報および、セキュリティインシデントレポートに関する情報をタイムリーに発信しています。主たる情報源の1つは、脆弱性情報の収集と重複のないCVE(共通脆弱性識別子)の採番に努めているMITRE社が公表するサイトです 。

― 脆弱性に関するまとまった情報をサイオス セキュリティブログから入手できるのは情報システムを開発・運用するユーザーやIT事業者にとって便利ですね。2016年10月~12月だけでも約30件の脆弱性報告が投稿されたと伺いました。

実際は、投稿している数以上にもっと多くのインシデントが報告されています。ただし、セキュリティブログでは編集ポリシーとして、(1)対象ソフトウェアのディストリビューターが脆弱性に関する情報を出さない限りは記事としてあげない、(2)サイオスが問い合わせに対して回答できないことはあげない、という原則を掲げています。速報性よりも信頼性を重視しています。

「脆弱性については、信頼できる有用な情報を伝えることをポリシーとしています」と語るOSS&セキュリティエヴァンジェリストの面和毅。プライベートでは筋トレを欠かさない子煩悩なパパです

― しばしば速報性に偏りがちなメディアも見かけますが......。

そうなんですよ(苦笑)。対応策も出ていないのに世の中を騒がせても、OSSを用いて自社のWebサイトやECサイトを構築している企業などの現場は混乱するだけです。サイオス セキュリティブログでは脆弱性が発見されたらとりあえず騒ぎ立てるようなメディアとは一線を画して、信頼できる有用な情報を伝えることに重きを置いています。

とはいえ、先日も脆弱性に挙げられていましたが、Apache Struts1など商用サポートの切れた古いOSSを使っている企業では対策も尽きていますのでそろそろ最新版に更新するか他のWebアプリケーションフレームワークに切り替えるほうがよいでしょう。

なお、サイオスでは脆弱性診断に関するサービスも提供していますので適宜利用していただきたいですね。

― 2017年3月10日には「OSSセキュリティ技術の会」が発足しました。こちらは面さんも発起人の一人ですね(関連記事:「OSC2017 Tokyo/Springで講演&出展」)

そうです。「OSSセキュリティ技術の会」では主にIT技術者向けの勉強会やメーリングリストを介した情報交換を行う予定です。政府も企業・団体にCISO(Chief Information Security Officer)やCSIRT(Computer Security Incident Response Team、シーサート)を組織内に設置するよう呼びかけていますし、実際に取り組み事例も増えてきました。

ただ、具体的にどのような技術を用いて実装するのか、平時はどこに注目して運用管理やセキュリティの改善策を講じ、いざ問題が起きた時にはどのように対応するべきかなど、実務に必要な情報がまだ十分でない点が懸念されます。「あとは任せた。よろしく頼む」と現場の技術者や外部のIT事業者に丸投げ、というケースも目立ちます。そうした悩みに直面する技術者同士で切磋琢磨し、互いにフォローしあう場を設けたいなと、OSSセキュリティ技術に関心のある人たちと話をしてきました。その結果、2017年3月に私自身も発起人の一人になって立ち上げたのがOSSセキュリティ技術の会です。勉強会では、脆弱性診断、パッチ管理ツール、強制アクセス制御、OSなど実務面について中立的、客観的な立場で情報交換をしていきます。また、技術の会のメンバーが日経Linuxなどのメディアにも寄稿していく予定です。

情報セキュリティに対する欧米と日本の違い

― 脆弱性を突く脅威も年々、多様化、巧妙化していますよね。

はい、その通りです。ただ、脅威については技術的にはそれほど大きく変わっていません。感染させたPCや特定のデータをロックしたり、暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求する不正プログラムの一種であるランサムウェア(Ransomware)も実は30年前にありました。調べてみるとまだインターネットが普及する以前にフロッピーディスクで出回ったなどの話もあります。

昔はハッキング・クラッキングといった行為は個人が技術を見せびらかすための愉快目的やいたずらレベルだったものが、今では攻撃をおこなう側の目的が変わってきています。主体が個人から組織へ、政治的信条に基づく行動や、金品を奪う犯罪がインターネットの普及とともに増えています。発電所をクラックして停電させた事例もありましたが、国の重要インフラを狙ういわばサイバーテロが現実の脅威となっています。国家間の戦争の舞台は陸海空にサイバー空間も加わり、各国の軍隊が予算とリソースを投入して対策を講じている状況です。

― 日本でも政府が対応を発表しているようですが、面さんはどうご覧になりますか?

個人的には、「戦争に対する危機感が乏しい」というのが実情ではないかと思います。というのも、米国や韓国、イスラエルといった国は取り巻く情勢の厳しさから政府と軍が関係諸国とも連携しているほか、情報セキュリティに関連する法体系の整備も進めています。日本も重要インフラに対する情報セキュリティ対策が急務でしょう。

日本でも、2020年の東京オリンピックを迎えるにあたって、包括的なセキュリティという観点で、法整備やエンジニアのスキルアップ、攻撃を専門におこなえるエンジニアのハイアリングなどが始まっています。オリンピックでは、国家が威信をかけて内部システムの攻撃をおこなってきますので、それを防ぐためにも高度な防御技術と、攻撃と防御どちらにも通じた人材が必要になってくるわけです。

こうした攻撃への対策としては、昔から言われているように、「これを入れたから大丈夫」的な魔法のソリューションはやはりないわけで、いわゆる多層防御と呼ばれるさまざまなシステムレイヤでの保護や、人的教育、法律によるバックアップなどが多岐にわたって必要になってきます。

例えば、システム側での最も基本的な対策としてはネットワークに接続する外縁を守ることで、具体的には秒間何万というDoS攻撃が来ても耐えられるようなUTM製品を入れるといった、各サイトで実施できるソリューションもありますし、さらに上位のISPと連携して異常なトラフィックをISP側で遮断するようにしてしまう手立てなどがあります。また重要施設においては機密情報を持ち出させない、漏らさないために、内側の守り、内部統制も重要となります。

⇒〔後編へ続きます〕あいまいな責任分界点がセキュリティリスクを高める

記事の関連情報

「OSSセキュリティ技術の会」(Secure OSS SIG http://www.secureoss.jp/
Open Source Conference(OSC)2017 Tokyo/Spring 参加レポート「オープンソースカンファレンス 2017 Tokyo/Springで講演&出展

製品・サービス各ページへのリンク一覧

最新情報

PAGE TOP