強靭なセキュリティを築くために コンピュータのOSやソフトウェアの脆 弱 性(製品に含まれるセキュリティ上の問題点) を狙う 巧妙なサイバー攻撃に対し、世界的なIT企業はどんな対策を講じているのか。 経済産業省とIPA(独立行政法人情報処理推進機構) が共催する 「セキュリティ・キャンプ」 を企画・指導する サイバー大学の園田道夫教授に、情報セキュリティにおける問題と対策ついて話を伺いました。 ぜいじゃくせい セキュリティ事故を防ぐため、 攻撃者の手法を学ぶ ――近年、大規模な顧客情報の 流出など、セキュリティ事故が 相次いで起こっていますね。 転機となったのは2007年 頃です。ウイルスを作成できる ツールが出現し、続いて実行者 の身元を分からなくする遠隔操 作ツールなども出てきました。 その結果、犯罪者の技術的なハ ードルが下がり、サイバー攻撃 が急増したのです。 * 獲得しました。 実は、脆弱性を扱う市場は2 つあり、その1つは、初めにお 話したウイルス作成ツールなど が流通するブラックマーケット です。新たな脆弱性を発見した 場合、その情報はブラックマー ケットに売ることもできますが、 それに対して〝表の世界〟で対 価を支払う仕組みが報奨金制度 やコンテストになります。特に ITベンダーの垣根を越えて行 われる国際的なコンテストでは ブラックマーケットでの価格感 を突いてくるケースも増えてい 講じられていない未知の脆弱性 とになっています。ツイッター ダーでは、いまや当たり前のこ のです。これは海外のITベン 撃者の手法」を徹底して学んだ の協力者)の声に耳を傾け、 「攻 制度という形で、外部の優れた さなければなりません。報奨金 は、膨大なコストと時間を費や 未知の脆弱性を摘み取るために 進みます。しかし、残り %まで セキュリティ対策の は、ツールの活用などで順調に 内ITベンダーやクラウド事業 様の取り組みが、より多くの国 度」は高く評価しています。同 サイボウズの「脆弱性報奨金制 日本のIT企業の中で、先陣 を切って報奨金制度を開始した を見て値付けをしています。こ ます。 やグーグルなども、セキュリテ 知見を取り入れていくことは、 者に広がっていくことを期待し れはブラックな市場に流出させ ――ベンダー側も、提供するI ィの脆弱性を発見した通報者に 企業活動の経済性という観点か (脆 弱 性 を 発 見 し 指 摘 す る 善 意 Tサービスやソリューションか 賞金を支払う報奨金制度を拡充 らも理に適っています。 また最近では、「ゼロデイ攻撃」 のように、セキュリティ対策が ら脆弱性を排除する努力が求め し、クラウドサービスの堅牢性 体となった大きな取り組みと 輩出している。サイボウズ・ ています。 なり、多くの優秀な人材を ないためにも重要なことです。 られています。 向上に役立てています。 加いただき、合宿形式で集中的 に脆弱性を検証してもらいまし た。そこでの発見がサービスの 品質向上に役立てられています。 また、協力者の攻撃手法を学び 自社検証に生かしています。 理推進機構)、産業界が一 %の 例えばマイクロソフトは、開 発プロセスに脆弱性検査を取り を開くケースもありますね。 ――海外では、複数のベンダー 未知の脆弱性を摘み取る 報償金制度 昨年はモバイルに関する世界 的な脆弱性発見コンテストで、 入れるなど大改革を行い、ここ ィを劇的に向上させました。 ――優秀な人材を抱える企業が、 三井物産の子会社が率いる日本 名に参 が合同で脆弱性発見コンテスト ――どんな施策が功を奏したの なぜ外部の方からの通報を募集 チームが優勝し賞金400万を この2つの検証・監査を前提 として、さらに外部のセキュリ 品質へのこだわり サービスに脆弱性が発見され たと聞くと、怖いと思われる方 ラボ社も講師を派遣。 十年ほどで自社製品のクオリテ でしょうか。 しているのでしょうか? 外部のセキュリティ通報者 開催しました。合宿では、国内 関に調査してもらうことで、よ トップクラスの見識者 施するこの自社検証が、全ての ティ専門家による視点や知見を 国内外から報告が集まる 脆弱性報奨金制度 り安全性を高めています。 証 を 行 っ て い ま す(図 1) 。サ 脆弱性対応のベースになります。 ービスの内部仕様を理解して実 弱 性 発 見 コ ン テ ス ト「 cybozu. 取り入れる目的で実施している 脆弱性を発見した善意の協力者 はいらっしゃると思います。け のが「脆弱性報奨金制度」です。 に、対価(報奨金)をお渡しす れども、本当に怖いのは、脆弱 専門機関による外部監査 自社検証に加え、 cybozu.com が提供している全サービスを対 るという制度です。 社内で検出されていない未知の 藤彰嗣に話を聞きました。 象として、外部機関による脆弱 性に気付かずに攻撃を受けてし 性の監査を年間1回以上実施し 経 済 産 業 省、IPA(情 報 処 て使っていた仕組 中が安全だと思っ す。昨日まで世界 ムを配布していま り、修正プログラ 品公開後に見つか 百件の脆弱性が製 企業でも、年間数 これらの取り組みによって発 見した脆弱性情報は、企業がど くことが大事だからです。 撃者の先手を打って対処してい を守ることにつながります。攻 脆弱性を発見することがお客様 脆弱性報奨金制度を通じて彼 らの力を借り、1件でも多くの 人たちが存在します。 かを定めた国際規格(ISO/ みから突然脆弱性 もあります。 修・情報公開を行い、日々サー のように脆弱性を取り扱うべき 脆弱性の探求は、 ある水準を超える ビスの品質向上に努めています。 IEC規格)に則って検証・改 と、回答のないパ が発見されること きます。そして世の中には、天 ズルを解くような作業になって て、2004年に発足。現在は、 まうことです。 ています。日々セキュリティ情 報を収集・研究している専門機 若年層の優秀な情報セキュ 才的にパズルを解くのが得意な リティ人材の育成を目的とし マイクロソフトのように真摯 に対策されている 1 4 年 8 月 に は「 cybozu.com バ グ ハ ン タ ー 合 宿 」(写 真 ) を ベースとなる自社検証 ーバル開発本部品質保証部の伊 独立行政法人情報処理推進機構(IPA) 技術本部 セキュリティセンター 情報 セキュリティ技術ラボラトリー 研究員。2008年に経済産業省商務情報政局長 表彰を受賞。著書、訳書多数。 10 この制度の一環として、20 の対応を取りまとめているグロ 」を実 com Security Challenge 施しました。社内で脆弱性情報 サイボウズでは、2013年 に国内商用クラウド初となる脆 脆弱性を指摘してもらうことが 品質を向上させる FUTURE OF CLOUD COMPUTING サイボウズでは、サービスの 公開前に自社で既定の脆弱性検 セキュリティ・キャンプ 「バグハンター合宿」の様子/参加者が互いに技術知識を向上し合えるよう、セキュ リティの知見を発表し、交流する時間帯も設けました。 08 *ソフトウェアの脆弱性が発見された際に、利用者が対策を実施する前の隙を突いて攻撃すること。 09 園田道夫氏 サイバー大学 IT総合学部 専任教授 90 18 進化するクラウド 脆弱性に対してサイボウズ社で行う自社検証の様子/上はタスク管理と連絡 に使っているkintoneの画面。中、下は脆弱性調査を行っている画面。綿密 な検証を行います。
© Copyright 2024 ExpyDoc