次世代セキュリティ製品へのロードマップ 1 見えてきた既存の防御方法の限界
本稿は編集部がきわめて偏った視点に基づいて作った来るべきセキュリティ製品へのロードマップの仮説である。
偏った視点とあらかじめお断りするのは、セキュリティ製品の区分や市場は混沌としており、明確な定義に基づき、理路整然と整理できないためである。
本
製品・サービス・業界動向
業界動向
偏った視点とあらかじめお断りするのは、セキュリティ製品の区分や市場は混沌としており、明確な定義に基づき、理路整然と整理できないためである。
本稿では過去のインシデント傾向や今後のニーズなどを独自の視点(偏った)で整理し、ロードマップを作成した。
偏ってはいるもののセキュリティ製品に関わる人々のなにかの参考になれば幸いである。
>> セキュリティ製品の中心はホワイトコントロールに移行する
現在のトラブルや被害の中心である大量無差別攻撃(ウイルス、ワーム、Web改竄など)を防御するには、問題のあるサービスを遮断する方法論(ブラックコントロール)ではなく、安全なサービスのみを許可する方法論(ホワイトコントロール)の方が実効性が高い。
特に、主流になりつつあるPC以外のネットワーク利用(携帯、情報家電など)はホワイトコントロールを中心になると予想される。
今後5年間に、セキュリティ製品は、マネジメント系製品が主流となり、その流通はコピーやFAXと同じく流通、メンテナンスが一体化した形態に変化してゆく。中小企業やSOHOに対しても標準化されたマネジメントセキュリティ製品を提供、管理する企業が増加する。
マネジメント系製品とは定められたセキュリティポリシーにしたがって、利用できるサービスを許可するホワイトコントロールを行う製品である。現在の製品区分でいうと、フィルタリング製品、ゲートウェイ製品などがこれにあたる。
セキュリティポリシーは、基本となる社会的ポリシー、業界ポリシー、個別企業のポリシーあるいはプロジェクトごとポリシーの3層に区分される。個別にポリシーを作る必要のない企業は、標準化された社会的ポリシーと業界ポリシーを適用するだけですむ。
ホワイトコントロールを実装する方法論として、PKIを含む認証製品が必要とされるようになる。
ブラックコントロールにターゲットした製品は、高度なセキュリティを求められるニッチな領域になってゆく。
>> セキュリティ製品市場の実態は霧の向こう
ネットワークセキュリティの市場に関しては、IDCや富士キメラ総研をはじめとする調査会社が市場規模や予測を販売しており、その一部はネットで見ることもできる。この他にも市場に関する数値はいくつかあるようである。他に公開されている数値がないため、セキュリティベンダのプレスリリースにも引用されることが少なくない。
しかし、製品や市場の定義、区分がまだあまり明確ではない段階で、数値だけがひとり歩きしているという感もある。そもそも製品や市場の定義や区分が明確ではない以上、市場規模など計算できるはずはないのである。
例えば、「アプライアンス機器」は、ベンダが出荷するのはソフトで、流通段階でアプライアンス機器に姿を変えるケースもある。また、ファイアウォール機能、VPN機能、アンチウイルスゲートウェイ機能など複数の機能をもつ製品の場合、どのような製品区分に入るか微妙である。しかも、特定の製品ごとにこうした機能が分かれているのではなく、ひとつの製品の中のレベルごとにもつ機能が分かれていたりする。こうなってくると正確な区分は困難である。
なんとなく市場全体のおおまかな規模や自分の関わる範囲での動向はわかるものの、そのくわしい実態は茫漠としてわからないというのがセキュリティ市場に関わるものの正直な印象ではないだろうか?
実態の数値が亡羊としているように、今後の予測についてはさらに亡羊としている。今後のセキュリティ製品の方向性が明らかでない以上、さけられないことといえる。
>> インシデントに見るブラックコントロールの限界
>> 人的問題と大量無差別攻撃が圧倒的多数
ここで、視点を変えて、セキュリティが必要な場面=インシデントからセキュリティ製品の方向性を整理できないか考えてみよう。
実際のネットワークセキュリティインシデントの状況を見てみる。人的問題に起因するインシデントと大量無差別攻撃に起因するインシデントが圧倒的に多い。
大量無差別攻撃に無防備なサイバーテロ対策 その1(2001.10.29)
https://www.netsecurity.ne.jp/article/7/3144.html
大量無差別攻撃に無防備なサイバーテロ対策 その1(2001.10.29)
https://www.netsecurity.ne.jp/article/7/3147.html
人的問題とは具体的には下記のようなものである。
それぞれに代表的な事例をあげてみた。ご覧いただくとわかるようにセキュリティにじゅうぶんな投資をしていそうな企業でも人的問題は発生する。
3ヶ月に1度、毎回委託先を変更してセキュリティ監査を実施している企業でも管理者不在の機器がネットワークに接続されており、そこを経由するすべての情報が盗まれかねない状態になっていた。その機器は社内LANならびに社外ネットワークに接続されていた。また、別な会社では定期的なメンテナンスの際に、誤って脆弱性のある古いバージョンのプログラム(CGI)をアップしてしまった。
人的ミスの根絶は終わりのない戦いである。
・サーバ上のファイルのパーミッション設定ミスにより、個人情報ファイルが外部から閲覧可能になってしまった
事例:国土地理院のWebサイトで3,505件のユーザ情報が漏洩(2004.2.3)
https://www.netsecurity.ne.jp/article/1/12178.html
・サーバにアップするプログラムあるいはデータファイルを誤って別なものをアップしてしまった
事例:鳥取県公式Web「とりネット」の個人情報流出とその後(2003.9.26)
https://www.netsecurity.ne.jp/article/1/11206.html
・内部の人間が故意もしくはミスで内部情報を漏洩した
事例:NTTデータ、4,312人の顧客情報が入ったノートPCを紛失(2003.12.11)
https://www.netsecurity.ne.jp/article/1/11828.html
サーバ設定のミス バーチャルホスティング約2000ドメイン情報漏洩の危険(2002.4.24)
https://www.netsecurity.ne.jp/article/1/4913.html
・内部利用者向け(社内あるいは特定の契約者向け)のプログラムの開発時にセキュリティへの留意がふじゅうぶんであった。
OCNレンタルサーバサービスに情報漏洩など複数のセキュリティ問題(2003.5.26)
https://www.netsecurity.ne.jp/article/1/9999.html
・自社ネットワークに接続されている機器を把握しておらず、管理不在の機器がクラックされた/クラックされる可能性があった
事例:見落とされがちな、スイッチやルータに潜む危険性(2002.12.17)
https://www.netsecurity.ne.jp/article/11/7908.html
・開発および運用時にセキュリティへの配慮がふじゅうぶんであった。
(セキュリティツールの導入やセキュリティ監査の実施とは別な問題である)
事例:ファミマ・クラブの会員情報流出は18万件以上の可能性(2003.11.20)
https://www.netsecurity.ne.jp/article/1/11649.html
事例:ブロードバンドサービス「BROBA」の掲示板にCSS脆弱性が見つかる(2003.12.22)
https://www.netsecurity.ne.jp/article/1/11913.html
大量無差別攻撃には下記のようなものがある。
ほとんどの場合、大量無差別攻撃の攻撃手法自体は、技術的に高いものでも新しいものでもないものが多い。しかし、大量の攻撃が仕掛けられるために、脆弱なサイトで被害が発生するのである。すべてのサイトの管理がつねに一定水準で維持されているわけではない以上、これは確率の問題といえる。使い古された攻撃方法であっても、一定の確率で対処していないサイトがある以上、 そこで被害が発生する。
しかも、多くの場合、信頼されている大手企業のサイトでもこうした確率の罠から無縁ではない。ミニストップ、マイクロソフト、オリコといったセキュリティには十分留意している企業でもこの罠にはまっているのである。
・無差別的に増殖、攻撃を行うウイルスの散布
・無差別的に増殖を行うワームの散布
事例:ミニストップがウイルス感染メールを会員に送信(2003.9.8)
https://www.netsecurity.ne.jp/article/1/11450.html
事例:msn、オリコをはじめとする多数のWebが改竄、感染の踏み台にされる(2001.9.19)
https://www.netsecurity.ne.jp/article/9/2842.html
・無差別的に攻撃を行うWeb改竄
・無差別的に弱いサーバを探索し、攻撃を行う
事例:韓国サイトで大量改竄 クラッカーグループ「cyberlords」の活動が活発(2003.3.22)
https://www.netsecurity.ne.jp/article/1/9230.html
事例:ホスティング利用サイトをねらった連続改竄発生 レンタルサーバは危険(2003.8.25)
https://www.netsecurity.ne.jp/article/1/10932.html
事例:とうとう日本でも WEB 改竄被害発生 イラク戦争関連 WEB 改竄(2003.3.24)
https://www.netsecurity.ne.jp/article/1/9238.html
現在提供されている製品の多くは特定の防御あるいは探知などを目的としており、人的問題や大量無差別攻撃には必ずしも有効ではないものが少なくない。 例えば、クライアント向けのアンチウイルス製品は、かなり高い普及率となっているが、いまだにウイルスに感染する人間が後をたたない。もちろん、これはアンチウイルス製品に問題があるのではなく、新しいウイルスに対応できるような更新をしていないとか、・・・・といった人的問題に起因するケースが少なくないからである。
ウイルスの蔓延を阻止するという観点からはアンチウイルス製品は有効ではない。注意深く更新を行う人が、ウイルス被害をまぬがれる方法としては有効ではあるが、多数の利用者のセキュリティを考えなければならない企業や国家などの組織の対策としてはじゅうぶんではないのである。
同じアンチウイルス製品でもまるごとネットワークを守り、その状態を管理者が管理できるようなゲートウェイ型のアンチウイルス製品の利用は、組織体全体のセキュリティレベルを常に管理者が監視、維持できる点で有効といえる。
>> 静かに増殖する危険性=スロースレット 素人クラッカー、モラル低下等
大量無差別攻撃は素人クラッカーの増加やインターネット利用者のモラル低下で徐々にその危険度を増していると考えられる。
大量無差別攻撃には高い技術を要しないため、素人でもちょっとやり方さえ覚えればクラッカーとして活動することができる。
インターネットあるいは書店には、クラッカーになるための情報やツールがあふれている。このようなものを見たら好奇心の強い若者は、やってみたくなるだろう。
静岡県浜松市の高校生が23ヶ国、140件のWebサイトを改竄(2003.6.11)
https://www.netsecurity.ne.jp/article/1/10178.html
さらに、ひたすらサーチエンジンで特定のキーワードを検索することで、人的ミスにより、誤ってアップされた個人情報のファイルを探し当てることもできる。
インターネット利用者のモラルも低下している。本人や周りもそれとは気が付かないうちに、モラルが低下するのがネットの怖い部分である。例えば、会社のパソコンから趣味のファイルを仲間したり、休暇の旅行の申込をしたり、懸賞に応募するようなことは、そんなに目くじらたてるほどのことではないと思う人がほとんどであろう。しかし、ネット経由なので、そんな気になるだけであって、これは立派なモラル低下である。
実際、企業におけるインターネットの私的利用は、30%を上回るともいわれているし、WinMXのようなP2Pソフトによるファイル交換を企業のPCから行っている人間も少なくない。
国内P2Pファイル交換動向調査
http://ns-research.jp/c2/shop/books/p-ptp01.html
手軽、気軽にネットを経由して本来業務以外のことをして、危険なファイルが社内LANに持ち込まれたり、ブラウザ経由でウィルスを仕込まれたり、さまざまな危険性が増大してくる。
さらに、社内の重要情報を掲示板に書き込んだり、第三者を誹謗中傷するような社員もいる。こうした社員は、当然のことながら、外部の第三者がソーシャルエンジニアリングを仕掛ける格好の標的になるのはいうまでもない。
素人クラッカーの増加、モラルの低下は、それがそのまま事件ではないために、目だってとりあげられることはないが、じょじょに確実にネット全体のセキュリティレベルを押し下げる大きな要因になっている。じょじょに静かに進行するセキュリティ上の脅威という意味で編集部では「スロースレット」と呼ぶことにしている。
「スロースレット」の進行は、攻撃者や攻撃方法を増加させ、ブラックコントロールの徹底をさらに困難なものにしてゆくと考えられる。
>> ブラックコントロールがもたらす「成果の見えない永遠の投資」
そもそもブラックコントロールというのは、なんでもアリのインターネット利用を前提とした防御策であって、そこに限界があるのは避けられない。なんでもアリでしかも攻撃者は無数に生まれてくるので、当然攻撃手法も続々新しいものが登場する。どうみても守る方が不利である。
しかも圧倒的な大きな問題として、たちはだかるのがコストである。
ブラックコントロールは、攻撃手法にあわせて防御手法も更新する必要があるため、継続的な投資が必要なのである。ルールセットやらシグネチャの更新などで定常的にお金がかかってしまう。さらに、全く新しい攻撃方法が見つかれば、新たに専用のシステムを導入しなければならない。これらを怠ると、即効で大量無差別攻撃の餌食になってしまう可能性がある。
さまざまな面から考えて、ブラックコントロールには無理がある。
セキュリティ投資が進まないことは企業のセキュリティ意識の低さも大きな要因ではあるが、その一方でいつ果てるともわからないセキュリティ投資への躊躇もあると考えられる。なにしろ一度ブラックコントロールを導入したら、「成果の見えない永遠の投資」を行うハメに陥いってしまう可能性を否定できないのである。
ブラックコントロールによる防御は、近い将来行き詰まるだろうというのが我々の見方である。
それを裏付けるかのように、昨年からフィルタリング製品など攻撃以前の管理に重点をおいた製品の販売が伸びてきている。
それでは、逆にこれまで注目されていなかったホワイトコントロールの場合はどうなのであろう?
◇本記事はメールマガジン「Scan Security Management」に掲載されたものです。
「Scan Security Management:ダイジェスト」(無料)ご登録はこちら
→ http://www.ns-research.jp/c2/ssm/
《ScanNetSecurity》