Black Hat Japan 2006 Briefings、スピーカー紹介〜Paul Bohm(ポール・ボーム)〜 | ScanNetSecurity
2024.05.02(木)

Black Hat Japan 2006 Briefings、スピーカー紹介〜Paul Bohm(ポール・ボーム)〜

本日より開催しているBlack Hat Japan 2006では、セキュアなコードの書き方についてもセッションがある。今回は、来日するスピーカーの内、「セキュアなコードを書くための科学と芸術性」というタイトルで話すPaul Bohm(ポール・ボーム)氏を紹介したい。

特集 特集
facebookLINE
本日より開催しているBlack Hat Japan 2006では、セキュアなコードの書き方についてもセッションがある。今回は、来日するスピーカーの内、「セキュアなコードを書くための科学と芸術性」というタイトルで話すPaul Bohm(ポール・ボーム)氏を紹介したい。

Bohm氏は、1998年よりTESO Securityの設立メンバーに加わりコード解読に多くの時間を費やしてきた。2003年よりウィーン大学にて、効率の良い量子暗号プロトコルの開発と実装に携わる。現在はSEC Consultのセキュリティコンサルタントとして、脆弱性防衛とセキュアなソフトウェアに興味を持っている。

Bohm氏は今回のBlack Hat Japan 2006でのセッションでは、プログラマーがいつも同じ間違いを犯す理由について深く検討し、よくあるバグソースの領域を押さえ込む戦略について解説を行うという。このセッションの英語のタイトルは「Taming Bugs」なのに気がついたかもしれないが、バグを避けるだけではセキュアなコードを書くことにはならず、プログラミングとはコードとテクニックと同様に、人間系の課題も重要だというところに言及する。例えばこれは、もし1000人のプログラマーに同じタスクと同じツールを与えたならば、でき上がったプログラムはほぼ同様に同じインプットによって簡単に破壊されることを意味している。定番の問題となったクロス・サイト・スクリプティングやSQLなどのインジェクションに関する問題、さらにパス・ノーマライズやパス・トラバーサルなども含めて話されるという。

「ソフトウェアは、セキュリティに関して言えば心臓にあたるものだ。どんな対策を使ったとしても、あなた自作のソフトウェアに穴があるということになれば、それはセキュリティの課題を抱えていることになる」「ある種のセキュリティに重大な影響のあるようなプログラミングでは、ミスは常におこるものだ。こうしたバグを一つずつ発見し修正していくというのは、これからもずっと攻撃者の後手にまわり続けていくのと同じだ。よくできたセキュリティというのは、コントロールを掌握することであり、同じようなバグが何度も発生するのを避けるために、コーディングの環境と実行環境の両方に対策を適切に配置していくことだ。できることならば、誰でもバグフィックスはたった一度に抑えたいところではないかな?」と語るBohm氏のセッションでは、最もシビアで広範囲に及ぶセキュリティ脆弱性に対する様々な防御のアプローチ方法を検討する。また成功している戦略に共通していることも併せて見ていく。こうした所見に基づいて、私たちが今日面している固有のセキュリティ問題に対して免疫を与えるようなソフトウェア開発のセキュリティパターンが紹介される。

【1】 専門・研究領域は?
脆弱性に関するリサーチ、セキュアソフトウェア開発、量子暗号。

【2】 最近のセキュリティのトレンドに関する意見は?
最近の一部のCSOたちは、自社ネットワークから過度なセキュリティ・アプライアンスを取り除くことで、ネットワークセキュリティを保とうとし始めている。おそらく今後このようなケースはもっと増えてくるだろう。というのは、アプライアンスに機能性を付加するというメリットは、もはや複雑性が増すことによるリスクを上回らなくなってきているからだ。

多くのセキュリティ・アプライアンスとセキュリティ・ソフトウェアは、過去にリモートで悪用できるセキュリティ上のバグが存在したことがあり、もしアプライアンスがさらに複雑化する方向に進化していけば、セキュリティ・ソフトウェアのエクスプロイットがさらに多く出現するのを目の当たりにするだろう。ネットワークを守る代わりに、こうした複雑化するアプライアンスはセキュリティに対して間違った安心感を与えるだけで、下層に潜んでいる問題を解決するというインセンティブもなくしてしまう。

もう一方の対照的な傾向としては、ソフトウェア開発とクォリティ・マネジメント(ハイレベルの制御フレームワークとソフトウェア・エンジニアリングに集中したセキュリティ・パターンの両方の分野)におけるセキュリティ重視のプロセスと方法論に注目し始めている。

【3】 日本で興味のあることは?
それはもう、たくさんあるよ。日本が良質で効果的なプロセスにおいて、リーダーとして自ら築いてきたものは信じ難いほどのものがある。多くのヨーロッパ企業はまだ自覚していないようだが、良いプロセスというのは本質的な価値があるものだと思う。それにインターネットや友達を通して聞いている日本の文化も大好きだよ。Black Hat Japanの後は、最低でも1週間は各地を旅行してみるつもりだ。

10月5、6日に東京・新宿の京王プラザホテルで開催中の「Black Hat Japan 2006 Briefings」について、Scan編集部では昨年に続き読者レポーターを選出、セッションについての独自レポートを掲載予定です。お楽しみに。

Black Hat Japan 2006 Briefings
http://www.blackhat.com/html/bh-japan-06/bh-jp-06-jp-index.html

《ScanNetSecurity》

PageTop

アクセスランキング

  1. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  4. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  5. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  6. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  7. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  8. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  9. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  10. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

ランキングをもっと見る
ホーム 特集 特集 記事
TOP