ここから本文です

東京五輪からバグハントまで、多様な視点からサイバーセキュリティの“今”を探る

@IT 7月19日(火)9時43分配信

 @ITが2015年12月11日から2016年1月19日にかけて実施した読者調査によれば、623件の回答のうち、41%に当たる255件が「所属する組織が標的型攻撃や不正アクセスなどのサイバー攻撃を受けたことがある」と答えている。

あなたの会社は、標的型攻撃や不正アクセス、不正ログインなどを受けたことはありますか?

 そんな現状を受け、@ITでは、2016年6月23日に東京・青山ダイヤモンドホールで「@ITセキュリティセミナー ~迷宮からの脱出~」を開催した。同セミナーでは、「CSIRT」「ハッキング」「バグハント」「サイバー犯罪捜査」など、多様な視点を持つ有識者が、延べ450人を超える聴講者に向けてさまざまな情報、ノウハウを伝授した。本稿では、その第1弾レポートをお届けする。

●東京オリンピックは「セキュリティ遺産」を創れるか

 世界中の誰もが注目する最大級のイベントといえば「オリンピック」だ。特に2020年に開催される東京2020大会は、日本に住む私たちにとって重要な意味を持つ。世界各国から、1万人を超えるアスリートや数万人ものメディア関係者、国家元首など、数十名のIPP(Internationally Protected Persons)、そして数百万人もの観光客が集まり、大きなにぎわいと“混乱”がもたらされることが予想されているのだ。この状況に乗じて、犯罪者たちが悪事を働こうとするのは、もはや当然のことだと考える必要がある。

 基調講演「東京2020とサイバーセキュリティ対策」では、東京オリンピック・パラリンピック競技大会組織委員会 警備局 サイバー攻撃対処部 第二課長の中西克彦氏が登壇し、同委員会が東京2020大会に向けて実施するセキュリティ対策について語った。

 オリンピックは、過去にテロリストに狙われ、凄惨な結果を生んだことがある。そうした経験から、各開催国もこれまでに、さまざまなセキュリティ対策を講じてきた。また、現代のオリンピックは、さまざまなITシステムが大会運営を支えており、サイバー犯罪者にとって魅力のあるターゲットとなり得る。2012年のロンドン大会や2014のソチ大会においても多くのITが活用されており、実際にサイバー攻撃を受けたことがあった。

 東京2020大会においても、社会的・政治的理由によるサイバー攻撃や、金銭窃取を狙った攻撃、あるいはスタッフの過失・不正なども事前に想定して、万全の対策を講じなければならない。交通機関や病院などの重要インフラの機能停止、情報改ざんによるドーピング不正、さらには最新のIoTを狙う重大な攻撃がリスクとして想定される。

 しかしながら、オリンピックのセキュリティ対策は、「“厳重な警備”が“夢の祭典”を阻害してはならない」というのが大前提だ。中西氏は、「この難題をクリアしつつ、東京2020大会を成功に導きます」と述べる。

 「関係組織や各国との連携・情報共有をどのように行うか。リスクをどこまで想定して、どのような役割分担で対処するか。人材の育成と確保をどうすべきかという3点を重視して検討しています。そして東京2020大会が終了した後には、こうした取り組みを通じて得られたサイバーセキュリティに関するレガシー(遺産)を残したいと考えています」(中西氏)

 東京2020大会では、専任の「CSIRT2020」をテロ対策や物理警備を意識した組織として警備局内に設置し、SOC(Security Operation Center)/NOC(Network Operation Center)や政府自治体、外部機関などとの役割分担・連携を図る。中西氏は、そうして経験を積んだCSIRT2020が、「大会後も日本の国際CSIRTとしての役割を担えれば」と語る。例えば英国においても、オリンピック後に「CiSP(Cyber-security Information Sharing Partnership)」を開始して、大会時のノウハウや情報を継承しているという。

 また、人材の確保と育成も重要だ。オリンピックにおいても、想定脅威に対するリスクアセスメントを繰り返し、中長期的に必要なスキルや人材数、キャリアパスを定義していく。そして、全ての階層の人材に対して、役割に合った演習やトレーニングを継続して提供いくという。

 「東京2020大会では、1人でも多くの人が参加できるようにする“アクション”と、成果を未来に継承していく“レガシー”が重要になります。サイバーセキュリティ領域では、大規模なイベントを乗り越えた官民連携と情報共有の仕組みを大会後も活用し、さまざまな組織のCSIRTをどんどん発展・連携させていく予定です。また、トップアスリートの育成方法を参考にした“開かれたICT人材育成プログラム”なども整備していきたいと考えています」(中西氏)

●セキュリティ対策に悩む経営層に向けて

 続く講演「インシデントレスポンス最適化に求められるセキュリティ運用とは?」に登壇したのは、インテル セキュリティ セールスエンジニアリング本部 セールスシステムズエンジニアの森正臣氏だ。

 現在は多くの企業がさまざまなセキュリティの課題を抱えているが、特に経営者にとっては「予算の妥当性を判断するための指標がない」「投資の必要性が判断できない」という点が大きな課題になる。そこで森氏は、経済産業省とIPA(情報処理推進機構)が公開している「サイバーセキュリティ経営ガイドライン(pdf)」を活用してほしいと述べる。

 森氏は、このガイドラインで説明されている特に重要なポイントとして「サイバー攻撃を経営リスクとして捉えること」「インシデントは起きるものとして事前/事後の双方に備えること」「経営の一部として、継続的にセキュリティ対応を行うこと」の3点を挙げた。

 「従来の“脅威の検知技術”を強化するだけでは不十分です。まずはSIEM(Security Information and Event Management)などを情報共有のツールとして活用し、効率的なインシデント対応ができるようにします。さらに、少ない人員で短時間で対処するために、共有されているインテリジェンス(脅威情報)を活用して可能な限りセキュリティの“自動化”を図ります。そして、蓄積されたノウハウを再び防御力の向上に還元する“セキュリティのPDCA”までを意識した対策ができれば、理想的です」(森氏)

●手軽に始められるCMS、ただしセキュリティ対策は忘れずに

 多くの企業にとって、Webは重要なマーケティングツールの1つだ。近年では企業も効率的なWebサイト運営のために「CMS(Content Management System)」を用いるケースが多いが、そのセキュリティ対策の状況はどうなのだろうか。「Movable Type」を提供するシックス・アパートから、執行役員CTO 平田大治氏が「企業のウェブサイト運用におけるセキュリティ事情」と題した講演を行った。

 CMSは、迅速にWebサイトを構築することができ、更新も効率的で、ソーシャルメディアとの親和性も高い有用なツールだ。しかし、セキュリティの面での問題も少なくない。Webサイトを取り巻くリスクは数多く、この数年で深刻度の高い脆弱(ぜいじゃく)性が次々に発見され、話題となっている。「手軽さを求めるあまり、自力でトラブルシューティングができない組織が利用すると、リスクを抱えることになります」と、平田氏は警鐘を鳴らす。

 「まずはきちんとメンテナンスを実施することが重要です。例えばキャンペーンサイトなど、公開が終了したサイトには注意が必要があります。また、配信サーバの分離やアプリケーションサーバの隠蔽(いんぺい)などにより、リスクの分散と最小化に努めます。クラウド型のマネージドサービスを活用するなど、メンテナンスの省力化やコストの可視化を図るのもよいでしょう」(平田氏)

●バグハンターの力を借りて安全なWebサイトを作るには

 特別講演では、@IT編集部の高橋睦美をモデレータに、サイボウズ グローバル開発本部 品質保証部 伊藤彰嗣氏、NTTコムセキュリティ 東内裕二氏、ゲヒルン 技術開発部 分析局 平澤蓮氏、“週末バグハンター” 西村宗晃氏の4人が、「凄腕のバグハンター、そろいました ─ バグハンターにお世話にならないWebサイトを作るコツは?」と題したパネルディスカッションを行った。

 東内氏、平澤氏、西村氏は、普段の業務で脆弱性診断(ペネトレーションテスト)を提供しつつ、業務外でもバグハンターとしてWebサイトなどの脆弱性発見に心血を注ぐエンジニアだ。また、伊藤氏はサイボウズでバグハンターたちに向けた報奨金制度を運営している。

 そんな一同がそろったセッション冒頭で、高橋氏はいきなり「パネラーとの事前ミーティングで、『バグハンターにお世話にならない=脆弱性のないWebサイトを作るのは無理である』という結論に達した」と述べ、「バグハンターとうまくお付き合いしつつ、より安全なWebサイトを作るコツは」とセッションタイトルを改めて“おわびと訂正”を表した。

 第1の議題は、「報奨金を目指す“バグハント”とWeb運営者の依頼で実施する“脆弱性診断”(ペネトレーションテスト)との違い」だ。これに対してバグハンターたちは、「バグハントは自分が見たく、かつ誰も見ないところ」に存在する脆弱性を探すもので、自分の興味分野や得意分野に特化して、1本釣りのようにバグを見つけるものだと結論付けた。一方の脆弱性診断は、依頼を受けた範囲内で網羅的な検査を行うもので、既存の脆弱性が含まれていないかを確認する点などが、バグハントとは大きく異なるという。

 これを受け伊藤氏は、「サイボウズでは、内部で実施するテスト、外部に依頼するテスト、そして報奨金制度を通じたバグハントの3つを実施していますが、それらは重複してよいと考えています」と述べる。これに高橋氏が「報奨金制度だけを実施すれば、素早く多くの脆弱性が発見されるのでは?」と問いかけると、東内氏が「海外では、それをやろうとしてたった1週間で破綻した例があります」と答えた。

 また、西村氏は、報奨金制度の課題について「報奨金を出すか出さないかという判断が難しく、運営側が説明責任が果たせないと、SNSでさらされてしまう恐れもあります」と述べ、伊藤氏も、「報奨金制度を開始してからそうしたトラブルは経験しており、3年間で600件の難しい問い合わせに回答しました」と明らかにした。伊藤氏は、「脆弱性の認定・否認のプロセスを見える化し、公開する体制が必要です」と述べ、報奨金制度においては、運用のノウハウを蓄積することが重要であるとした。

 さらに、西村氏が「サイボウズのようにバグハンター向けに検証環境が用意されているケースがありますが、間違って本番環境に模擬攻撃を仕掛けてしまうことはありませんか?」と問いかけると、東内氏は「割りとよく間違えます」と即答。伊藤氏も、「それはあるものとして運営していますし、実際に検証と思われるトラフィックは確認しています」と述べた。ただし、そうした攻撃トラフィックのデータも貴重な資産であるという。

 「バグハンターとしてやりにくいWebサイトは?」というテーマについては、平澤氏が「報告しても無視されるなど、反応がないサイトは困ります。問い合わせ先もセキュリティポリシーも公開されていないサイトは、脆弱性を発見しても見なかったことにしてしまいます」と苦言を呈した。西村氏も、ある海外ベンダーを取り上げて「対応すると言いつつ、1年以上放置されていた例もありました。報告をむげにすると、脆弱性を暴露するバグハンターもいますから、ユーザーもベンダーも得しないはずなのですが」と続けた。

 これに対して伊藤氏は、「それはベンダーも悩むところです。運営側が脆弱性として認めても、開発側に修正を強制できないケースが多々あります。脆弱性のポリシーを定めて公開することが重要ですね」と返答した。

 最後に、メインテーマである「安全なWebサイトの作り方」について、平澤氏は「外部から情報を受け取り、修正できる体制を整えることは、重要なポイントです」と回答。これに合わせて高橋氏も、「最近は“DevOps”の考え方が流行していますが、これにセキュリティを組み合わせた“DevSecOps”というアイデアも登場しています。より良いものを開発するために、開発、セキュリティ、運用の各プロセスを近づける取り組みが重要ですね」とまとめた。

[廣瀬治郎,@IT]

最終更新:7月19日(火)9時43分

@IT