ここから本文です

「CodenomiCON」に見た海の向こうのセキュリティ、日本との違い

@IT 10/5(水) 13:01配信

 米国で開催される夏のサイバーセキュリティイベントといえば「Black Hat」に「DEF CON」だが、実はその前日にも、ユニークなカンファレンスが開催されている。それが、米シノプシスが主催する「CodenomiCON」だ。

【その他の画像】「A Gathering of the Superstars of Security Research」には、著名なセキュリティ研究者が集まった

 サイバーセキュリティやソフトウェアの脆弱(ぜいじゃく)性に興味を持つエンジニアならば、CodenomiCONという名前を聞いてピンと来る人もいるだろう。2014年4月に公表され、インターネット全体に大きなインパクトを与えたOpenSSLの脆弱性を発見し、「Heartbleed」という名前を与え、ロゴ画像まで作成して情報を公開したのが、フィンランドのセキュリティ企業Codenomiconだった。CodenomiCONはその同社が過去6年にわたって開催してきた年次カンファレンスだ。

 なおCodenomiconは2015年にシノプシスの傘下に入ったため、その後はシノプシスがカンファレンスを主催している。2016年8月2日にラスベガスのホテルで開催された「CodenomiCON USA 2016」では、医療機器や車など、いわゆるITシステム以外のセキュリティが主なテーマとなった。

 CodenomiCONのセッションは、Black HatやDEF CONのようなプレゼンテーション形式ではなく、第一線の専門家を招いてのパネルディスカッションが中心だ。ステージには、2015年のBlack Hatでジープ・チェロキーに対するハッキングを披露して一躍有名になったチャーリー・ミラー氏やクリス・ヴァラセク氏をはじめとする第一線のセキュリティ研究者の他、政府や業界団体でセキュリティ政策に携わった経験を持つ専門家が多数登場し、率直な意見を交わした。

 イベントは夕方から夜10時までという時間帯で行われ、希望する登壇者にはアルコールが振る舞われることもあって、かしこまった席では聞かれないようなセキュリティ専門家の「生の声」を聞くことができた。本稿では、その中でも特に印象的だったポイントを紹介しよう。

●セキュリティは「サイバーだけの問題」ではなく事業継続、生き残りのための問題に

 今や、パネルディスカッションのテーマとなった「医療機器」や「車」はもちろん、IoT(Internet of Things)や重要インフラなど、ありとあらゆる仕組みがIT、つまりはソフトウェアに依存している。そして、日本でも指摘され始めていることだが、こうしたソフトウェアのバグや脆弱性をゼロにすることはできない。CodenomiCONで発言した専門家らはこの事実をもはや「当たり前」のこととして捉えた上で、「いかにリスク管理を実現するかという観点で問題に取り組む必要がある」と述べた。

 冒頭の「Fireside Chat」と題する対談では、コンピュータサイエンティストのフレッド・コーエン氏があらためて「現在、セキュリティの重要性は、昔とは比べものにならないほど高まっている。かつては『PCが壊れて困った』程度で、誰も気にせず済ませることができたが、今や重要インフラや制御システム、ビルの管理システムなど、あらゆるものがITシステムへの依存を高めており、そのセキュリティは極めて重要になっている」と指摘した。

 これを受け、元米国司法省国家安全保障担当検事を務めた経験を持つルーク・デンボスキー氏(デビボイス&プリンプトン ワシントンDCオフィス パートナー)は、「医療機器にせよ自動車にせよ、あらゆるものがソフトウェアによって動いている。だが、それらソフトウェアの脆弱性がゼロということはあり得ない。従って、脆弱性の存在を前提とした上で、リスクを管理する術を見いださなくてはならない」と述べ、ソフトウェアサプライチェーンの管理や、マイクロセグメント化によるリスクの封じ込めといった取り組みの必要性に言及した。

 ポイントは、リスクをゼロにするのではなく“管理”するということだ。そしてその取り組みは「サイバー領域」だけに閉じたものではなく、オペレーションや事業継続といった組織や企業戦略の中に位置付けていく必要がある。

 コーエン氏は「リスク管理においては企業トップの理解が不可欠であり、それには、適切な意思決定を下せるような適切な情報を上げていかねばならない」と述べる。デンボスキー氏もこれを受け、「サイバーインシデントレスポンス計画は危機管理計画の中に位置付けていく必要がある。IT部門だけでなく、コンプライアンスや法務部門、あるいは対外コミュニケーションの担当者や規制当局との窓口担当も含めたチームで優先順位付けを行い、経営層に報告すべきだ」と強調した。

 米国では日本以上に情報漏えいをはじめとするセキュリティ事故が多発しており、IoTやその他のデバイスをターゲットとした攻撃も現実的な問題として捉えられている。こうした状況を踏まえた一連の議論からは、万一問題が発覚したときの「言い訳」として仕方なくセキュリティに取り組むのでもなく、リスクをゼロにするという不可能な目標を追いかけるのでもなく、事業を進める中で不可欠なリスクとしてサイバーセキュリティに向き合い、管理していかなくてはならないという問題意識が強く感じられた。「自分ごと」として現実的な姿勢で向き合う――それが、会場で感じた彼我の違いの一点目だ。

●サプライチェーンも含めたセキュリティの管理が不可欠に

 CodenomiCONで行われた別のパネルディスカッション「The Digital Doctors Are In - Are You Covered ?」でも、米WhiteScopeの創業者兼セキュリティリサーチャーのビリー・ライオス(Billy Rios)氏が、「脆弱性の存在はどうしてもなくすことができない。それを前提に、オペレーションを継続できるよう管理していく必要がある」と述べた。このパネルディスカッションは、病院で利用される医療機器のセキュリティ問題をテーマにしたもので、以下のような課題がパネリストによって指摘された。

・古いプラットフォームの脆弱性を狙ったランサムウェアによって実害が生じている
・最近になって、初めからセキュリティを考慮した医療機器の開発が始まりつつあるが、既に現場で使われている機器には、パッチを適用したりバージョンアップしたりする術がない

 こうしたリスクがある中で、病院のオペレーション、つまり医療活動を安全に継続するためには、メーカーがセキュアなエンジニアリングに努力し、透明性を確保つつセキュアな機器を提供するのと同時に、医療機関側もオペレーション継続のためのセキュリティを検討していかなくてはならないといった意見が出されていた。

 また、ソフトウェアを一種の「製品」として捉えた場合、そこには多数の部品――サードパーティーが提供するライブラリやオープンソースソフトウェア(OSS)など――が含まれている。そうした部品に脆弱性があれば、ソフトウェアやそれが動作するデバイス、システム全体にも影響が生じかねない。IoTにせよ車にせよ、サードパーティーも含めたソフトウェアサプライチェーンのセキュリティに依存する状態になっているのだ。

 「Mitigating Software Supply Chain Risks - Gaining Trust of Software in Cyber Assets」と題するパネルディスカッションでは、このようなソフトウェアの調達に関するリスクが議論された。米防衛省のLifecycle Risk Management & Cybersecurity/Acquisition Integration Division、ドン・デビッドソン氏は、「調達においては納期を守るといった伝統的なロジスティクスだけでなく、それが一定のセキュリティや完全性を満たしているかといった観点も求められる」と述べた。また、調達先がグローバルに広がっている今、ソフトウェア調達先の選定においては、デューデリジェンスのデジタル版が求められる可能性もあるという。

 日本のセキュリティ研究者で、重要インフラセキュリティプロジェクトに携わる大崎人士氏(産業技術総合研究所)は、日本の製造業が効率を追求し、長年にわたって「カンバン方式」や「JIT」といった調達システムを構築してきたことに言及した上で、「今後はソフトウェア業界においても調達にフォーカスしていく必要がある」と述べ、日本においてはその文脈で、重要インフラのセキュリティアセスメントプログラムが進んでいるが、「東日本大震災では、通信インフラの障害によって、ガスなどのエネルギー供給に影響が生じた。インフラの相互依存性を考慮した上で検討していく必要がある」と指摘した。

●“スーツとTシャツの短い距離感”と、戦略的な取り組み

 CodenomiCONの各セッションではまた、「官」と「民」の連携の重要性が度々訴えられた。

 「過去にはボットネットのテイクダウン作戦などが展開されてきたが、サイバーセキュリティの確保には、政府だけでなく民間やコミュニティーの継続的な参加が必要だ」(デンボスキー氏)、「自社・自組織だけでなくエコシステム全体を見る視点が求められる。特に医療機器の場合は、人命に関わってくるため、政府や法規制といった要素も含め、各方面からの取り組みが必要だ」(Philips Healthcare Global Product Security and Services Officer マイケル・マクネリ氏)

 官民連携においては、セキュリティ研究者、セキュリティコミュニティーが一定の役割を果たすことが期待されている。特に脆弱性情報の共有においては、さまざまな機器を調査してセキュリティ上の問題を指摘する研究者が果たす役割は大きい。一方で、「レガシーなプラットフォームを使い続けざるを得ない環境もある中、不用意な情報公開は人命に関わる恐れもあり、社会的責任を考えながらリスクを緩和する方法を考えるべきだ」とする指摘もあった。

 IoTなどの新たな領域で脆弱性情報を受け取ったらどのように対処すべきか、どのタイミングで、誰が、どのように脆弱性情報を公開すべきかといった適切な情報共有・流通体制の確立については、今も試行錯誤が続いている。そもそも従来のITの世界においても、脆弱性情報の流通体制が機能し始めるまでには、長年にわたる模索と信頼関係の確立を待つ必要があった。

 医療機器のセキュリティをテーマとしたパネルディスカッションの中では、米FDAが、医療機器の脆弱性に関する情報を収集し、ベンダーと調整した上で対処したり、適切に情報公開したりするための枠組み作りに着手しており、幾つかのメーカーが賛同していることが紹介された。同じく自動車のセキュリティをテーマとしたセッション「Automotive Cybersecurity - Industry Taking a Leadership Role」でも、Automotive Information Sharing and Analysis Center(Auto-ISAC)の取り組みが紹介され、車のセキュリティを脅かす脅威情報の収集・解析やナレッジ共有など、脆弱性情報共有の枠組みをめぐり前進の兆しがあることがうかがえた。

 ところで、こうしたCodenomiCONの一連のパネルディスカッションを日本人の目で見たとき、米国のセキュリティコミュニティーの層の厚さと、他のセクタとの距離の近さを感じる。スーツを着た「官」と、Tシャツ姿の「民」がざっくばらんに話し合える空気が印象的だ。

 だが、それでもなお「人材不足は大きな課題。特にICSの分野では問題が顕著」(デンボスキー氏)というのが現状だ。

 この問題を解決する即効薬はなく、やはり「教育やトレーニングに尽きる」と各パネリストは述べている。また、「過去30年にわたってIT業界で蓄積されてきた適切な手順や、セキュアなソフトウェアを開発するためのベストプラクティスを活用すべきだ」というコメントもあちこちで見られた。

 ただ、米国流がひと味違うのは、こうした取り組みを進めるに当たって「人間が頑張りましょう」だけで終わらないところだ。そもそも、あらゆる機器がソフトウェアに依存し、コードの絶対量が増加している今、人手でそれら全てをチェックし、適切にセキュリティを織り込んでいくのは限界がある。「全て人手でやるのは非現実的。セキュリティのベストプラクティスをツールに反映し、プロセスの中に取り込むなど、できるところは自動化すべき」という趣旨のコメントが、複数のパネリストから聞かれた。

 もう1点、米国がしたたかなのは、ツールに反映すべき「標準」の策定を戦略的に進めていることだ。医療業界ではFDAが、車業界ではSAEが、脆弱性を試験してセキュリティを確保するための標準作りを進めている。さらに、「ソフトウェアがその標準に準拠しているかどうかをテストするための標準を策定する」というところまで戦略を立てて取り組んでいる。ただ「セキュリティは大切だ」と訴えるだけで終わらせないすごみがある―——ここにもう1つ、彼我の大きな差を感じた。
[高橋睦美,@IT]

最終更新:10/5(水) 13:01

@IT

なぜ今? 首相主導の働き方改革