 |
 |
「CSI 2008 – Web Security, Cloud Computing and the Man-in-the-browser」より
November 16,2008 Posted by Gunter Ollmann
米国時間11月15日から,メリーランド州のゲイロード・ナショナル・リゾート・コンベンション・センターでセキュリティ会議が開催された。筆者が同カンファレンスに参加したのは今年で2回目だ。従来のカンファレンスとは少し趣が異なり,出席者やトピックからみて,RSAとBlackHatの中間といった感じの内容となる。筆者は18日火曜日に,二つのセッションで講演した。
最初のセッションは,「Web 2.0 Security Summit」だ。公開討論会の形式をとり,議題に関するプレゼンテーションがいくつか行われた。壇上に登場したのは,Jeremiah Grossman氏(米ホワイトハット・セキュリティCTO(最高技術責任者)),Tara Kissoon氏(米ビザ,Global Information Security Office,Information Security Servicesディレクタ),Robert Austin氏(米コアロジック社長),Trey Ford氏(ホワイトハット・セキュリティ,ソリューション・アーキテクチャ),Romain Gaucher氏(米シジタル,セキュリティ・コンサルタント),Robert Hansen氏(米セックセオリCEO(最高経営責任者)),そして筆者だ。
討論会の概要を以下に示す。
ユーザーを中心に据えたサービス指向型の新しいプラットフォーム「Web 2.0」を取り入れると,非常に魅力的なビジネス・チャンスが得られるが,同時に,セキュリティの脅威に間違いなくさらされる。これがWeb 2.0の特徴である,俊敏性,即応性,きめ細かなカスタマイズ性は,心許ないスクリプト言語に依拠している。ユーザーにとって非常に魅力的であるがゆえ,企業が注目せざるを得ないSOAは,攻撃者が周辺を徘徊し,狙った獲物に突き進む手段を提供しかねない。Web 2.0(ソーシャル・ネットワーキング,米グーグルのオンライン・アプリケーション「Google Apps」,SaaS,クラウド・コンピューティングなど)のセキュリティ・リスク,Webアプリケーションのセキュリティ対策について取り上げ,現時点でWeb 2.0の安全性を最大限確保する方法,さらには今後Web開発者と連携して,Webセキュリティの問題にどのように対処していくかを議論した。
討論会の中で,筆者はクラウド・コンピューティング,さらにはクラウド・コンピューティングがWeb2.0に与える影響について,30分のディスカッションを実施した。クラウド・コンピューティングが実際にどのようなものか,セキュリティはどうなっているのかを実際に把握している人はほとんどいないため,非常に興味深い議論ができた。
セッション1の討論会から少し時間を置いて,同日の午後に「Man-in-the-Browser Attack Vectors」という演題で再び講演した。この1時間のセッションでは,最近よく見かける「Man-in-the-Browser(Webブラウザを狙う中間者)」攻撃の最新技術を具体的に取り上げた。
講演の概要は以下の通り。
Man-in-the-Middle(中間者)攻撃は進化しており,手口が一段と攻撃目標に合わせてカスタマイズされ,攻撃の矛先はWebブラウザにシフトしている。同攻撃が今後どの方向に進んでいくのか,攻撃の手法,さらには同攻撃で企業がWeb 2.0やWebブラウザを信頼しなくなったときにWeb 2.0はどうなっていくのか,といったことを掘り下げた。
Copyrights (C) 2008 IBM, Corp. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,日本IBMの許可を得て,米国のセキュリティ・ラボであるIBM Internet Security Systems X-Forceの研究員が執筆するブログIBM Internet Security Systems Frequency-X Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「CSI 2008 – Web Security, Cloud Computing and the Man-in-the-browser」でお読みいただけます。
