【後編】脅威は見えにくくなっている,国際連携がますます重要に

>>前編

FIRSTで最近、関心を呼んでいるテーマは何ですか。

 年次総会のテーマが、昨今の問題意識をよく表しています。例えば、今年は個人情報の話でした。次回、カナダのバンクーバーで08年6月に開催される総会のテーマは「Crossing Borders:Towards the Globalization of Security」。サイバー犯罪などのインシデントが国境を越えているので、国際連携が必要というメッセージです。

日本でもFIRSTに参加しているチームが10月末時点で11あります。今の日本の状況をどう見ていますか。

伊藤 友里恵(いとう・ゆりえ)氏
写真:山西 英二

 日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)も07年3月に設立され、チーム間連携の必要性が理解され始めました。いい動きだと思います。

 今、一番危険なのは、攻撃者のテクニックができるだけばれないように、できるだけ全容を見せないようになっていることです。攻撃はターゲット型(照準型)になり、そういう情報を共有しないと全体像が見えてきません。何が起きているか見えなくなったので「インターネットの脅威レベルが下がっている」と楽観視する向きがいますが、実際は把握できなくなっているだけです。むしろ脅威は強まっています。

 そういう問題意識があって、日本シーサート協議会も立ち上がりました。「Crossing Borders」とあるように、セキュリティの業界での連携、情報共有がますます必要になってくると思います。

 JPCERT/CCとしては、「ここに報告してください」「ここに情報を集めてください」という中央集権的なやり方ではなくて、ピア・ツー・ピアのやり方で進めたいと思います。


FIRSTの活動としては、どのような分野に注力していますか。

 今はCSIRTが1つもない国には、少なくともCSIRTを作ってFIRSTに入ってほしいですね。そこのCSIRTが、またその国において組織内CSIRTを作ったり、情報共有をしたり、アドバイザリを出すメカニズムを作ってあげる。そのトレーニングとか、マテリアルもFIRSTが用意しています。

 地域展開と並んでFIRSTがこの1~2年で力を入れているのが、CEO(最高経営責任者)、CIO(最高情報責任者)、CSO(最高セキュリティ責任者)のような組織のトップレベルの経営者層に問題を理解してもらい、CSIRTの活動を認知してもらうことです。

 FIRSTとしては、例えばCEOフォーラム、CIOフォーラムを開催して、組織の経営層の方を集めて、セキュリティ関連情報をアップデートをしたり、問題を共有するための方法やCSIRTの作り方をディスカッションしています。

最近のサイバー・インシデントで特に脅威だと思うものは何でしょうか。

 外部からの攻撃を考える前にまず、ソフトウエアの脆弱性があまりにも多いことを危惧しています。製品を出荷する前に脆弱性を作り込まないで、安全な製品を出す取り組みが必要になっています。

 もちろん、ベンダーには出荷スケジュールなどの事情があるのは分かりますが、ユーザーは納期だけではなく、安全な製品を求めているという意識を持ってもらう必要があると思います。

 JPCERT/CCに報告を受ける脆弱性も、OSからアプリケーション・レベルのものとさまざまです。Webアプリケーションの脆弱性も最近問題になってきていますし、Web 2.0に関しては脆弱性の問題について、きちんと議論、分析して問題をつぶしていく必要があると思います。最近は家電製品にも脆弱性が報告されました。

あらゆるものが踏み台に

 例えば2年前、あるメーカーのDVDレコーダに組み込まれた脆弱性が実際に利用されて、スパムメールに使用されたという事例がありました。今はいろいろな家電製品がネットワークにつながっています。DVDレコーダ、ゲーム機、携帯電話機が、TCP/IPのプロトコルでしゃべっています。

 攻撃者はネットワークにつながっているものであればすべて踏み台にします。踏み台を利用して攻撃を仕掛ける。当然のことながら、DVDレコーダの録画を止めてやろうという目的ではないのです。そういったことを考えると、製品の開発者は想定してないような使われ方に配慮して製品を作らないといけないというのが今の状況なのです。

ネットワークにつながるものが加速度的に増え、一方で攻撃者側コミュニティが強大になっていることを考えると、守る側としては徒労感が募ってきます。

 ユーザーにとって使いやすい製品は、攻撃者にとっても使いやすいツールであり、踏み台にしやすいのです。このいたちごっこを早く止めるためにも、守る側のコミュニティが連携して情報共有しないといけません。ハッカーは一致団結していますので。

 それと、エンドユーザーへの啓蒙も大切です。特に、日本に関していえば、非常に性能のいいパソコンやアプリケーション、高速のネットワークを使っています。これがひとたび攻撃ツールになれば、“非常に切れ味のいいナイフ”になってしまう。セキュリティ対応できる組織がなかったり、知識がないと、踏み台にされたときの影響が大きくなります。

 ただしエンドユーザーに対しては、自分が契約しているISPから適切に伝えてもらうのがよいと思います。メディアの力も重要です。メディアの影響力はエンド・ユーザーに対してすごく大きいですから。JPCERT/CCとしては、ISPやメディアを通じて情報発信するということになります。

JPCERT/CC 経営企画室 兼 FIRST運営委員会ディレクタ
伊藤 友里恵(いとう・ゆりえ)氏
分散オブジェクトの国際標準化団体を経て、2002年11月よりJPCERT コーディネーションセンター(JPCERT/CC)。アジア太平洋地域の協力枠組み (APCERT)の立ち上げや、脆弱性情報調整機関の国際協力体制の構築に 携わる。2005年8月、CSIRTの国際連携枠組みであるFIRSTの運営委 員および理事に就任し、現在に至る。

(聞き手は,桔梗原 富夫=日経コンピュータ編集長,取材日:2007年10月25日)