Webアプリケーションのセキュリティ情報を公開するOWASPが主催する国際会議「AppSec APAC 2014」が2014年3月17~20日、東京の御茶ノ水ソラシティカンファレンスセンターで開催中だ。3月19日から始まったカンファレンスでは、冒頭のキーノートに奈良先端科学技術大学院大学の山口 英教授(写真1)が登壇。システム保護偏重になりがちな国内の情報セキュリティの考えは間違いであり、担当者はデータ保護を実践すべきだと訴えた。
山口氏は、企業のビジネスがグローバル化するなかで、コンピュータネットワークは不可欠とした。ただ多くのシステムは、一般化しており、壊れたら代替品をすぐ用意できる環境になったという。しかし、システム上で扱うデータやそれを活用するノウハウは代替が存在せず、守るべきものはデータだと強調した。
世界的にはデータ保護の重要性が広く認識されているが、日本ではそれが数段遅れている。例えば、OECD(経済協力開発機構)の調査によれば、日本は、データを保護するための暗号化への投資において、先進国のなかで最下位に近いという。「システムを保護すればデータは守られる」という思い込みによって、データ保護が軽視されてきた結果であり、そのため、アプリケーション開発者が暗号化に対するノウハウを持ち合わせていないという弊害も引き起こしている。
新しい技術を利用することを怖がらない
昨今、情報システムの脅威として標的型攻撃ばかりが騒がれているが、実際は内部犯行による情報漏えいだったり、ヒューマンエラーやハードウエアの故障によるデータの破壊だったりすることが少なくないという。アプリケーション技術者は、新しい技術を怖がらずに利用して、データ保護に努めることを勧めた。
具体的にやるべきこととして、(1)データの保護、(2)バックヤードシステムの保護、(3)HTTPSの仕組みをより活用すること、(4)分散化によるスケーラビリティ--を挙げた。
このなかで、HTTPSについて「万能だと思っているのは間違い」と断じた。企業の幹部には、インターネット上のやり取りにおいて、HTTPSを使っていればセキュリティ上安心と思い込んでいる人が多いという。SSLサーバー証明書さえ導入しておけば、アクセスするユーザーはHTTPSで通信できる。しかしこれでは、ユーザーがサーバーの正当性を確認できるだけで、サーバーが外部から攻撃を受けても、サーバー担当者は誰が行ったかなどを確認できない。「HTTPSは、クライアント認証や様々な暗号化技術などを利用するといった高度な使い方をして、セキュリティを高めるべきだ」とした。
