ソフトウエアからぜい弱性が消える日？

日経コミュニケーション

2007.07.23

　ソフトウエアからセキュリティ面のぜい弱性が消える－－。そんな日が本当に来るとしたら，どう思うだろうか。「よかった」と思うだろうか。それとも，「仕事がなくなってしまう」「稼ぐ手段が減ってしまう」と思うだろうか。ぜい弱性を探す「Finder」と呼ばれる人たちは，ひょっとしたら後者かもしれない。

　残念ながら（幸か不幸か？），ソフトウエアからぜい弱性がなくなる日は，恐らくやってこない。米マイクロソフトをはじめ，ソフトウエア・ベンダー／開発者はぜい弱性を残さない努力を重ねているが，何事にも100％ということはない。ソフトウエアを導入すれば，そこには必ず新たなぜい弱性が付いてくる。しかも，最近はWeb 2.0系のアプリケーションを中心に，ユーザーが新規導入するソフトウエアは増えている。攻撃者側は狙いやすいソフトウエアを見定め，用意周到にそのぜい弱性を突いてくる。

　コンピュータ・セキュリティの研修・教育を手掛ける米SANS Instituteの創設者でありリサーチ・ディレクターのアラン・パーラー氏は，先日開催された「SANS Future Vision 2007 Tokyo」の基調講演で，「システム・ソフトがセキュアになったら，今度はアプリケーションなどほかのソフトウエアが狙われるようになった。当初一番狙われたのは，バックアップ・ソフトやウイルス対策ソフトだ」と語っていた。特に「バックアップ・システムのようなソフトは，パッチ・プログラムの適用を見落としがち」と，危険度の高さを強調していた。

ひっそりした攻撃にはCSIRT連携の“口コミ”作戦で

　重要なのは，ユーザーがぜい弱性があることを前提として攻撃から身を守らなければならないこと。しかも，特定の属性を持つ個人を攻める標的型攻撃や，パッチ・プログラムなどが開発されていないぜい弱性を突くゼロデイ攻撃が象徴するように，今までの防御手段は難なくすり抜けられてしまう。こうした最近台頭してきた攻撃は，一つひとつの動きが意外に小さいためである。派手に活動して発見され，ウイルス対策ソフトなどで駆除されてしまうことを避けて，ひっそりと動くものが多くなっている。以前のように，あちらこちらで同様の被害が発生するとは限らず，攻撃を受けていても，ユーザー自身はそうとは認識しにくい。

　だからこそ，ユーザー側が連携し，一致団結して対抗しなければいけない状況になりつつあると思う。そのキモになるのが「CSIRT」（シーサート：Computer Security Incident Response Team）だと思っている。CSIRTは，主に企業，企業グループに設けるセキュリティ対策専門部隊。社内で発生した事件に対処したり，社員のセキュリティ意識向上に努めたり，あるいは社外のセキュリティ情報を収集したりする。ひそかにはやり始めた先進の情報を，“口コミ”で交換するようなものだ。筆者が前回書いた記者の眼でも紹介した「xdoc2txt」のようなツールの存在を教え合ったりすることもできるだろう。日経コミュニケーションでは7月30日にセミナー「ゼロディ時代の企業セキュリティ」を開催する。CSIRTに所属している方はもちろん，そこまで大げさでなくても，今後のセキュリティの方向性を知りたいという方々には，ぜひご参加いただきたいと思っている。

　実は，CSIRTの活動のうち，一番大事なのは，社外との付き合い方である。多くの場合，ユーザー企業のセキュリティ担当者が期待するのは，社外からの情報収集である。インターネットのセキュリティ組織であるCERT/CC（Computer Emergency Response Team/Cordination Center）などを考えればいいだろう。ここでちょっと考えてほしい。外から情報を入手するということは，どこかに情報提供者がいることを意味する。この情報提供者には，もちろんベンダーやメディアが入るが，セキュリティ対策のためには，それぞれのCSIRTがお互いの情報提供者になることが一番望ましい。標的型攻撃などの動きや対処法は，CSIRTに一番早く伝わるためである。

　もちろん，実際の横の連携となると容易ではない。ほとんどが情報を求める側であり，情報を提供する側にならないからだ。社内の事件については，社内ルールに則っると情報公開できないことが多いようだ。それでも，もう悠長に構えてはいられない。組織化が進み，一歩も二歩も先を行っている犯罪者に立ち向かうには，守る側も組織化が欠かせないはずだ。

　CSIRTを組織化して情報を集められれば，横の連携はもちろん，ISP（インターネット接続事業者）など上流とユーザーの連携もきっとできる。既にそういう動きは一部にあるが，例えばユーザーから吸い上げた情報を基に，ISP側でトラフィックを検知・遮断することもできるだろう。そうなれば，ソフトウエアからぜい弱性はなくならなくても，そこを突いた「攻撃がなくなる日」は近づいてくるかもしれない。