米SANS(System Administration,Networking,and Security)Instituteの顧問委員であるMerik Karman氏は4月25日,日経BP社のインタビューに対し,ネットワーク・セキュリティの現状や将来について語った(写真)。同氏は,将来よりも現状の脅威への対処が重要であることや,今後はホストベースIDS(侵入検知システム)や定期的なぜい弱性検査の利用が盛んになること,ベンダーにはセキュアなデフォルト設定と情報開示が求められることなどを語った。
SANS Institute とは1989年に設立されたNGO(非政府組織)で,ネットワーク・セキュリティに関する代表的な研究および教育機関である。ネットワーク管理者などに向けてセミナーやトレーニング・コースを定期的に実施するとともに,1999年にはセキュリティの技術認定プログラムであるGIAC(Global Information Assurance Certification)Programを設立している(関連記事)。
また,2001年10月には,システムのぜい弱性をリストアップした「The Twenty Most CriticalInternet Security Vulnerabilities」(関連記事)を公開している。
以下,インタビュー内容をまとめた。
いまだに続く「Code Red」の被害,将来よりも現状の備えを
――2001年は「Code Red」や「Nimda」といったワームが大きな脅威をもたらした。今後はどのような脅威が考えられるか。
未来を見通す“水晶球(Crystal Ball)”でもあればよいのだが,あいにく持っていない。そのため,どんな脅威が出現するのかを予想することは非常に難しい。ただ,今後システムはより複雑化することが予想され,それに応じて脅威も変化するだろう。
システムの複雑化は避けられない。今までは単に情報を発信するだけだったサイトが,さまざまなサービスを提供するECサイトに変わっている。それらのサイトには複雑なソフトウエアが含まれることになるので,従来よりもぜい弱性を含む可能性は高くなる。
ただし,将来の脅威を心配するよりも,現状の脅威に対しての備えのほうが重要だ。というのも,いまだに「Code Red」の被害を受けるシステムが後を絶たないからだ。あれだけ多くのシステムが被害を受け,メディアなどで大騒ぎしたにもかかわらず,何も学んでいないのが現状なのだ。
今後どのような脅威が予想されようとも,管理者は従来通りシステムを適切に管理していかなければならない。具体的には,システムを適切に設定して,パッチ(修正プログラム)を適用していく必要がある。また,アンテナを張って,最新のセキュリティ情報を絶えず収集することも不可欠だ。
適切な管理の必要性は,どのようなプラットフォームのシステムを運用していても変わりはない。最近では Windows システムのぜい弱性が話題になることが多いが,ほかのプラットフォームでも同様である。管理が不十分だと,システムは容易に攻撃されてしまう。
ホストベースのIDSや定期的なぜい弱性検査の導入が進む
――企業の多くはファイアウオールやウイルス対策ソフトを導入済みだと思うが,それら以外にどのようなセキュリティ製品の導入が今後進むと思うか。
まず考えられるのが,IDS だ。それもホスト・ベースのIDSである。現在は1台でネットワーク上のトラフィックをチェックする,ネットワーク・ベースのIDSが主流だが,今後は特定のWebサーバーやデータベース・サーバーなどを守るためにそれぞれのホストにインストールする,ホスト・ベースIDSの導入が進むだろう。
システムのぜい弱性を検査するサービスの利用も盛んになるだろう。セキュリティ・ベンダーなどに擬似的な攻撃を仕掛けてもらい,システムのセキュリティ・ホールの有無をチェックしてもらうこのサービスは,現状でも利用している企業は多い。
しかし,「1回チェックして,大丈夫だったらそれでおしまい」という企業も少なくない。実際には,こういった検査は定期的に実施しなくては効果は薄い。今後は,その必要性を認識する企業が増えて,定期的な検査を実施する企業が増えると思われる。
ぜい弱性検査以外のアウトソーシング・サービスの利用も進むだろう。具体的には,ファイアウオールやIDSのモニタリング・サービスである。
企業のセキュリティ管理者の負担は増加する一方だ。その負担を軽減するために,アウトソーシング・サービスが非常に有用である。もちろんコストはかかる。しかし,企業経営者のセキュリティに関する意識は確実に高まっているので,サービスを利用する企業は増えるだろう。
ベンダーはセキュアなデフォルト設定と情報開示を
――「The Twenty Most CriticalInternet Security Vulnerabilities」にも記載されているように,デフォルト設定のぜい弱性が,セキュリティ上大きな問題となっている。ベンダーはそのことを認識しているのだろうか。
ベンダーは認識している。しかし,簡単にはデフォルト設定をセキュアにできないようだ。というのも,セキュリティと使い勝手はトレードオフだからだ。一方では,セキュリティのために,デフォルト設定では機能を制限しておきたいと考えている。
しかしその一方で,ユーザーが設定変更しなくても,すべての機能を使えるようにしたいとも考えている。そして,ユーザーからの問い合わせに対応することを考えると,後者が優先されてしまうようだ。
例えば,マイクロソフトはセキュリティを高める目的で,Microsoft Word のマクロ機能を制限するようにデフォルト設定を変更した。すると,「今まで使用できた機能が使えなくなった」という問い合わせが同社のヘルプデスクに殺到した。これにより,ヘルプデスクへの問い合わせは,いつもより40%増加したという。
たとえヘルプデスクへの問い合わせが増加しようとも,ベンダーにはデフォルト設定をセキュアにしてもらいたい。ベンダーには大きな責任があるのだ。製品がぜい弱だと,その分管理者の負担は増大するからだ。インストールや設定に必要以上に気を使わなければならないし,運用についても同様である。そのことをベンダーには十分認識してもらいたい。
――ベンダーがパッチを公開する前に,第三者がセキュリティ・ホール情報を公開するケースが増えている。これについてどう思うか。
ベンダーがパッチを用意していようがいまいが,セキュリティ・ホール情報は公開されなければならない。なぜなら,情報さえあれば,ユーザーは影響を回避できるからだ。たとえパッチや回避策がなくても,ユーザーはその製品や機能を停止することで,影響を回避することができる。また,その製品が使用するポートをファイアウオールなどでブロックすることで,回避できるケースも少なくない。
ベンダーがセキュリティ・ホール情報をすぐに公開にしないことは深刻な問題だ。できるだけ早く情報を公開するように,ユーザーや我々のような組織が圧力をかけなければならない。
