TechLION取材班のまつうらです。先週に続き、11/25に開催したTechLION vol.19のレポートをお届けします。
第一部、第二部では様々なセキュリティーがらみの事件が起こった2014年を振り返ってきましたが、それでは明日私達はどうするべきか?
ということで第三部では「これからのネットセキュリティとリスクと心構えについて」と題してパネルディスカッションを行いました。セキュリティーの現場で活躍する本日のゲスト達が考える未来とは?そして私達はこれからの情報社会とどう付き合っていくべきなのか。
■第三部 今後の安心・安全なネットライフを目指して
用意したテーマは3つ。今後訪れる情報セキュリティーのリスクに対して、管理者・開発者はどう備えればよいか?ユーザーはどう備えればよいか?それでも事が起こってしまったらその時はどうすればよいか?目指す目標は同じでも、どうやって実現していくかという手段になると意見が分かれることもあり、白熱した議論になりました。
管理者・エンジニアは、今後のリスクにどう備えるべきか?
馮P:今年はいろいろな事件が起こりましたが、その影響で意識が変わったことは何かありますか?
満永:楠さんがおっしゃるように、オオカミ少年になるくらい今年大変だと。それで、管理者の人は「抱え込まない」っていうのがすごく重要だなと思いました。詳しい人を周りに置くのがいいと思います。FacebookやTwitter、LINEなど、SNSも発達していますからね。それに私はセキュリティを専門にしていますが、やっぱり我々だけセキュリティー対策に熱心でも仕方がないわけで、ぜひユーザ企業のシステム管理者の皆さんにも興味をもっていただきたいです。
馮P:例えばお三方をフォローするだけでも違いますよね。
まり:楠さんも、満永さんも、それぞれが反応する話題って違うじゃないですか。そしてアクションのとり方も人によって違うし自分も違う。「自分はこう思うんだけど人はこうしてる」っていうことを知りつつ、「自分はこういう対応をしたよ」っていうことを、互いに伝え合うことが大事なんじゃないかと。その時、振り返ると検証が甘かったって思うことも起きると思うんですが、そこは素直に「あ、違ってた」って言っていいと思います。間違えちゃいけないという風潮がこの業界には強いんですけど。むしろ「セカンドオピニオン貰えませんか?」という形で積極的にやりとりすべきではないかと。
楠:10年、15年前の空気だと、「オープンソースソフトはソースコードが公開で、みんなに見られてるから大穴は空いてないよね」という意識がありました。でもこれは明らかに嘘だってことがはっきりしました。みんなちゃんとやってるでしょ、って思い込んでいたのに、AppleやGoogleでさえ、調べれば5分でわかることを調べないで使ってきていた。ということが今年はっきりしたので、これからもまだまだ起こりますよ。特に今年は、OpenSSLでCCSインジェクション問題とかSSL3.0の脆弱性とか相次いであって、「掘ればなんか出てくるじゃん」という感じです。
馮P:システムの組み方が変わりそうですよね。
楠:一つの脆弱性でデータを抜かれたり改ざんされるようなシステムは作っちゃいけない時代がきたんだろうと。例えばApacheだったら、Apacheの脆弱性に引っかかるかもしれないからフロントに別のリバースプロキシを置いておこうとか……。
満永:その話でいうと、システムのネットワーク構成には思うところがあって、そういった対応をすべきであるというメッセージをセキュリティーの専門家が十分に出していないかなと。被害を受けてからああしろこうしろと言われても「いやいや初めから言ってよ。今更難しい」ってなるかもしれませんので、開発あるいは設計時に利用できる分かりやすい形にまとめておくべきです。せめて、Webアプリケーションセキュリティでいうところの徳丸本のようなバイブル的なものがあればよいんですが。
満永:少し話がずれますけど、社内のネットワーク構成をなんとかしたいという気持ちがかなりあります。標的型攻撃が本当に怖いのは入られた後の、社内から社内に攻撃されて蔓延して、1年とか長期にわたってデータが抜かれるということなんです。なんでそうなるかといえば、社内から社内の攻撃って殆ど意識されていないからなんです。
楠:社内の構成に関しては、簡単じゃないと思っています。というのは、ファイヤーウォールの内側にいれば安全だという思い込みがみんな中々なくなってない。日本は伝統的に社内システムの統制ができている会社が非常に少ないです。情報システム部門以外が自分の予算で買った野良サーバーが、実は重要なファイルサーバーになっていたりして。
法林GM:それは危険な匂いがしますね。
楠:「いやアンチウイルス入ってるから大丈夫だよ」って言うけど、最近はそれじゃ検出できないものが多くて。かといって、振る舞い検知型のアプライアンスサーバーの見積もりを立てると目玉が丸くなってしまうというパターンがありがちです。
満永:そういったものを買うって言う手段もありますけど、ネットワーク構成が悪ければいたちごっこなわけで、ログをとれる場所を増やすとか、社内から社内へのACLをちゃんと作るとか……。
楠:それは教科書的には全く異論はないんですけど、後からそれをやろうとすると大体はACL掛けた瞬間にどこかのユーザーが「ぎゃー!」と言うわけですよ。
満永:教科書的というんですけど、私は現場でやっていますので、教科書的でも効果はありますよ。ログを集めてホワイトリストを作成してというのは現実的だと思います。どうでしょう。
ユーザーの立場での日々の心構えは?
馮P:今度はちょっと毛色を変えて今度はユーザーの立場で。普段スマホやSNSを使っていて個人情報が漏れたり、ネットバンキング被害もそうですがそういったリスクに対する意見はありますか?「使わなきゃいい」という意見もあるかもしれませんが。
まり:まさに使わなければいいという理屈で過ごしてきたんですが、一方で恐怖心のないユーザーはパッと使ってしまうことで逆にこちらよりもどんどん詳しくなっていく。なので、他の人が興味を持っていることに関しても、「それってどうなの?」って情報収集することが必要かな、と。
楠:やっぱりIDは抜かれる時は抜かれるんで、抜かれて素早く気づけるようにしておくことですね。買い物をするたびにメールが届く設定にしたり、面倒臭いと思っても多要素認証を試してみるとか。あと、Androidどうにかならないですかね。とりあえずNexusはそれなりに安全だけど、未だにバージョン2.x端末がいっぱいある。でもアップデートしたくないじゃなくて、できないという。キャリアに放置されたAndroidデバイスというのが一番マズいです。そして実際に色々なインシデントが裏で起きているようです。それからSNS時代の個人情報ですね。隠したつもりになっているのが一番ヤバくて、書き込みにアクセス制限はかかっていても画像ファイルはURLが分かれば見えてしまうということもよくある。だから写真とか隠せるとはまったく思わない。内緒話はSNSではしない。どんなに内緒にしてもNSAは読んでるかも知れない。
会場:(笑)
満永:利用のガイドラインを教えることが大事なんですよね。変なこと書かないっていう。結局何を信用するかですよ。でも例えば、皆が使ってるGmail。Googleの認証局はGoogleがやっていたりしますが、じゃあGoogleは信用できるのか、となってしまう。あんまり小うるさく言いすぎて楽しくないものにしてしまうのも僕は嫌だなと。セキュリティー屋にあるまじき発言と怒られそうな気がしますが、事業者側が十分にセキュリティを考慮するという前提で、利用者にとってインターネットは楽しいものであればいいなあというのが私の思いで……。
法林GM:楽しくない事例がいっぱい出てきて、それに対応しているわけだ。
馮P:ネット決済時の注意点などはどうでしょう。ネット上での買い物もだいぶ普及してきましたが、一方で個人情報はどこまで気にすればいいんだろうと気になります。
楠:ICチップ対応のクレジットカードが普及して偽装カードの被害は殆ど無くなったんですが、それに代わってネットのIDを奪取されることによる被害が増えてきているというのが実情です。注意深く使わなきゃいけないですけど、対策にも限界があるなかで「これくらいやったら良い」ということを敢えて言うと、まずは知らないところでログインしたり、物を買った場合、必ずメール届くようにしたほうが良いということ。それと毎月の明細はしっかり見て、自分が支払った記憶があるか確認した方が良いです。とりあえずその2つをしっかりやっておけば、一度抜かれたとしても早く戻ってきます。
まり:ネット決済の限度額をきめ細かく設定できるといいですね。普段から高額な買い物をするわけではないので、「この1週間の間だけちょっと高い買い物するからその間だけ限度額上げてください」というやり方にする方が、カード会社の判断で不審な使われ方したカードを止めるというやり方よりも、利便性も確保できるし、一つの自衛手段になると思います。
困った時はどうすればよいのか?
馮P:いろいろと防衛策のご意見を伺いましたが、それでも何か起きてしまった!という時はどうすればいいんでしょうか。対処のしかた、あるいはどこに連絡すればいいかなど。やっぱりJPCCERTですか?
満永:はい、info[at]jpcert.or.jpにメールをいただくかWebサイトのフォームから受け付けていまして、できるだけ適切なアドバイスを心掛けています。ただ一点申し上げておきたいのは、ウイルスに感染してしまったPCをクリーンにするという実作業はセキュリティーベンダーにやってもらうべきものであって、うちは「こうした方がよいんじゃないですか」といことをお伝えするところですね。
まり:セキュリティーベンダーに連絡しようと思った時、いろいろある中で私のひとつの目安には、「パッとサイトを見て、急いでいる人はここ、っていうのがわかりやすい」ところ、それから「困っている人に優しい」というのがあると思います。お付き合いしてみてそこでさらに好き嫌いを判断すればいいって。担当者と一緒にやってみた内容や印象から判断するというやり方もあると考えています。
楠:二通りあると思っています。普段そういう目に遭って気が付いた時の対応としてはそれでいいと思うのですが、Blasterの当時を思い出すと本当にヤバい時って助けてもらえないと思った方がいいと思います。本当に大きな問題だと同時多発的に起こります。セキュリティベンダーもお得意先だけていっぱいいっぱいになるでしょうし、JPCERTの電話も埋まっていると思った方がいいですし。某省庁が「お問い合わせはこちら」と、間違って電話番号出したおかけで、数週間くらい業務が止まってしまったこともあります。
満永:企業内のCSIRT構築支援を行っていたことがあるのですが、CSIRTと聞くと重く捉えられることがありました。そういう時には私は、「あんまり重く考えず、頭の体操からやってみましょう」という話をします。例えば、どんなサーバーでも構わないのですが「これだけは止められない」というサーバーを1つ選びます。そして広報だったり営業だったりといった役職の人達を集め、例えば「そのサーバーが不正アクセスの侵入を許してしまいました。このままでは他に被害が拡大していきます」という想定をして、その時にどう対応しましょうか、ということを、事前に1回、1時間でもいいので話し合っておくんです。ユーザーへの連絡は?ベンダーを呼ぶとしたら?止めるとしたら段取りは?売上への影響は?など、具体的に。
馮P:防災訓練みたいですね。
満永:まさにそうです。社内の防災訓練はみんな1年に1回くらいやっていると思います。それの情報セキュリティー版を関係者の間で1回やってみるんです。関係者を1回1時間集めて話し合うだけでも十分な「気付き」が得られます。
馮P:そういう旗振りを関係者の方ができるといいですね。あっという間に時間が来てしまいました。皆さんありがとうございました。
◇ ◇ ◇
今回のTechLIONは、セキュリティー対策に関して各自が考える手段の違いにより、いつもにも増して白熱した議論が展開されました。そんな議論のさなか、満永さんが発した次のコメントが私にはとても印象的でした。
水道の水は引っ越して初日に蛇口を回しても飲めますよね。それはユーザーが何もしなくても、裏側にいるいろんな人たちの努力で安全性が確保されているからです。将来的にはインターネットも、裏の業者達の努力により、ユーザーは何も意識せず、LANに繋いだだけで楽しく生活できるようになってほしいな。
議論が白熱するのも、皆さんこういう想いが根底にあればこそだと思います。ゲストの皆様、本日は非常に興味深い話をありがとうございました。(下の写真は、毎回恒例の出場者記念撮影。写真にマウスを重ねると……)
■今年も観戦ありがとうございました
今年のTechLIONはこれでおしまいです。ゲストの皆さん、会場まで観戦にきてくださった皆さん、ネットを介してご覧になり応援してくださった皆様に、今年もスタッフ一同に代わりまして感謝を申し上げます。来年もまた、頑張りますので是非ともよろしくお願いします。
そんな気になる来年のTechLION vol.20ですが……。←あれ、まだvol.20の文字にリンクがない!……はい、準備は一日も早く告知ができるように努力します。しかし次回は4周年目にして記念すべき20回目のTechLION。テーマはもう決めています。20という数字にあやかってインターネットの20年を語ります。
それではまた来年のTechLION vol.20で!