ゆく年2014

TechLIONプロデューサーの馮です。こんにちは。

早いもので2014年もあと1週間!皆さんにとって今年はどんな年でしたか?

TechLIONは前回の鎌田さんの振り返りにもあったように、全4回のステージを実現。働き方、LL言語大集合、モノづくり、セキュリティと、ITにまつわる様々なトピックの内容で、毎回素敵なゲストの皆さんと参加者の皆さんたちと楽しく充実した時間を過ごせました。

来年も今年と同じく、いやそれ以上に充実したステージをお届けしたいと思っています。

ということで、2015年最初の回を少しだけご紹介。Vol.19の最後でもお話したとおり、次はTechLION20回目の節目となります。そこでこの“20”という数字にちなんで、“インターネットの20年”をテーマに、20年間の技術進化と環境の変遷についてお届けする予定です。

今から20年前といえば、何と言ってもWindows 95の登場です。一般家庭にまでコンピュータが浸透するきっかけとなったエポックメイキングな存在と言えるでしょう。また、最近巷でよく耳にするIoT(Internet of Things)、その基盤技術の1つでもあるJavaが登場したのも1995年です。その他、テレホーダイによるインターネットの一般化、米Yahoo!の誕生、Amazon.comサービスインなどなど、大きな出来事がたくさんあったのです。

こうした出来事が一気に重なったのは偶然なのか?あるいは必然なのか?そんなことを、お酒を飲みながら語り、そして、もちろん振り返った先にある未来について、バラエティに富んだゲストと参加者の皆さんとMCとで盛り上がりたいと考えています(たぶん3月後半ぐらいに開催)。

さて、このリレーブログも2014年は今回がラスト。改めましてスタッフを代表して、TechLIONにご協力いただいた皆さん、応援してくださった皆さんに御礼申し上げます。また来年も一緒に盛り上がっていきましょう!

それでは、皆さん、良いお年を~!!

新橋の隠れ家的な店でスタッフ忘年会。来年も良い年になりますように!
新橋の隠れ家的な店でスタッフ忘年会。来年も良い年になりますように!

『父母へ、お酒飲もうね!』 両親への手紙(風)、2014年の振り返り。

しばらく顔を見せずにごめんなさい。

ひろこは、毎日、楽しく、過ごしているよ!

今日はね、仕事の機会でね、お父さん、お母さんに手紙を書く機会をもらったんだ。

父上母上

私の仕事とお父さんお母さんとどう関係するか、ってとても疑問だと思うのだけど、『簡単に説明できないといけないな、どうしたらいいんだろう?』って考えていたら、まったく業界もわからない、世代も一回り以上違う人に、“とてつもなくわかりやすく説明してみたら面白いかも”って、考えたんだよ。 🙂

池上彰の影響かもね!あ、それでね、この手紙(公式ブログ公開)は実は許可をもらって無い・・・というか、今朝たまたまね歩いていたら閃いたことで、勝手にやっているだけなんだけどさ。へんな子だよね、私って。3人姉妹の中で一番へんてこだよね。うふふ。まあとにかく、今日は仕事のこと、わかりやすく書くから。お父さんたちに伝わるといいな、って思ってる。

 

TechLION(てっくらいおん)はね、IT業界で働く人達が集まるんだよ。

開催時間は夜でね。お酒が入るんだ。大丈夫、如何わしいことじゃないから。

え?心配だって?大丈夫だよ。(もうテキーラ飲めるぐらい大人なんだから。) 😳 

そうね、だいたい、60人~100人ぐらい集まるの。3~4人ぐらいの有名な人や活躍している技術者に舞台に立ってもらって、MC(司会)の人達と話をするんだ。一人はプロレス好きの技術者で、一人は巨人好きの出版社の人だよ。

それでね、IT技術の話をただ話すだけなんだけど、これが面白いんだ。

今時の言い方だけど、トーク・ライブって言うんだよ。たぶん共通の悩みとか、ニュースとかが分かり合える同志!という感じで楽しいのだよね。

それでね、今年はね、4回催されたんだよ。どれが面白かったかって疑問には答えられないな。だってみんな大好きなんだもん。こういうタイプって八方美人っていうんだよね。ほんとにね、冗談はだけにしておくわ。へへへ!

とりあえず、雰囲気が伝わるかな、かんたんにまとめるよ。

 

TechLION vol.16 (2014年3月5日開催)

東京大学教授で新しいネットワーク技術を研究している江崎先生、業界では超有名人。

奥さんも技術者の大場さんと、ビックデータに詳しい鈴木理恵子さん、Go言語の稲田さん。

ってこんなキーワードを出してもわからないか。

ひとつだけわかりやすく言うと、エネルギー問題もITで解決しようよ、ってすごい提案があったりしたんだよ。お酒飲みながらだけどね。 😎

3月

TechLION vol.17 (2014年6月26日開催)

この回にはね、イベント大好きな人と、プログラマーイベントの実行委員・主催者さん達に集まってもらったの。

小山さん、前島さん、和田さん、角谷さん、鈴木さん。(歩くOSSコミュニティイベントの生き字引・PHP・Perl・Ruby・Python)

20年前はITの環境がなかったから、当たり前にイベントができなかったんだって。

IT業界が作り出してる文化っちゅうものがあるんだって、あらためて勉強になったよ。お酒飲みながらだけどね。 😎

6月

TechLION vol.18 (2014年9月25日開催)

はやぶさプロジェクトの寺薗先生と、ケータイの文字入力の元祖を作った増井先生、企画提案が得意な瀬尾さん。

この回は宇宙ITの話とか・・・モノづくりの話だよ。

あのね、みんなね、ジョブスに騙されているんだって!面白かったな~あれは本当に名言だと思うよ。お酒飲みながらだけど思ったよ!ほんと盛り上がった。 😆

もちろん私はiPhone使ってるし、Mac大好きだけど、便利だと満足したら、それで終わりってことだって気づいたよ。

9月

TechLION vol.19 (2014年11月25日開催)

年末はセキュリティの話を特集にしたんだ。2014年はIT業界はセキュリテイ問題にたくさん悩まされたんだ。

ITセキュリティの警備隊JPCERTの満永さん、政府CIO補佐官の楠さん、女性でセキュリティサービスの提案しているまりさん。

この回はたくさん人が集まったんだ。今年はね、OSSっていうあまりセキュリティに問題ないだろうと思われていたソフトウェアに、脆弱性が見つかった年なの。

OSSってコードがネットワークに公開されていて、それをみんなで直したり作ったりするものなんだけど、普段使われていないような機能に問題があるって見つかったんだよね。

4階建ての家に人が入れないような・・・4階の窓に・・・そもそも鍵がなかった・・・という話だよ。

説明が難しい・・・!!ひろこはもっと勉強が必要だなって思ってるよ。お酒飲みながらね。 😎

11月

 

以上!

 

今年もたくさんの人と出会って、いろんな話を見聞きしたよ。お酒飲みながらだけどね。 😉

とにかく毎日がたのしくてしょうがないよ!

正月は顔を見せに行くからね~!お酒飲もうね!

 

ひろこより。

 

※ 本格的に振り返りたい方は、こちらのリンクよりどうぞ。 ⇒ http://techlion.jp/history

#テキーラ!!!

10841528_10152482041480966_346294466_n

 

vol.19報告(2/2)―安心・安全なネットライフをめざし、議論は大いに白熱した

TechLION取材班のまつうらです。先週に続き、11/25に開催したTechLION vol.19のレポートをお届けします。

第三部第一部、第二部では様々なセキュリティーがらみの事件が起こった2014年を振り返ってきましたが、それでは明日私達はどうするべきか?

ということで第三部では「これからのネットセキュリティとリスクと心構えについて」と題してパネルディスカッションを行いました。セキュリティーの現場で活躍する本日のゲスト達が考える未来とは?そして私達はこれからの情報社会とどう付き合っていくべきなのか。

■第三部 今後の安心・安全なネットライフを目指して

用意したテーマは3つ。今後訪れる情報セキュリティーのリスクに対して、管理者・開発者はどう備えればよいか?ユーザーはどう備えればよいか?それでも事が起こってしまったらその時はどうすればよいか?目指す目標は同じでも、どうやって実現していくかという手段になると意見が分かれることもあり、白熱した議論になりました。

管理者・エンジニアは、今後のリスクにどう備えるべきか?

馮P:今年はいろいろな事件が起こりましたが、その影響で意識が変わったことは何かありますか?
満永:楠さんがおっしゃるように、オオカミ少年になるくらい今年大変だと。それで、管理者の人は「抱え込まない」っていうのがすごく重要だなと思いました。詳しい人を周りに置くのがいいと思います。FacebookやTwitter、LINEなど、SNSも発達していますからね。それに私はセキュリティを専門にしていますが、やっぱり我々だけセキュリティー対策に熱心でも仕方がないわけで、ぜひユーザ企業のシステム管理者の皆さんにも興味をもっていただきたいです。
馮P:例えばお三方をフォローするだけでも違いますよね。
まり:楠さんも、満永さんも、それぞれが反応する話題って違うじゃないですか。そしてアクションのとり方も人によって違うし自分も違う。「自分はこう思うんだけど人はこうしてる」っていうことを知りつつ、「自分はこういう対応をしたよ」っていうことを、互いに伝え合うことが大事なんじゃないかと。その時、振り返ると検証が甘かったって思うことも起きると思うんですが、そこは素直に「あ、違ってた」って言っていいと思います。間違えちゃいけないという風潮がこの業界には強いんですけど。むしろ「セカンドオピニオン貰えませんか?」という形で積極的にやりとりすべきではないかと。

楠:10年、15年前の空気だと、「オープンソースソフトはソースコードが公開で、みんなに見られてるから大穴は空いてないよね」という意識がありました。でもこれは明らかに嘘だってことがはっきりしました。みんなちゃんとやってるでしょ、って思い込んでいたのに、AppleやGoogleでさえ、調べれば5分でわかることを調べないで使ってきていた。ということが今年はっきりしたので、これからもまだまだ起こりますよ。特に今年は、OpenSSLCCSインジェクション問題とかSSL3.0の脆弱性とか相次いであって、「掘ればなんか出てくるじゃん」という感じです。
馮P:システムの組み方が変わりそうですよね。
楠:一つの脆弱性でデータを抜かれたり改ざんされるようなシステムは作っちゃいけない時代がきたんだろうと。例えばApacheだったら、Apacheの脆弱性に引っかかるかもしれないからフロントに別のリバースプロキシを置いておこうとか……。
満永:その話でいうと、システムのネットワーク構成には思うところがあって、そういった対応をすべきであるというメッセージをセキュリティーの専門家が十分に出していないかなと。被害を受けてからああしろこうしろと言われても「いやいや初めから言ってよ。今更難しい」ってなるかもしれませんので、開発あるいは設計時に利用できる分かりやすい形にまとめておくべきです。せめて、Webアプリケーションセキュリティでいうところの徳丸本のようなバイブル的なものがあればよいんですが。

満永:少し話がずれますけど、社内のネットワーク構成をなんとかしたいという気持ちがかなりあります。標的型攻撃が本当に怖いのは入られた後の、社内から社内に攻撃されて蔓延して、1年とか長期にわたってデータが抜かれるということなんです。なんでそうなるかといえば、社内から社内の攻撃って殆ど意識されていないからなんです。
楠:社内の構成に関しては、簡単じゃないと思っています。というのは、ファイヤーウォールの内側にいれば安全だという思い込みがみんな中々なくなってない。日本は伝統的に社内システムの統制ができている会社が非常に少ないです。情報システム部門以外が自分の予算で買った野良サーバーが、実は重要なファイルサーバーになっていたりして。
法林GM:それは危険な匂いがしますね。
楠:「いやアンチウイルス入ってるから大丈夫だよ」って言うけど、最近はそれじゃ検出できないものが多くて。かといって、振る舞い検知型のアプライアンスサーバーの見積もりを立てると目玉が丸くなってしまうというパターンがありがちです。
満永:そういったものを買うって言う手段もありますけど、ネットワーク構成が悪ければいたちごっこなわけで、ログをとれる場所を増やすとか、社内から社内へのACLをちゃんと作るとか……。
楠:それは教科書的には全く異論はないんですけど、後からそれをやろうとすると大体はACL掛けた瞬間にどこかのユーザーが「ぎゃー!」と言うわけですよ。
満永:教科書的というんですけど、私は現場でやっていますので、教科書的でも効果はありますよ。ログを集めてホワイトリストを作成してというのは現実的だと思います。どうでしょう。

ユーザーの立場での日々の心構えは?

第三部(1)馮P:今度はちょっと毛色を変えて今度はユーザーの立場で。普段スマホやSNSを使っていて個人情報が漏れたり、ネットバンキング被害もそうですがそういったリスクに対する意見はありますか?「使わなきゃいい」という意見もあるかもしれませんが。
まり:まさに使わなければいいという理屈で過ごしてきたんですが、一方で恐怖心のないユーザーはパッと使ってしまうことで逆にこちらよりもどんどん詳しくなっていく。なので、他の人が興味を持っていることに関しても、「それってどうなの?」って情報収集することが必要かな、と。
楠:やっぱりIDは抜かれる時は抜かれるんで、抜かれて素早く気づけるようにしておくことですね。買い物をするたびにメールが届く設定にしたり、面倒臭いと思っても多要素認証を試してみるとか。あと、Androidどうにかならないですかね。とりあえずNexusはそれなりに安全だけど、未だにバージョン2.x端末がいっぱいある。でもアップデートしたくないじゃなくて、できないという。キャリアに放置されたAndroidデバイスというのが一番マズいです。そして実際に色々なインシデントが裏で起きているようです。それからSNS時代の個人情報ですね。隠したつもりになっているのが一番ヤバくて、書き込みにアクセス制限はかかっていても画像ファイルはURLが分かれば見えてしまうということもよくある。だから写真とか隠せるとはまったく思わない。内緒話はSNSではしない。どんなに内緒にしてもNSAは読んでるかも知れない。
会場:(笑)
満永:利用のガイドラインを教えることが大事なんですよね。変なこと書かないっていう。結局何を信用するかですよ。でも例えば、皆が使ってるGmail。Googleの認証局はGoogleがやっていたりしますが、じゃあGoogleは信用できるのか、となってしまう。あんまり小うるさく言いすぎて楽しくないものにしてしまうのも僕は嫌だなと。セキュリティー屋にあるまじき発言と怒られそうな気がしますが、事業者側が十分にセキュリティを考慮するという前提で、利用者にとってインターネットは楽しいものであればいいなあというのが私の思いで……。
法林GM:楽しくない事例がいっぱい出てきて、それに対応しているわけだ。

馮P:ネット決済時の注意点などはどうでしょう。ネット上での買い物もだいぶ普及してきましたが、一方で個人情報はどこまで気にすればいいんだろうと気になります。
楠:ICチップ対応のクレジットカードが普及して偽装カードの被害は殆ど無くなったんですが、それに代わってネットのIDを奪取されることによる被害が増えてきているというのが実情です。注意深く使わなきゃいけないですけど、対策にも限界があるなかで「これくらいやったら良い」ということを敢えて言うと、まずは知らないところでログインしたり、物を買った場合、必ずメール届くようにしたほうが良いということ。それと毎月の明細はしっかり見て、自分が支払った記憶があるか確認した方が良いです。とりあえずその2つをしっかりやっておけば、一度抜かれたとしても早く戻ってきます。
まり:ネット決済の限度額をきめ細かく設定できるといいですね。普段から高額な買い物をするわけではないので、「この1週間の間だけちょっと高い買い物するからその間だけ限度額上げてください」というやり方にする方が、カード会社の判断で不審な使われ方したカードを止めるというやり方よりも、利便性も確保できるし、一つの自衛手段になると思います。

困った時はどうすればよいのか?

馮P:いろいろと防衛策のご意見を伺いましたが、それでも何か起きてしまった!という時はどうすればいいんでしょうか。対処のしかた、あるいはどこに連絡すればいいかなど。やっぱりJPCCERTですか?
満永:はい、info[at]jpcert.or.jpにメールをいただくかWebサイトのフォームから受け付けていまして、できるだけ適切なアドバイスを心掛けています。ただ一点申し上げておきたいのは、ウイルスに感染してしまったPCをクリーンにするという実作業はセキュリティーベンダーにやってもらうべきものであって、うちは「こうした方がよいんじゃないですか」といことをお伝えするところですね。
まり:セキュリティーベンダーに連絡しようと思った時、いろいろある中で私のひとつの目安には、「パッとサイトを見て、急いでいる人はここ、っていうのがわかりやすい」ところ、それから「困っている人に優しい」というのがあると思います。お付き合いしてみてそこでさらに好き嫌いを判断すればいいって。担当者と一緒にやってみた内容や印象から判断するというやり方もあると考えています。
楠:二通りあると思っています。普段そういう目に遭って気が付いた時の対応としてはそれでいいと思うのですが、Blasterの当時を思い出すと本当にヤバい時って助けてもらえないと思った方がいいと思います。本当に大きな問題だと同時多発的に起こります。セキュリティベンダーもお得意先だけていっぱいいっぱいになるでしょうし、JPCERTの電話も埋まっていると思った方がいいですし。某省庁が「お問い合わせはこちら」と、間違って電話番号出したおかけで、数週間くらい業務が止まってしまったこともあります。

満永:企業内のCSIRT構築支援を行っていたことがあるのですが、CSIRTと聞くと重く捉えられることがありました。そういう時には私は、「あんまり重く考えず、頭の体操からやってみましょう」という話をします。例えば、どんなサーバーでも構わないのですが「これだけは止められない」というサーバーを1つ選びます。そして広報だったり営業だったりといった役職の人達を集め、例えば「そのサーバーが不正アクセスの侵入を許してしまいました。このままでは他に被害が拡大していきます」という想定をして、その時にどう対応しましょうか、ということを、事前に1回、1時間でもいいので話し合っておくんです。ユーザーへの連絡は?ベンダーを呼ぶとしたら?止めるとしたら段取りは?売上への影響は?など、具体的に。
馮P:防災訓練みたいですね。
満永:まさにそうです。社内の防災訓練はみんな1年に1回くらいやっていると思います。それの情報セキュリティー版を関係者の間で1回やってみるんです。関係者を1回1時間集めて話し合うだけでも十分な「気付き」が得られます。
馮P:そういう旗振りを関係者の方ができるといいですね。あっという間に時間が来てしまいました。皆さんありがとうございました。

◇ ◇ ◇

今回のTechLIONは、セキュリティー対策に関して各自が考える手段の違いにより、いつもにも増して白熱した議論が展開されました。そんな議論のさなか、満永さんが発した次のコメントが私にはとても印象的でした。

水道の水は引っ越して初日に蛇口を回しても飲めますよね。それはユーザーが何もしなくても、裏側にいるいろんな人たちの努力で安全性が確保されているからです。将来的にはインターネットも、裏の業者達の努力により、ユーザーは何も意識せず、LANに繋いだだけで楽しく生活できるようになってほしいな。

議論が白熱するのも、皆さんこういう想いが根底にあればこそだと思います。ゲストの皆様、本日は非常に興味深い話をありがとうございました。(下の写真は、毎回恒例の出場者記念撮影。写真にマウスを重ねると……)

■今年も観戦ありがとうございました

今年のTechLIONはこれでおしまいです。ゲストの皆さん、会場まで観戦にきてくださった皆さん、ネットを介してご覧になり応援してくださった皆様に、今年もスタッフ一同に代わりまして感謝を申し上げます。来年もまた、頑張りますので是非ともよろしくお願いします。

vol20

そんな気になる来年のTechLION vol.20ですが……。←あれ、まだvol.20の文字にリンクがない!……はい、準備は一日も早く告知ができるように努力します。しかし次回は4周年目にして記念すべき20回目のTechLION。テーマはもう決めています。20という数字にあやかってインターネットの20年を語ります。

それではまた来年のTechLION vol.20で!

vol.19報告(1/2)―2014セキュリティー事件の振り返り、専門家もユーザー同様に悩み戦っていた

TechLION取材班のまつうらです。今週そして来週のブログでは、11/25に開催したTechLION vol.19のレポートをお届けします。

本日のゲスト
本日のゲストは、全員スーツを着ていた(対するMCがカジュアルすぎ?)

もう幾つ寝るとお正月……、にはちょっと早いですが今年もいよいよ最後の月に。この2014年はITエンジニアにとっても本当にいろいろありました。というわけで本日のTechLIONは、酒を酌み交わしながら今年一年を振り返る、一足早い忘年会なのです。

今回のゲストは、そんなITエンジニアの中でも特にいろいろあったであろうセキュリティー業界からお呼びした三選手。HeartbleedにShellshock、もう少し一般に知られている話ではベネッセの史上最大級の顧客情報漏洩事件など。今年の騒ぎは近年稀に見る規模でしたが、そんな一年を皆で振り返っていきましょう。

当日の全セッションの模様の録画(第一部第二部第三部エンディング)を公開しています。(撮影協力:日本仮想化技術様)

■第一部 2014年第1Q,第2Qのセキュリティー問題

今回は三部構成で、第一部は今年の上半期、第二部は下半期のセキュリティー問題を振り返っていきます。そして普段なら一人ずつ選手が登場するところですが、忘年会形式ということもあり、最初から最後までMCの二人を交えた五人での試合を開催。

満永さん楠さん

各選手を簡単にご紹介しておきましょう。

左の写真から、満永拓邦@JPCERT/CCさん。コンピューターセキュリティーに関する各種情報を発信する組織として有名なJPCERT/CCに勤務していて、セキュリティー分野で何か事件があった時などNHKにも専門家として登場しているそうです。

右は、楠正憲@Yahoo!JAPANさん。インターネット総研やマイクロソフトを経て、現職に就いたそうですが、転職したり役職に就いたりするとセキュリティーの事件が起きるというジンクスがあるそうです。Blaster や今年のHeartbleedも、やはりそのタイミングで起こったといいます。

もう一人は、「まり」さん。大きなサイズの写真掲載なくてごめんなさい。(彼女と会えた方はライブに来て下さった方の特典?!By事務局)セキュリティーコンテスト“SECCON”の女性限定ワークショップ“CTF for GIRLS”でWebセキュリティー分野の講師を担当するなど、セキュリティー系のイベント活動などをされているそうです。

それでは振り返りトークの始まりです。当日のトーク中で交わされた話題をいくつか紹介していきましょう。(なお、トーク中の各ゲストの発言は所属組織の見解ではなく個人の意見であるとのことですのでご承知おきください)

自動アップデートポリシーの是非が問われた

馮P:1月にはアップデートハイジャッキングがあったりしましたね。
満永:そうですね、PCを使っていると、アップデートがないか調べにいくんですよね。そこが攻撃されるといつの間にかウイルスが付くという。これは結構ショッキングでしてね、我々セキュリティーの人間は今までアップデートしましょうって言い続けてきましたので。新しい時代のフェーズに入ったな、と個人的には思っています。新時代ですよ!これを防ぐのは原理的に難しい。
楠:でも90年代後半あたりって皆意識して自動アップデートしていなかった気がします。ただ、Blaster 事件とかあってやっぱりアップデートバイデフォルトじゃなきゃ駄目だよねっていう、パラダイムシフトが2002年頃に起こって。
まり:私も怖いな、って思います。「とりあえず公のところが出しているアップデートは大きい会社が出すものは基本的には大丈夫なはず、きっと大丈夫」ってやってきての事ですからね。
満永:Windowsアップデートって大丈夫なんですか?
楠:最近は正しいパッチでも青画面が出てきたりしますね。
会場:(笑)
馮P:映画の世界みたいになっちゃったわけですよね。
満永:先週のInternet Weekでも話題になっていましたけど、ゴルゴ13みたいだなと。今までとは違う、お金目的じゃない攻撃者がいて、そういう人たちなのかなって。

脆弱性の発覚した稼働サーバーは「止めろ」で片付く問題か?

heartbleedロゴ
heartbleed問題の啓蒙ロゴ

馮P:第二四半期はHeartbleedがありましたよね。これは結構デカい。
まり:同じ頃、バンキングマルウェア問題があって、あれはサイトデザインがひどいなという話がありましたが、heartbleedに関しては私はあのロゴのデザイン(右図)が秀逸だなと思います。
会場:(笑)
楠:会社が大騒ぎになったので翌日役所に行って「ちゃんと各省対策してる?」って聞いたら、「金融庁が全部の銀行にやっているかどうか問い合わせたよ」って話を聞き、ちょっと尋常じゃないなこれはと。役所が同じペースで対策を促すなんてそうは無いんで。

満永:いやぁ4月はひどかった。OpenSSLもそうだし、他にもStrutsの脆弱性がその時出て、予定していたセキュリティーの飲み会に1人しか来られなくなっちゃったなんてことがありましたよ。でも、Strutsが危ない、OpenSSLが危ない、って頭ではわかっていても簡単には止められないんですよ。特にユーザーがいるサーバー、売上があるサーバーは。
楠:止める止めない話はけっこう深いですね。ぶっちゃけ役所は楽ですよ。売上立てる立てないより失敗しないほうが大事なんで。でも会社って毎日売り上げがあるわけだから、止めるかどうかは僕は慎重に判断すべきだと思っています。Confidentiality(機密性)は大事ですけどAvailability(可用性)を無視した議論ってビジネス上成り立たないと思うんです。更に言うと、ポートを外に向けたアプリケーションは全て、リスクがあることを前提にしてシステム設計をしていれば止めなくて済むはずなんですよ。例えば外側のサーバーが踏み抜かれたとしても、そこから直接DBを叩けなければいいようにするとか。
まり:まさにその頃、自分が担当しているシステムでもOpenSSLのバージョンを上げる上げないの検討をしてました。楠さんの話を伺ったうえで振り返ると、何段階かまさにシステムを止めるポイントになるところはどこかって考えながら作っていくべきだったと思いました。
馮P:この出来事がこういった問題を考える契機になっていたんですね。

■第二部 2014年第3Q,第4Qのセキュリティー問題

2014年下半期
2014年下半期もいろいろ事件がありました(まだあるかも)

第一部では、他にもビットコイン消失事件PC遠隔操作事件など興味深いトピックがたくさん出てきたのですが、続いて下半期のトークに移りましょう。まだ今年は終わっていませんが、こちらも大きな事件がありましたよね。

注意喚起は迅速にすべきか慎重であるべきか

まり:第三四半期の出来事に「模造サイト3s3s.org」って書いてありますけど、これを書き足してもらったのは私の要望でして、脆弱性がということよりも実態とはかなりかけ離れた形で世の中に取沙汰されてしまったのが印象的でした。
満永:3s3sっていうものは伝わっているもんなんですかね。
馮P:この問題今日出る前に知ってたって人は会場でどのくらいいらっしゃいますかね?せっかくなので満永さんに説明していただければ。
満永:3s3s.orgって、いわばプロキシのドメインで、目的のサイトがブロックされていても3s3s自体がブロックされていなければ、見に行ける。例えば中国からはFacebookが見られませんけど、この場合3s3sがブロックされていなければ大丈夫なわけです。ですが、例えばここを経由してTechLIONのページを見た法林さんが、「あ、偽物のページがある!」って思い込むわけです。周りの情報を振り回されずに、紛らわしいけどプロキシなんだって冷静に対応すればいいんですけど、そうはならなかったのがこの件です。

楠:「これはプロキシだから出さなくていいよ」と私は答えたものの、でもフィッシングサイトと判断し得る要件は全部満たしているので実はこれ、教科書通りに判断するとはじくのって意外と難しい。この間日本の警察で大規模な取り締まりをやりましたけど、今回捕まった被疑者の関わった18~19億円のうち、4.5億円くらいは実際そこ経由でしたし。意図があることはわかるんですけど、意図があるからこれは悪くないんだっていうのはかえってすごく有害だと思います。なにせここはSSLで悪用すればパスワードもクレジットカード番号も盗めますし……。だからこの件で注意喚起を促した人に対して、「あいつら情弱だよね」と単純に馬鹿にする人は、もっと議論したほうがいいんじゃないですか。
満永:いや、喚起した人も馬鹿にするというつもりは一ミリもなくてですね、逆に注意喚起を出した理由を知りたいですね。
まり:ただ、今まさに、その判断をどうするかが重要ですね。そのためには技術的にきちんと理解できている人が必要ですし……。今回発生したbashの事件の時に思ったのですけど、セキュリティーに対する速度が上がっていて、早く注意喚起しなきゃいけないというのは物凄くよい流れなんですけど、一方であと1日あればもうちょっと正しい判断ができたみたいなことも今回騒ぎになってしまったかな、と。
馮P:情報判断は難しいですよね。企業の広報の方が判断するのとエンジニアが判断するのでもだいぶ差がありますよね。

『NHK級』の脆弱性

第四四半期の出来事
今年は、第四四半期になっても大きな脆弱性が相次いだ

馮P:bashの問題、いわゆるShellshockは今年のワースト脆弱性かもしれないぐらいのレベルですか?
満永:そうですね。もうTechLIONに来られないくらいの脆弱性ですね。これはヤバイと思って、私NHKに出ました。ちょうどパスワードリスト型攻撃の取材があった日だったんですけど、「パスワードリスト言っている場合じゃないです、お客さん。今日はbashですわ」みたいな。
馮P:でも言われた側は「bash、はぁ???」って感じじゃないですか?
満永:冗談みたいな話ですけど、今回のBash対応の中で「ジョーダンファイブ?『バッシュ』ってバスケットシューズですか?」って言う人もいました。そっちかー!って。
馮P:あとそれからドメイン名ハイジャック。満永さん、この件でもNHKに出たんでしたっけ。
満永:ええ出ました。これは例えば、techlion.jpっていうドメインを乗っ取られて、見に来た人が攻撃者のサイトに誘導されるというものなんですが、気持ち悪いのはその乗っ取りを許してしまう原因が十分に解明できていないところなんです。先ほどゴルゴの世界って話をしましたが、この攻撃のものすごく怖いのは、ドメインを乗っ取るからといって無差別攻撃なわけでもなく、標的型なんです。用事が済んだら一日二日で戻してしまい、しかも私をターゲットにしているなら私が接続しに来た時だけマルウェアを送り込む。攻撃者もこれやり過ぎじゃないか!と思います。

法林GM:あと満永さん、ドメイン名ハイジャックでNHKに取材されて放送された時に用語がすごく変な用語になって困ったみたいなのがあったんですよね。
満永:そうなんです。NHKに出演したことがある方はわかると思いますけど、言葉を変えられるんですよ。例えば「OS」使っちゃダメです。「ウェブサイト」使っちゃダメ。「マルウェア」もダメだし……。それで「ホームページを運用する基本ソフトウェアのパスワードが盗まれる」みたいになるんですけど、何を言っているんだろう?って(笑)。言い間違えたら「はいカットー!!」です。
楠:これって結局言われた素人の人もわかんないし、OSがわかるユーザーにも伝わらないし、誰に向かって報道してるんでしょうね。
満永:あのねぇ……、もう楠さんのおっしゃる通りで、毎回この疑問を記者の方に投げかけてますよ。もともとわからない人が報道見てもわかりませんけど、わかる人が見てもわからなくなっちゃいますよね。
会場:(笑)

満永:でもその反面、キーワードだけで動ける組織って多いんですよ。bashの時も止める止めないで相談を受けて、私の部門としては止めることをお勧めするわけですが、先程もあったように売上を立ててるサーバーの、特に営業部門の人相手だと「bashが危ないから止めましょう」と言っても、「bashって何だ」ってなって全然話が噛みあわないケースもあって、「NHKで言うくらい危ないんですよ!」って言うとこれは有効な説得材料になることもあると聞いています。
法林GM:そういう説得をするんだ。NHKクラス。
満永:ええ、「JPCERTが注意喚起を出した~」では説得力が足りないこともあるようです(笑)。
楠:NHK級って非常にわかりやすい!でも僕らはそろそろオオカミ少年なんですよね。オオカミ少年に見られてしまうほどに、今年は大きすぎるセキュリティー問題がこんなに出てきてしまったんですよ。

◇ ◇ ◇

今年一年のセキュリティー事件の振り返り、いかがだったでしょうか。このレポートで触れられただけでも実にたくさんの出来事がありました。

ところで観戦していて、個人的に意外だったのは、この業界の方は脆弱性に対しては血も涙も無い対応を促すのかと思いきや、そういうわけではなかったということでした。Availability(利便性)をないがしろにしてまでの無理を強いる考えを持ってはいませんでしたし、自動アップデートを推奨すべきか否か、注意喚起をどう促していけばいいのかなど、一般ユーザーと同様に日々悩み、ユーザーと同じ視点でセキュリティー問題と戦っているんだなあと気づきました。

今週のレポートはここまでです。次回は「2015年以降の安心・安全なネットライフ目指す」と題してパネルディスカッションを行った第三部の模様をお届けします。お楽しみに。