情報セキュリティの最近のブログ記事

連日猛暑に熱帯夜、ちょっとバテ気味だけど、食欲だけは維持できているので、なんとか持ってる感じ。今日も午後から西新橋でクラウドがらみの打ち合わせ。昼間はできれば出歩きたくないのだけど、しかたがない。いつもは歩く新橋、某協会事務所間も、暑さで行きだおれる（もしくは、ビヤホール等に迷い込む）可能性大なので、銀座線で虎ノ門まで一駅乗って、ちょっと戻る感じで、できるだけ炎天下を歩かなくてすむようにしている。

このまえ入手した野良（じゃないか、一応私が飼い主だし）AP箱（フレッツ光ポータブルのルーター）は、なかなか快適。EモバのSIMを入れて使っているのだけど、HSPA（＋でないのが寂しいけど）なので、体感的には結構速い。上りも遅くないのが画像を貼りまくりたいブロガーとしてはうれしい。今日は朝から電源を入れっぱなしで、XPERIAなどが繋がりっぱなしの状態で６時間以上、バッテリー警告も出ないで動いていた。ちなみに、これを入手してから、XPERIAは３G通信をほとんど使っていない。データ通信はEモバ一本にたばねてしまった形になっている。どのみち、EモバはPCやiPadで使うので、XPERIAもこっちにつないでしまったほうがお得だ。WiFiを常時ONにしてるとバッテリーの消費は激しいのだけど・・・、一応充電器と予備バッテリーは持ち歩いてるので。

ちなみに、セキュリティ関係以外の人も見てると思うので、書いておくと、この種のWiFiアクセスポイントは、狙われる可能性も高いので注意が必要だ。（もちろん、自宅のプライベートなAPも同じだけど）なので、以下のような設定をおすすめしたい。

・SSIDを流さない（推奨）

　　バッファローの場合は、「ANY接続を許可する」のチェックをはずしておく。その他のメーカーの場合は、「ステルスモード」なんて呼んでるところもあるし、SSID（またはESSID)のブロードキャスト（をしない）、というような表現をしているところもある。いずれにせよ、この設定で、APの名前が普通のクライアントからは見えなくなる。でも、明示的に設定すれば、接続はできるので、興味本位での攻撃を受けるリスクは下がる。（そのスジな人たちには役にたたないけど・・・・、少なくともリスクは多少下がるはず）

ちなみに、この設定では、PC等からAPの名前が見えないので、選択して接続することができない。面倒だが、マニュアルで無線LAN設定を投入することになる。Windowsの場合、このAPがブロードキャストしていなくても接続する（をチェックする）設定にしておく。

・セキュリティはWPA２／AES暗号化を選ぶ（必須！！）

　最近の製品は、WPA2もしくはWPA方式（WPA-PSK, WPA2-PSKと表記されているもの、WPA-Personal などの表記になっているものなど、いろいろあるが、AESを使うところがポイント。WEP方式の暗号化は、もはや「暗号化」されているとは思わない方がいいほど脆弱なので、使うべきではない。また、TKIP方式は、WEPをベースにしていて、定期的に鍵を自動更新することで、解読のリスクを下げはするが、やはり、WEPなので危ないから使わない方がいい。（AESが使えない古い製品は買い換えよう）また、接続パスワード（パスコード、シェアードシークレット、パスキーなどの表現もある）は、簡単に推測できないようなものを使おう。少なくとも、その機器に貼ったシールなどに書かれている文字列（シリアル番号や機種名など）は絶対に使わない。（最初に試すのがこのあたり）

・管理画面のパスワードをきちんと設定する（必須！！！）

　デバイスの設定管理をするためのWeb設定画面にログインするためのパスワードも上記同様に推測しにくいものを使うこと。

・MACアドレスによるアクセス制限（推奨）

　設定が面倒な割には、効果は弱いが、一応リスクを下げる効果はある。

あと、特にポータブルAPについては紛失も考えられるので、AOSSやWPSといった自動接続設定機能は使わない設定にしておいたほうがいい。（最初の接続時に使うのはいいが、通常は管理画面から使わない設定に変えておく）また、SIMカード（３G回線に接続するためのチップ）にはPINロックを必ずかけておく。（落としたときに抜かれても大丈夫なように）電池の節約もかねて使わない時は電源を切っておくことも忘れずに。（私みたいにつなぎっぱなしにするのであれば、これは無理だけど）

最後に、以上の内容が理解できない・・・・という人は、当面、こうしたデバイスを持ち歩かないことをおすすめしたい。あぶないから・・・・。少なくとも取説を一度きちんと読んでセキュリティ機能を理解してから使いたい。前述の製品のマニュアルをちょっと読んでみたが、それなりにきちんと書いてある。わからなかったら、近くのよくわかる人（もちろん信用できる人）を頼ろう。

閑話休題

今日の夕焼け。

p>

さて、お風呂に入ろうか・・・・

今日はちょっと真面目に聴こう・・・と思って、５時間連続で聴いてみた。朝一はいまひとつだったので、１１時から４時まで、昼飯抜きで。まずは、モバイルアプリケーションについてのセッション。主に、最近流行りのiPhoneとAndroidについての比較論。無償アプリをダウンロードして解析し、全般的な傾向を調べた結果。

まずは、いずれのプラットホームでも、アプリが吐き出すログに機微な情報が含まれることが多いということ。たとえば、電話番号や機器固有のID,GPSのロケーション情報など。また、サーバとの通信の際にこうした情報が送られることも多く、特にHTTP/GETで送られてしまうと、サーバ側のログにもその値が残ってしまう。こうしたことは、アプリの開発者が、（少なくともセキュリティに関しては）初心者であることが多い点も影響している。Androidの場合、アプリがどんな情報にアクセスするかは、インストール時にユーザが確認して判断できる。一方、iPhoneの場合は、Appleがすべてを握っていて、Apple Storeに登録する際にチェックすることになるのだが、チェック漏れも多いようだ。どちらも一長一短あって、多くのユーザは何も考えずにOKしてしまうので、Androidのアプローチは一般のユーザに対しては、あまり役にたたないかもしれないと思う。一方、こうしたことに神経質な利用者にとっては、Appleのアプローチには不安が残る。実際、いずれのプラットホームでも、単純な「壁紙」アプリケーションが、連絡先やロケーション情報へのアクセスを要求する、といったことも多くあるようで、結構油断がならないようだ。このセッションを聴いて、一度、うちのXPERIAとiPadがいったいどこに通信しているか調べてみたくなった。帰ったらやってみよう。下の画像が、このセッションのまとめ。

次に聴いたのが、サイバー犯罪・戦争の話。サイバー戦争で、思い浮かぶのがグルジアだったり、中東あたりだったりするのだけど、実際、軍としてこうした部隊を持っていることがわかっている国は、米国、ロシア、中国、フランス、イスラエル、そしてイランだという。興味深かったのは、イスラエルがシリアの核施設を攻撃した際に、周辺国の防空システムに侵入して、レーダーなどの痕跡を消し去ったという話だ。物理的な攻撃と並行してサイバー攻撃が行われた顕著な例だろう。昨今、テロを除けば、戦争の標的は軍事施設に絞られることが多い。しかし、サイバー攻撃については、軍事施設のみならず、民間のインフラなども標的にされる。しかも、使われるネットワークは民間のインターネットだ。去年も書いたのだけど、サイバー戦争（国家間の戦争）とサイバー犯罪の区別はどこでつけるのだろうというのが、今回も疑問として残ったのだが、今回の内容はその点にも少し踏み込んだ内容になっていた。つまり、敢えてその境界を不鮮明にすることで、国家が、サイバー犯罪者を（間接的に）攻撃に利用している・・・というわけだ。サイバー犯罪者は「金」になればなんでもする。技術も持っている。表立った戦争ではなく、裏方のスパイ合戦に彼らを動員するようなものだ。失敗しても闇に葬ることができる。しかし、これは極めて危険な動きだと思う。実際に、こうしたサイバー攻撃が物理的な攻撃との組み合わせで行われるならば、サイバー攻撃そのものが、物理的な戦争の引き金になることもあるのではないだろうか。それを避けるには、それこそネットを国家が管理する某国のようなモデルが必要になってしまうかもしれない。もしかしたらネットの未来は闇の中・・・なのかもしれないなと思った。

次のセッションは、中国におけるネット検閲の問題についてのもの。いわゆる、Great FireWall of China の仕組みとか、検閲の方法、回避方法などについての解説だ。中身はさておき、これだけの仕組みを持っているのだったら、外向けの攻撃だって止められるだろう・・・・、と誰もが思うだろう。実際、それはできるはずだ。現実に、聞いた話だが、オリンピック期間中はばったりと攻撃がやんだらしいから。この前のセッションも併せて考えれば、国家がサイバー攻撃を利用、黙認しているという見方もできるし、一方で、不満のはけ口を作っているという見方もできる。ただ、いずれにせよ危険だ・・・。他の国が、ネットに介入する口実にも使えてしまうから厄介だと思う。

次のセッションは、ゲーム機を攻撃マシンにする話。実際、DSとWiiを使って、ARPスプーフィングで通信に介入し、同じネット内のPCでアクセスしたWebページのレスポンスにiFrameを埋め込むといったデモも見せてくれた。（何度か失敗して失笑を買っていたのもご愛嬌・・・）また、ゲームソフトにこのような機能をマルウエアとして感染させるということの可能性についても触れられていた。スマートホン同様に、ゲームアプリも実際はメーカーが配布管理をしているのだけれど、不法コピーや改造ソフトは数多く存在する。iPhoneのJailBreakがマルウエアの標的になったように、こうした改造ソフトが標的にされる可能性は十分にあると思う。やはり、不法ソフトや安易な改造ソフトの利用は危険だ。

最後に、「スパイウエア開発者としての私の生活」といったプレゼン。ITエンジニアだったスピーカーが、会社を首になり、その後、マルウエア開発を仕事にするようになった経緯とか、こうした裏社会の様子などを語りながら、結局、ヤクザな連中にうまく使われて、自分にとっては、あまり益がなかったことなどを話しながら、自分と同じ轍を踏まないように・・・という話だったように思う。

さすがに昼飯も食わず、５時間連続は腹も減って、体も冷え切ったので、今日はこれくらいで終わりにした。明日はもう帰るので、これがDEFCON最後となる。ちょっと表に出て、冷房で冷えた体を暖めて、宿に戻った。

宿で一休みして、それから夕食を食べにでかけた。今回は、この周辺から出ていないので、最後くらいはちょっと遠出、とダウンタウン（旧市街）あたりまで行ってみた。

しかし、バスで３０分ほど窮屈な格好をしていたせいか、膝が痛み出し、歩いている間にかなりヤバい状態になってきた。しかたがないので、あきらめて、またバス停へ。

ホテルまで戻ってきたのだけど、膝はかなり悲惨な状態で、しかたがないので、サンドイッチとサラダとビールを買って部屋に戻って食事。会場でも立ち見とか行列とか、今日は結構足を酷使したので、そのせいもあるんだろうか。まだあんまり無理はできないみたいだ。ホテルの窓からはちょうど夕焼けで、いい感じ。膝の痛みは湿布とアルコールでごまかして、くつろいでいる。

さて、明日は朝一にホテルを出て、１０時過ぎの便でLAへ。そこから成田行きに乗りついて帰国する。なんとなく弾丸ツアーな今回。でもまぁ、こんな膝では遊ぶこともできないのでしかたないかな。今夜は、膝をきちんと湿布して寝よう。

・・なれなかった私。DEFCONバッジ売り切れで入手できず。去年は翌日入荷分を配ってたのに、今年はないらしい。HUMANですらないなんて・・・・。インフォメーションで、「今日はどこで配るの・・・」って聞いたら、あっさりと、もうないよ・・・だって。（涙）

気をとりなおしてトラック１のキーノートを聞こうとしたら、既に満席、しかも入場制限されてるし。しかたないので、トラック２へ、DNSのトラフィックを複数サーバでモニタして、データベース化して、特定のドメインのアドレスの変化を追跡するというもの。メールのRBLみたいに、DNSサーバのレピュテーション的な使い方もできるそうな。

次は、「クラウドは大量破壊兵器か？」というタイトルのセッション。スケーラブルなクラウドを、攻撃システムとして使ったら、という話は常々あるのだけど、このセッションでは、実際にアマゾンを使ってDEFCONサイトにDDoSをかけるというデモ付き。でも、７インスタンスでは、落とすところまで至らず、会場からはちょっと失笑が漏れる。２０まで上げてようやくレスポンスがなくなった。攻撃の強さ、という意味ではボットネットのほうが高いのだろうけれど、オンラインでサインアップしてすぐに使えるクラウドは、一過性の攻撃をかけるにはお手軽なのかもしれない。実際、事業者側が事態を把握したときにはもう遅いわけだ。ただ、アシがつく可能性も高い。盗んだクレジット番号を使ったり、所在をごまかしたり、あれこれ面倒なこともしなければいけないから、自爆覚悟の攻撃者以外にはリスクが高いのかもしれないと思う。ただ、こうした可能性については、事業者はなんらかの対策を考えておくべきだろう。

しかし、会場は混雑している。毎年のことではあるのだけど、今年は特に人が多いような気がする。移動が大変。膝の調子が、やはりいまいちで立ちっぱなしは辛い。

午後は、IPv6話をまず聴いたけど、どちらかといえば、ありきたりな内容。そのあとの、仮想環境でのOSシグネチャについての話は、睡魔に勝てずに熟睡してしまい、聴き逃した。やっぱりDEFCONのプレゼンは早口だし、スピーカーそれぞれ、訛りも強かったりして聴くのが大変。集中力が切れたらアウト。ということで、今日は一旦宿に帰って昼寝を決め込んだ。ちょっと昼寝のつもりが、気がついたらもう６時・・・・。寝すぎてしまった。

とりあえず、リビエラまで行って、ビールを買って、プールサイドのバンド演奏を聴きながら飲み、ちょっと夏フェスっぽい雰囲気を味わってみた。しかし、日本勢も結構いるはずなのに、今日はだれも会えなかったのは、ちょっと寂しい。

足が痛いので例年のようにあまり歩きまわれないのだけど、ちょっとだけ散歩。

あんまり食欲もないので、サンドイッチとバナナを買ってきて、それで今夜の夕食はおしまい。どうも今回はカジノ（スロット）では負けっぱなしなので、あまり深入りしないほうがよさそう。今夜は部屋でまったりしていよう。

今日もまた、ほぼ一日缶詰の打ち合わせ。疲れたけど、それなりに成果はあったかな。帰国後、かなり仕事が増えそうだけど・・・・（苦笑）。あいかわらず、いいお天気のＳＦベイエリア、日差しが強いので、日中歩くなら日焼け防止が必須。

これは、昨日の昼食時。ふと見上げたら、太陽の周りに円をかいたような虹。めずらしい。

今日もいい天気。ちなみに、昨日の昼食はベトナム料理店でフォーを食った。今日は日本食。

木が根元からぽっきり折れて倒れている。その先には車・・・・。突然折れたのだろうか、作業員がチェーンソーで切りながらかたずけ中。私の車に倒れてこなくてよかった・・・・。ちなみに、食事から帰ったら、すっかり片付いていて、切り株も目立たない。車は・・・と見ると、直撃は免れたようだけど、側面にかなりの傷・・・。これって、証拠隠滅に近いかも。ドライバーは何が起こったかわからないだろうな・・・。

午後からまた缶詰で、４時ごろに打ち合わせ終了。現地オフィスにちょっと寄ってから同僚と、よくいく中華屋さんに夕食をとりにいった。ちょっと２人で中華は・・・・と思ったのだけど、案の定、注文しすぎの食いすぎ・・・・。いまだにまだ胃がもたれている。店は汚いけど、味は悪くないので、あまり残すのはもったいないから、２人で無理やり詰め込んだ・・・。

この時期は、サマータイムなこともあって、午後９時近くまで明るい。下は、午後８時ごろホテルの窓から撮影した風景。

ところで、Twitterを見ていたら、なにやら22/TCP方面で騒がしくなっているらしく、原因がJail breakした（つまり、SIMロックを無理やり解除する改造をほどこしたもので、本来封鎖されている管理権限が解放されてしまっている）iPhoneへのウイルス感染とのこと。以前から、Jail breakしたiPhoneを狙ったウイルスは報告されていたのだけど、どうやら本格的に標的になりはじめたようだ。しかし、知らずに感染した人の通信料はどうなるのだろうな。米国出張中なので、ローミング中とかに感染したら大変・・・ってのが、まず頭に浮かんだ。いずれにせよ、ファームウエアの安易な改造（しかも、自分で知識があってやるのではなく、人が改造したものを持ってくるようなこと）は、やめたほうがいい。そもそも、出回っている改造ファームが信用できる保証はどこにもないので。

同じくTwitterを見ていたら、ソーラーセイル衛星（というよりもはや惑星だけど）「イカロス」君が帆を広げ始めたようだ。まず対角線にある重りのついた腕を伸ばしていき、そのあと一気に帆を広げるみたい。帆を広げることができた段階で、まず実験の第一段階は成功となる。最近は、JAXA も Twitter をうまく使ってるなと・・・。イカロスとはやぶさの会話とか面白いし。米国惑星協会（Planetary Society）は、長年、自分たちでこれを計画してきただけに、ちょっと悔しそう。でも、まぁ、どこがやろうとこのコンセプトで作られた衛星が機能するということは意味があるだろうなと思う。

さて、今夜も時差ボケのまま過ごしてる。そろそろ寝ようかな。明日は最終日。ちょっと何箇所かまわって打ち合わせをして、予定終了。明後日帰ります。

さて、もう一度、イカロスの様子をチェックしてから寝ようかな・・・・

国内のＩＴ系メディアでもとりあげられているけど、フィナンシャルタイムズのこの記事は極めて疑問だ。Googleが、例の中国での攻撃を機に、Windowsの利用を減らしつつあるという記事。従業員の話として、新たにＰＣを調達する場合は、ＭａｃまたはＬｉｎｕｘが選択肢で、WIndowsを使うには、かなり上のレベルでの承認が必要になったと伝えている。

どちらかといえば、記事そのものの信ぴょう性も怪しいと思うのだけど、さすがに世界中で「それはないんじゃない？」という議論が沸騰しはじめているようだ。

そもそも、４月にも書いたのだけど、問題の攻撃は、いわゆる「標的型攻撃」だ。つまり、従業員が特定され、その従業員がピンポイントで狙われている。しかも、IMでのリンク送りつけという手法が使われた。

こうした攻撃で、Windosであるから脆弱、もしくは、MacやLinuxだから安全などということはありえない。むしろ、多くの攻撃にさらされて、日夜脆弱性の撲滅に奔走している（せざるをえない）Windowsのほうが相対的に安全という見方もある。MacやLinuｘへの攻撃が少ないのは、それが安全だから、ということではなく、とりわけ愉快犯的な大量感染攻撃などにおいて、社会的なインパクトがWIndowsに比べて少ないからにほかならないからだと思う。むしろ、標的型攻撃の場合、発覚することはまれだと考えたほうがいい。プロにとっては、もしかしたら、脇の甘いように見えるMacなどのほうがターゲットにしやすいのかもしれないし、そうした攻撃は簡単には発覚しない。今、私が一番心配しているのは、最近人気のiPadだ。安全性について語るだけの情報を私は持ち合わせていないのだが、少なくとも攻撃者にとっても魅力的な標的になりつつあることは間違いないだろうと思う。利用者を特定して、なんらかの通信を行う、あるいは傍受できるなら、利用しているOSを特定することは可能だ。OSがわかってしまえば、その種類に限らず脆弱性を調べて攻撃することはできる。あの複雑怪奇なWindowsの脆弱性を見つけられるプロならば、MacやLinuxの新たな脆弱性を見つけることも難しくないのではないだろうか。

このようなことを考えるならば、今では一流のセキュリティチームを持つGoogleが、こんな判断をするとはにわかに信じがたい。真っ当なセキュリティ屋さんたちが、この話をストレートに信じるとは思わないのだが、一流のマスコミが流した記事だけに注意が必要かもしれないと思う。

いけない、もうこんな時間（AM 2:40PST）だ、寝なくちゃ・・・・

そういえば、なにげなくｖ６を使っているのだけど、これはファイアウォールを入れない限りはパブリックなネットワークだ。なので、最低限のファイアウォーリングは必須だろうと思う。

最近、ISPでｖ６サービスをするところも増えているが、一般向けの場合はトンネル接続が主体。各社、接続用のソフトを提供しているが、既存のルータやファイアウォールでこれに対応できるものは見当たらない。ｖ４的にセキュアなネットワークの中で、こうしたｖ６トンネルソフトを安易に使うと危険だ。当然、PC側のファイアウォールは「公共の場所」を前提にしなければならないのだけど、ネットワーク接続ごとにモードを変えられないWindows標準ファイアウォールの場合は、ｖ４側にも制約が出てしまう。だが、これはいたしかたないだろう。万一、ｖ６側からやられてしまうとそれがバックドアになって、ｖ４側も危険にさらされるからだ。

さらに、配布されている接続ソフトでは、ルーターモードをサポートして、ネットワーク内にルータ広告を流せるものがある。私も使っているのだけど、VISTA以降のWindowsやオープン系のOSでもｖ６サポートは一般的になっているから、特にWindowsの場合は何もしなくてもルータからプリフィックスを取得してEUI６４でインターフェイスを構成してしまう。つまり、内部ネットワークがｖ４ではセキュアでも、ｖ６ではインターネットの延長としてパブリックなネットワークになってしまうわけだ。

意識的に使っているのならば、ファイアウォール設定を確実に行っておくことで防御はできるが、問題は、誰かがｖ４ネットワーク内で、野良ルータを上げた場合だ。最近のWindowsの場合はこれはかなり危険である。新しいネットワークとして認識して、なんらかのリアクションが必要にはなるが、ｖ６などに縁がない一般の人たちには何がなんだかわからないだろうから、そのまま接続を許可してしまう可能性が高いのだ。

特に、モバイル用のPCなどでは、必要がない限り、IPｖ６は使わない設定にしておいたほうがいい。公共のネットワークに誰かが悪意をもってルータ広告を流す事態を考えればかなり危険だからだ。これは案外簡単にできる。特に企業などの場合は、これを徹底しておいたほうがいいだろうと思う。

あとは、今後家電系がｖ６をサポートしたきた場合に何が起きるかだ。独自に閉鎖的な形でトンネルしてくれるならまだいいのだけど、オープンソースのコードをそのまま使って実装したりすると、ルータ広告に反応してしまう可能性もある。宅内のｖ６環境については、ISP,PC・OSベンダ、家電メーカーなどが早期に標準的な形を決めなければならないだろうと思う。決して個々の業界でクローズして動いていい話ではないので。

久々に、こちら方面のネタ。マラッカから帰ってきて、飛び込んできたニュースがこれ。

 
http://www.nytimes.com/2010/04/20/technology/20google.html?ref=internet

NY Timesのすっぱ抜きのようだが、あちこちで話題になっている。ある意味、典型的な「標的型攻撃」にやられたのだと思う。これが、Googleのいう、「中国（の国内）」からの「サイバー攻撃」の一つだとするならば、私は、よく発見できたなと思う。もし、この記事に書かれていることが事実だとすれば、攻撃者はGoogleの社員（おそらくは中国の現地スタッフ）を特定した上で、その人間にマルウエア（へのリンク）をIMで直接送りつけたことになる。その結果が、ソースコードの流出なのだとしたら、我々はこの事実をある意味で深刻にとらえる必要がある。

この問題は「Google」「中国」というキーワードが強調されがちだが、本質はそこにはない。このような攻撃が、世界中で、様々な組織を対象に広がっているからだ。広く流布されない、特定目的に使われるマルウエアを検出することは容易ではない。ウイルス対策ソフトはほぼ無力だと思っていい。ヒューリスティックもレピュテーションも、回避する方法はあるし、それがオーダーメイドで作られ、こっそりと使われるようなマルウエアであれば、有効とはいいがいたいだろう。（言い難い。。。でも胃が痛い？ ^^;）

ならば、どうすればいいのか。まず、感染しないこと。これは、基本に忠実にやるしかない。怪しい添付やURLをクリックしないこと。検索エンジンなどでサーフィンする際は、ブラウザのセキュリティ機能を有効にして、なおかつ怪しげなサイトへのアクセスはURLをきちんと見て避けること。（これもフィッシングの例なんかを見れば、標的にされた場合は難しいのだけど・・・）あと、PCを普段使うときは、管理者権限のないアカウントで使うのもいい方法かもしれない。（パワーユーザーにとってはかなり面倒だが、一般ユーザにはさほど不便はないはず）あと、セキュリティパッチは必ずあてよう。Windowsだけじゃなくて、最近は、プラグイン系のソフトも狙われる。Adobe系のソフトは特に、常に最新版にしておきたい。

でも、これを叫んでマルウエア感染がなくなるのだったら、ウイルス対策ソフトベンダなんかとっくに滅んでいるはずだし、あとは感染してしまったのをどうやって発見するかだが、これもかなり難しい。単純なアウトバウンドの通信でも、httpを使われたらWebアクセスとの区別は難しいし、相手先は怪しいサイトばかりとは限らない。ガンブラーでは、真っ当な（はずの）サイトも多く改ざんされて、マルウエアを埋め込まれているのだから。httpsならば、なおのこと、暗号化されてしまって中身もわからない。中身がわかったところで、通信を巧妙に偽装する（いわゆるCovert Channelみたいな）ことも可能だから、発見は容易ではない。

そうなると、もう少し受け身の対応も必要になるだろう。重要と思われる情報へのアクセスを常時監視し、異常を発見できればいいかもしれない。しかし、これも簡単ではない。本来、その情報へ頻繁にアクセスするであろう人間が、標的にされる可能性が高いからだ。特に重要な情報へのアクセスに、別途、マルチファクタの認証が必要なようにする対策もあるだろう。ただ、マルウエアが正当なユーザのアクセスを盗み見ていたらお手上げだ。

つまりはいたちごっこ・・・。先のGoogleの例で、「よく見つけられたな」というのはそういうことである。少し前に、あるセキュリティ専門家と話をしたときに、彼が言っていた言葉。

「昔は、攻撃側がアマチュアだった。でも、今はプロ中のプロが多いから、防御側も守りきれなくなってきている。」

さて、付け焼き刃の「セキュリティ屋」さんではなく、プロに対抗できるような、防御側の担い手をどうやって育成するか、それが問題だと思う。しかも、大量に・・・・。この時代、ネットの利用をやめるわけにはいかない。それはもうビジネスや生活の重要な要素だ。さらに、世の中の変化は激しい。それをうまくキャッチアップしていかなければ、競争に負けてしまう。新しい技術は人に先駆けて使っていきたい。そうしながら、安全を守っていくことは本当に難しい。しかし、今、それが求められているのだとしたら、我々セキュリティ屋は、もう一度、真剣に技術を磨き治さなければならないのかもしれない。

今日から本格的に始まったＲＳＡコンファレンス。朝からキーノートを・・・と思ったのだけど、連夜の時差ぼけで寝坊してしまい、最初の２セッションを聞き逃した。お天気は朝から雨。肌寒い感じで、ちょっと気分もさえない感じ。とりあえず朝食で元気をつけて、会場に出かけた。

キーノートはちょうど中休み。とりあえず席を確保して残りのセッションを聞いてみた。最初は、シマンテックのＣＥＯのプレゼン。

最近のテクノロジーのキーワードとして、ソーシャルメディア、クラウド、モバイルの３つを挙げて、こうした技術がＩＴ（というよりも「情報経済」）の高度化をより加速していくだろうと予測。同時に、昨今の脅威の動向、とりわけ脅威のターゲットが鮮明になり、それにつれて手口も高度化していることなどに触れて、より総合的な対策が必要だと述べた。興味深かったのは、マルウエアのシグネチャ数が、２００９年から２０１０年で倍増しており、もはやシグネチャベースの対応には限界が見えていることや、シマンテックとして、シグネチャベースに加えてレピュテーションベースのしくみも強化しているといった話。そして最も印象的だったのが、最後のしめくくりとして述べた言葉だ。「新しいＩＴ技術はビジネスの推進に不可欠だ。ソーシャルメディア、クラウド、モバイルといった領域の技術は、ビジネスのあり方を大きく変えるだろう。我々（セキュリティの専門家）は、これらをブロックするのではなく、うまく使えるようにする（enableする）ことが必要だ。」というくだり。そう、これが日本のセキュリティ屋さんたちが一番考えるべき部分なのだろうと思う。

引き続き、表彰式をはさんで、暗号屋さんたちのパネル。こういうメンツのパネルを見られるのはＲＳＡならではかもしれない。

中身は半分雑談っぽいもの。正直言うと眠気のせいでいまいち聞き取れなかった。おもしろかったのは、モデレータの質問。「皆さんは、いわゆる頭のいい人たちとして世間から見られているのだけど、これまでに何かおバカなことをしたことはありますか？」というもの。おもしろかった答えは、自分は１００日のうち９９日はバカげたことしか思い浮かばない・・・というもの。でも、１００分の１の確率で素晴らしいことを思いつけるのだったらいいんじゃないかな・・・と。

最後は、先日、ホワイトハウスのセキュリティ責任者に任命された、ハワードシュミット氏の講演。

氏は、先日ＪＮＳＡが提携発表したＩＳＦの代表でもあるのだけど、先日の来日予定がホワイトハウスのご指名の影響で急遽キャンセルになったのは残念。米国政府で、現在進められているセキュリティ関連部局の統合の話などを中心に語っていた。やはり政府のセキュリティ施策は縦割りの行政では難しいのだろう。このあたりは日本もなんとかしたいところなのだが・・・

さて、今朝はＰＣ入りのバッグを提げて会場に行ったのだけど、これを持ち歩いているのは結構疲れる。すこし展示会を見てから一旦荷物を置きにホテルに帰ってきて、とりあえずこれを書いている。今回、ちょっと面白い傾向が見えてきた。セッションのテーマとしては「クラウド」がらみのものが多いのだが、展示会のブースで、"Cloud" を前面に出しているものは少なかったということだ。おそらくセキュリティ屋さん（米国ではユーザサイドな人が多い）の興味はクラウド周りにあるのだが、（というより、すでにかなり語りつくされた感もあるのだが・・・）ベンダサイドは、無理やり自分たちのソリューションをクラウドに結び付けても見向きされないことがわかっているから、むしろ、要素技術としての特徴をアピールするような方向にあるのではないかと思う。ともすれば米国発のキーワードに踊る（踊らされる）日本のベンダにも見習ってほしいあたりだ。

さて、天気も良くなってきたので、また少し出かけることにしよう。

今朝は、昨日とはうってかわって、曇り時々雨、肌寒いサンフランシスコ。今日からＲＳＡ関連のイベントが始まるのだけど、今日はまだ前哨戦。CSA（Cloud Seculity Alliance）のイベントが開かれる予定なのだけど、レジストレーション時点で満員御礼状態。とりあえず行ってみて、と思って行ったものの、会場への通路で、もう入れませんとブロックされてしまった。

仕方がないので、すごすごと一旦宿に引き上げてきたのだけど、その帰り道、なにやらお腹がごろごろ・・・。宿に帰ってトイレに駆け込むハメになった。完全にお腹がゆるんでいる。昨日、悪いものを食べた記憶もないのだけど。そういえば、昨夜、時差ぼけにあかして日記を書いている時に、テーブルの上にあるミントの飴を暇にあかしてなめていたのだけど、まさかそれとも思えないし。

とりあえず、朝食はやめにして、昼間で休養。調子がいまいちながらも、多少マシになったので、昼食をとって、また市内に出てみた。ここまで来たらアルカトラズ・・・と思ったのだけど、ツアーを予約しようと行ってみたら、この時期は少なくとも平日はやってないみたいで、ちょっとがっかり。で、しかたがないので、昨日も書いた、テレグラフヒルのコイトタワーまで行ってみることにした。

タワー行きのバスは、ピア３９の近くから乗れる。なぜか３９番のバスなのだけど。天気が悪いので視界はいまいちだったものの、雨は上がって霧も出ていなかったので、それなりの景色を見ることができた。

１９３３年に建てられたこのタワーについては、その経緯がプレートに刻まれている。中の回廊を飾るフレスコ画も当時の政府の芸術政策の後押しで書かれたものらしい。

売店で５ドルのチケットを買い、古ぼけた感じのエレベータに乗る。陽気なにーちゃんがガイド役だが、今日は暇だとこぼしていた。エレベータを降りて、３７段（ガイドのにーちゃんいわく）の階段を登ると展望台。こんな感じで、窓から外が見える。

窓枠がちょっと邪魔だが、３６０度遮るものがない視界は、天気がよければとちょっと残念。ぐるっと見まわしてみたらゴールデンゲートブリッジ、アルカトラズ、ベイブリッジ、ダウンタウンと景色が楽しめる。

アルカトラズの前を巨大なコンテナ船が通っていく。遠近感で多少手前が大きく見えてはいるが、船の大きさも異様だ。

とりあえず、タワーを降りて、周囲を散策。ここはテレグラフヒルの0番地らしい。

バスがこないので、ぼちぼち歩いて降りることにしたのだけど、またしても勢いで宿まで歩き切ってしまった。丘越えすれば早いのだろうけど、体力がないので谷に沿って迂回したら結構時間がかかって、宿に帰ってくるころにはへとへとに疲れてしまった。またお腹の調子も悪化。とりあえず、全部出して(^^;)横になって一休み。

軽く寝たら少し体調も戻ったけど、食欲はない。すでに日が暮れかかっていたので、とりあえず、RSA会場の展示会オープニングとレセプションに行ってみた。

レセプションと言っても、展示会場のあちこちで飲み物や食べ物をサービスしているだけなのだけど。会場はそれなりの盛況。

セキュリティ系の「展示会」は、ほぼここに統合されてしまった感じなので、規模的には維持しているが、往年にくらべればちょっと寂しい感じもするのだけど。とりあえず、シエラネバダ一杯と少し食べ物をつついて、今日の夕食はおしまい。

帰りがけに、会場前の雰囲気がよさげだったので、とりあえず上の一枚を撮影。宿に帰って、ひと風呂浴びたら眠くなって、この時間にまた起きだしている。まぁ、時差ぼけを修正する気もないのだけど、今夜は少し早目に寝ることにしよう。明日はキーノートを一通り聞いて、それから展示会めぐりをしようかと。

SaaSのセキュリティといっても、表面について言うならば、いわゆるWebアプリのセキュリティだろうと思う。ユーザに委譲された範囲でのID管理はさておき、事業者側では、アプリケーションレベルでの脆弱性対策をしっかり考えておくべきだ。基本的には、不正入力に対するチェックをきちんと行って、インジェクション系の攻撃を防ぐことだ。ただ、一般のWebアプリとは異なり、基本的にマルチテナントでサービスを行うSaaSでは、ユーザ間のアクセス制御やリソースの分離にも神経を使う必要がある。たとえばデータベースを共用するような場合、アプリケーションからデータベースへのアクセス権限がユーザごとに分離されていないと、脆弱性に対する攻撃を正規のユーザが行った場合、被害は全ユーザに及んでしまう。基本的には、このようなことがないように、少なくともデータベースへのアクセス権限はユーザごとに管理できるようにしたい。

アクセスログの取得とユーザへの提供も重要だ。認証部分をSAMLなどで外出しできれば、認証ログについては、サードパーティーの認証サービスで対応できるが、データへのアクセスログはサービス事業者自身が提供しなければいけない。昨今の状況下では、情報の管理にアクセスログの取得が要求されるケースが多く、これが不可能なSaaSは、現実的には使いにくいのが正直なところだ。

SaaSの最も大きな特徴は、APIによるシステム連携が可能な点だと先に書いたが、多くの場合、このAPIは、XML Webサービス、つまりSOAPによって実装されている。表に見えるユーザインターフェイスとは違って、直接、コンピュータによってアクセスされるAPIは、自由度が高い分、リスクポイントも大きくなりがちだ。XML化されたデータの各要素がサーバサイドやクライアントサイドでどのように処理されるかによっては、不正入力が思わぬ副作用をもたらしてしまう。当然ながら、SQLインジェクションのような問題も生じることになる。最近は、Webベースのユーザインターフェイスにおいても、Ajaxのような非同期の仕掛けを使って、裏でサーバのAPIにアクセスしているケースもある。こうしたAPIの仕様は、たとえ公開されていなくても、ページのソースコードに記述されたスクリプトから簡単に読み解くことができるから、実際は公開APIとリスクの差はあまりない。ちなみに、ソース表示を禁止しても無駄である。そんなものは簡単に破ってしまうことができるからだ。

APIの問題はかなり複雑だ。単に、クライアントからサーバに渡された情報を、サーバ側がどう処理するかだけではなく、サーバからクライアントに渡されたデータをクライアントつまり、利用者側のシステムがどのように処理し、ユーザに表示するかも大きな要素だからだ。たとえば、なんらかの手段で、サーバ側から返されるデータに加工を加えることができれば、クライアントに対して副作用を引き起こすような内容を返すこともできる。サーバから持ってきた情報をそのまま使って、ユーザに表示したり、自前のデータベースに連携させたりする際に、この副作用が発生するとちょっと困ったことになる。つまり、ユーザは事業者のサーバから帰ってきた値を無条件に信用してはならないということだ。いや、すこしトーンを下げて言うならば、「信用しないほうが身のため」である。特に、ユーザインターフェイスへの表示や、データベース処理など副作用を起こしやすい処理に使う場合は、最悪の事態を想定して、きちんとサニタイズしておいたほうがいい。事業者、利用者の双方でこうした措置を講じることで、不測の事態が発生するリスクをかなり下げることができるだろう。

APIの話を除けば、SaaSレベルのセキュリティ問題の多くは事業者側の範疇にある。しかし、どうしても利用者側が逃れられないのが、自分たちのユーザの管理、つまり、事業者から買ったアカウント内部の管理だ。企業向けサービスの多くは、一定数のアカウントをグループ化して、利用者側で自由に管理ができるようになっている。契約数の範囲であれば、自由にアカウントの作成、変更、削除ができるほか、アクセス権限などの管理も自由にできるものが多い。また、そうでなければ一定規模以上の組織では使えないのも事実だ。だが、そうした権限委譲の結果、利用者側にも重い管理責任が生じる。たとえば、あるエンドユーザのパスワード管理が甘く、アカウントをクラックされ、情報を盗まれたとしても、一般にそれは事業者側の責任にはならない。事業者は、先にのべたように、ある利用者グループの不具合が他の利用者グループに影響しないようにする責任はあっても、利用者グループ内の問題には直接手出しができないからだ。

だから、SaaSの場合でもID管理はユーザ側の大きな責任である。この考え方は自社のシステムを使う場合とまったく同じである。しかし、自社システムの場合、必要に応じて自社の管理ポリシーに応じた機能を調達できるが、SaaSの場合、提供されている機能、たとえば、認証方法の選択肢や、パスワードなどの管理ポリシー（複雑性、変更頻度など）の強制の機能が不十分な場合も多い。ただ、先にもちょっと書いたが、多くの事業者のサービスで、SAMLやOpenIDといった標準的な方法で、認証を外部のサービスに委ねることができるようになっているから、これを利用して、自社のニーズに合ったシステムを自社に入れるか、認証サービス事業者のサービスを別途買うことで、自社のポリシーにあった仕様を満足する認証手段を得ることができる。自社で既にこうした連携が可能な認証手段を持っていれば問題ないが、新たに導入するのであれば、認証サービスを利用したほうが早いかもしれない。SaaS移行によって運用コスト削減をめざすのであれば、なおさらだ。ただ、認証サービスも一種のSaaSであり、「クラウド」の一部である。特に大規模なユーザは、そのサービスが本当に自社が要求する規模の負荷に対応できるのかや、安全を担保できるかなどをきちんと見ておく必要がある。認証サービス事業者には意外と小規模な事業者も多いから、今はよくても、将来的に収容するユーザ数が増えた場合に、きちんとスケールしない可能性もあるからだ。

さて、ここまでひととおりのセキュリティ問題を見てみた。既におわかりかと思うが、基本的な要素は、クラウドでも大きくは変わらない。ある意味、すべて応用問題なのだが、一方で、単純な応用ではなく少しひねって考えなければいけない問題もいくつかある。それは、おそらくは、クラウドの特質であるスケーラビリティを確保する手段に関連している。たとえば、マルチテナントモデルの採用によて、通常よりもリスクを高く見積もるべき問題もいくつかある。だが、テクノロジーが既出のものである以上、基本問題はすべて既出なので、考え方は大きくはかわらないと思う。

こうして整理してみることで、少しは漠然とした不安を整理することができたら幸いだ。

さて、技術的な問題はここまでとして、ちょっと厄介な問題にも触れておこう。４章では、いわゆる「想定外」がもたらす困難を考えてみる。

（３章終り：続く）