情報セキュリティ: 2009年5月アーカイブ

サイバーセキュリティに関するオバマ演説

風見鶏 (2009年5月30日 00:34) 0 0 票 0 票

うとうとしながらＢＢＣニュースを見ていたら、入ってきたのがこれ。大統領自ら、米国のサイバーインフラが脅威にさらされており、これを国家の大きな安全保障上の問題として対処する方針をアナウンスしたものです。

ホワイトハウス内に担当部局をおくほか、全体を統括する責任者（cyber czar）をおくとのことで、国家安全保障上の主要な課題のひとつとして取り組む方向性を示したものです。同時に、最近行われたサイバーセキュリティに関するレビューのレポートも発表されました。このレビューの結果として、オバマ政権はこの問題をこれまで以上に深刻にとらえて取り組むことを決めたようです。

実際、昨今、米国の軍関連のプロジェクトや電力網関連のシステムなどへの侵入事件が頻繁に報道されており、テロリストや国家情報機関の関与もとりざたされているなかでの発表は、その裏側でこうしたサイバー攻撃が、「軍事問題」に発展しつつあることを示唆するものかもしれません。実際に、大統領が国防省に対して、サイバー戦争研究の強化を指示したという報道も一部にあるようです。

我々、セキュリティ屋にとっては一見、追い風のようにも思えますが、一方でキナ臭い感じもします。はたして、サイバーセキュリティに関する情報が、これまでどおりに流通するのかどうか、という点も気になりますね。一方、攻める側も守る側も、より一層の「プロ化」が要求されることになり、我々それを専門とする人間にとっても、より資質を問われる時代になっていくのだろうなと思います。

さて、日本の政治家先生たちは、今はそれどころではないようですが、気がついたら穴だらけ・・・なんてことにならないようにしなくてはね。

CNNにも記事がでてます。

追記：

ホワイトハウスから発表されているレビューをちょっと読んでみました。７０ページ以上もあるので、全部細かく読む気力はないのですが、サマリーを読んだだけでも、相当広範囲に総合的に考察されていることがわかります。要するに、レポートの結語に書かれている

The history of electronic communications in the United States reflects steady, robust technological innovation punctuated by government efforts to regulate, manage, or otherwise respond to issues presented by these new media, including security concerns. The iterative nature of the statutory and policy developments over time has led to a mosaic of government laws and structures governing
various parts of the landscape for information and communications security and resiliency. Effectively addressing the fragmentary and diverse nature of the technical, economic, legal, and policy challenges will require a leadership and coordination framework that can stitch this patchwork together into an integrated whole.

という文章が端的に表現しているように、もはやサイバーセキュリティは個別のセクターの個別の努力ではなく、全体をきちんと見据えた形でトップ（ホワイトハウスが）主導で行っていくのだという明確なメッセージなのだろうと思います。特に興味深いのは、コンピュータやネットワークの技術が、今後不可欠な重要インフラであり、それらの技術が自国のあらゆる面での優位性を保っていくカギとなるのだという考え方が徹底されていることです。つまり、これらをより有効に使うことを前提で安全性をどう確保していくか、という立場からの議論です。ともすれば、「使うことへの規制」に走りがちなどこかの国との大きな違いではないかと思います。

新型インフルエンザと情報セキュリティ（２）

風見鶏 (2009年5月29日 08:29) 0 0 票 0 票

米国帰りで、１週間の出社自粛中。風邪は、かなりよくなって、もう咳もほとんどでなくなってきました。新型インフルエンザは、世界的に落ち着きつつあるものの、これから冬に向かうオーストラリアで感染が拡大中とのことで、今後の推移がちょっと心配です。

先の日記で少し所感を書いたのですが、今朝、２６日のＷＨＯ会見の議事録を読んでいて、また少し思うところがあったので書いてみます。ちなみに、ＷＨＯの定例プレスコンファレンスは今週から週１回、毎週火曜日午後５時（ジュネーブの現地時間）になってます。

ＷＨＯは引き続きパンデミック警戒フェーズを５に据え置いたままで、現状では上げる予定はないとの立場です。このフェーズの基準については機械的な適用には各国から慎重な意見が出され、ＷＨＯとしても基準の再検討を余儀なくされているようですが、メディアからは、この点についても、かなりの突っ込みがあります。フェーズの意味については、「地域的な広がりについてのものであり、病状の重さとは関係ない」と重ねて言いながら、現実にはフェーズ６適用に対しては極めて慎重な態度をとり続けるＷＨＯに対して、政治的な圧力に屈しているのではないか、とか、ゲームの途中でルールを変えるようなもので、混乱を招く、といった批判も飛び出しています。これに対してフクダ氏は、難しい問題があることは認めつつ、もっとも重要なことは、（各国が）すべきことができているかどうかであり、それは現在すべて出来ていると思うと述べ、フェーズを上げることによるパニックや過度の「禁欲主義=cynicism」をひきおこす危険をも考える必要があるとしています。フクダ氏によればフェーズの定義は、パンデミックへの対応ガイドラインとペアで作られており、最初のバージョンは数年前に策定されたが、当時は重症度なども含めた多くのパラメーターを含むものだったため、各国から複雑すぎるとの意見が多く出され、２００５年により単純化されたものを出したとのこと。しかし、もともと（致死性のきわめて高い）鳥インフルエンザのパンデミックを前提に作られたものであったため、各国がフェーズに応じて定めた対策が、実際の流行の深刻さと釣り合わないという問題も出ているため、再度の見直しは必至のようです。

しかし、ウイルスの毒性の強弱や感染力の強弱は言えても、それがどの程度の人に広がり、そのうちどの程度が重症化するかという、実際に社会自体に与えるインパクト（リスク）は、その国や地域の環境や体制、その他様々な要素がからみます。つまり、「脅威」の大きさは一般的に議論ができても、それによって生じるリスクについては、地域によってその状況（耐性、脆弱性・・・などなど）が異なるため、各地域（国）ごとに判断するしかありません。また、対応策についても一般的な推奨策（ベストプラクティス）は提示できても、それをどのように実施、実装するか（特に何に重点を置くかや、対策の取捨選択）は、個々の地域の実態に合わせて行わなければ意味がありません。ここでいう「脅威の強さ」と「リスク」の違いや「ベストプラクティス」の意味についての食い違いが、フェーズの議論に影をおとしていることは間違いなさそうです。本来ＷＨＯは、「脅威の強さ」と「対応策のひな型＝ベストプラクティス」を提示して、その先を各国に預けたかったのだと思いますが、こうした純粋に科学的な意図と各国の（政治も絡んだ）対応の間のギャップに苦しんだというのが実際のように思えます。

もうおわかりかと思いますが、これは我が国の情報セキュリティの現状とよく似ていますね。たとえば脆弱性やマルウエアの脅威レベルを標準化しようという動きはありますし、ＩＳＭＳの管理策のようなベストプラクティスも多く存在します。しかし、これを役立てるためには、結局は個々の組織が常に自己の状況を掌握しつつ、適切な対応を組み立てていく必要があります。情報セキュリティもパンデミックへの対応もリスク管理という意味では同じ大きなフレームワークで扱えるものだと思いますから、こうした対比をしてみることは意味がありそうですね。

新型インフルエンザと情報セキュリティ

風見鶏 (2009年5月27日 07:51) 0 0 票 0 票

先週、米国でCSI SXに参加しながら、現地で風邪をひき、新型インフルエンザではないかと不安になって、ホテルの部屋にこもりながら、あれこれと考えたことがあります。

リアルでの新型インフルエンザと、サイバースペースでのマルウエア流行や情報漏洩の頻発など、いずれも人がからむことで、同じような状況が生じる局面が多いように思います。たとえば、「未知の脅威」であるということへの不安感からくる恐怖は、人々の過剰反応を引き出しがちですが、これも、たとえばマルウエアの大流行などの場合に、ちょっとＰＣが不安定になっただけで疑心暗鬼になってしまい、ヘルプデスクに電話が殺到するという状況が発生するというような形でよく見られます。特に、その脅威の詳細や、正しい対処法がきちんと伝達されないと、不安感が増大され、流言飛語や誤った認識による対応などが、さらに混乱を増大させることになります。たとえば、Winnyによる情報漏えい事故が頻発していたころ、よく受けた質問に、「最近、ＰＣの調子が悪いのだけど、Winnyに感染したんじゃないかと不安」というものがあります。これも、Ｗｉｎｎｙとは何か、ということや、情報漏えい事故がどうやって起きるのかという知識の不足からくるものです。

セキュリティ上の脅威についての関心を高めるような活動を行う際、とくに差し迫った脅威の場合は、その反応を考えながら慎重に進める必要がありそうです。まさに、今回の新型インフルエンザにおいて、ＷＨＯなどが発表に非常に気を遣っていたように、脅威を強調しすぎれば過剰反応となり、逆に軽く表現すれば、過度の安心感を与えてしまって必要な対応が十分に行われないというようなことを念頭に、かなり微妙なかじ取りが必要になりそうです。

これまで、我々（情報）セキュリティ屋は、ともすれば「脅し」を武器にしてきました。それは、「脅威」への一般認識がきわめて低かったころに出来上がった形です。しかし、現在、サイバースペースの脅威は徐々に、ビジネスを真に脅かす脅威として認識されつつあり、「脅し」が効きすぎるケースが見られるようになっています。「脅し」によって過度の防御をかためたとして、それで問題を回避できればそれでいいじゃないか、という考えは安易です。過度の防御は、それ自体に時間やコストがかかるだけではなく、生産性の低下などビジネス上の問題も引き起こし、無視できないマイナス効果をもたらすからです。「脅し」の効果はだんだん減少していき、最後にはほとんどゼロになってしまいます。こうなると今度は最低限必要な対策にも金や人をもらえないハメになりかねません。本当に危ない脅威が出てきたときに、十分にそれに太刀打ちできない可能性があるのです。

今回の新型インフルエンザの騒ぎでは、貴重な経験がいくつか得られていると思います。まず、情報の不足。政府も当初はまとまった形で情報を開示できず、マスコミもＷＨＯや海外メディアの報道などの一部を切り取って報道してしまったために、全体像がわからず十分な知識が得られないままに時間が経過してしまったこと。もっとも重要なことは、一般市民がこれにどう対処すべきなのか、誰も明確なことを（相当の権威をもって）言えなかったこではないかと思います。全体像が、発表できるほど理解されていないのであれば、最低限何をすべきかをまず周知すべきだろうということです。たとえば、今回のインフルエンザの場合、まだ日本に入ってくる前の段階から、入ってくることを想定して、まだ流行している季節性インフルエンザを含めて感染防止策を国民に徹底させておく必要があっただろうと思います。一旦新型が入ってくると、季節性か新型かは医療機関でなければ判断できないため、季節性の患者を含めた大量の患者が発熱外来におしかけることも危惧されるからです。今回の新型は、毒性は季節性インフルエンザよりも大きくないことが当初からわかっていたわけなので、入ってきた場合、一般市民ができることは、季節性インフルエンザの場合とほとんどかわらないのですから、先手を打ってこれを、もっと強く周知してもよかったのではないか、ということです。マスク信仰についても、もうすこしきちんとした情報を国が出してほしかったと思います。まず、最初に行ってほしかったのは、風邪をひいている人や咳、発熱などの症状があれば、外出をできるだけひかえると同時に外出時には必ずマスクをしてください、というアナウンスです。感染していない多くの人がマスクをするよりも、はるかに効果があるはずです。マスクについての政府の態度は極めてあいまいだったと思います。これは邪推ですが、選挙前なので特需を期待する業界に気を遣ったのかもしれませんね。こうしたことを、厚労相あたりが会見の席ではっきりとマスコミに伝えて報道してもらうことが重要だったと思うのですが。どうみても、今の状況は、なんともなさそうな人がマスクをしていて、風邪をひいてそうな人がマスクなしで咳をしているという本末転倒な状態になってしまってます。今回のウイルスが強毒化して戻ってきたり、鳥インフルエンザ変異の新型が出現した際に、今回の経験が生きるのか、それとも逆にマイナスになってしまうのかは現時点では微妙な気がします。是非、政府にもマスコミにも、今回の騒ぎの総括をどこかでやってほしいものだと思います。

情報セキュリティの脅威に対する関心を高める際も、我々専門家は、一般ユーザがすべきことと、専門家レベル、つまりＳＯＣやＩＴ部門が行うべきことをきちんとわけて精査し、一般ユーザには全体像をきちんと知らせつつ、彼らが何をすべきなのか、「具体的な」メッセージを発信すべきでしょう。

こうして比べてみると、なかなか興味深いなと思います。

CSI SXなどなど・・・

風見鶏 (2009年5月20日 13:45) 0 0 票 0 票

ラスベガスに来てはや４日目。CSI SX も今日でおしまい。入れ替わりに Interop が始まりました。今年の CSI SX は、不景気の影響か、参加者が少なかった昨年暮れの CSI Annual に比べても、もう一段少ない感じで、スポンサーがシブくなったせいか、コンファレンスバッグなど例年のスポンサー提供品が大幅にカットされていました。

そんな中で、はたして来ている人達はどうなのか、というところが気になっていたのですが、この状況下で来ている人達は、みな、それなりにこの不景気と戦ってなんとかしのいでいる人達ではないかという印象です。

初日のジェネラルセッションの最初のテーマもこれ。内容は、予想通りというか、不況下で逆にリスクが大きくなっているから気をつけてね、というもの。クビになった社員や契約社員の怨恨犯罪、リスクに無頓着な形でのアウトソースやオフショアリングの拡大などをあげて、セキュリティのためのリソースの一律的なカットに警鐘をならすものでした。とくに、オフショアリングについては、地域的、文化的な違いがリスクを生むばかりでなく、時には、その国のＩＴ政策、制度などもリスク要因になりうるため、契約の内容に必要なセキュリティ上の要件を盛り込むこともちろん、その他の環境にも注意が必要だとしています。しかし、一方で、この経済状況下での考え方については、きちんとしたリスクアセスメントを行って、優先順位をつけてやるしかない・・・と教科書通りの話にとどまったのが残念です。実際、きちんとリスクアセスメントを行うためには、それなりの人的リソースつまり固定費増が必要となり、設備投資などの一時的な費用が中心のものよりもさらに難しいからです。もちろん、組織によって状況は違うので、一般論では難しいのでしょうが、もう少し踏み込んでほしかったかなと思います。

今回の大きなテーマのひとつが、クラウドコンピューティングにおけるセキュリティでしたが、グーグルが考えるクラウドセキュリティについての話もありました。

グーグルは、google appsなど、積極的にクラウドを進めていく立場なので、自分たちがいかにセキュリティをしっかり考えているかということをとにかくアピールしたかったようです。データセンタのセキュリティ、地域分散されたバックアップ体制とデータ保護、セキュリティや統制の監査体制といったことについて述べたあとで、こんなスライドも。

自前でシステムを管理すると大変だよ～ということを言いたかったのでしょう。ただ、後でも出てきますが、クラウドの利用も含めたアウトソースは結構ややこしい問題を含んでいるようです。

そして、ランチ。メインディッシュがちょっとさびしい気がしたのは私だけではなかったようです。小食の日本人にはちょうどいいですが、大食いの現地人（笑）にはちょっとものたりなかったかもしれませんね。

まぁ、道を歩いている人たちの体形を見ると、もうしばらく不景気が続いてもよさそうな気もしますが・・・・（笑）

午後は仮想化まわりやクラウド関連のセキュリティねたのセッションをいくつか聞きました。仮想化におけるセキュリティは、ゲストＯＳレベルでは、これまでと何もかわらないものの、ハイパーバイザのレベルでのセキュリティはより重要になります。このレベルでの脆弱性や、管理上の問題は、ゲストＯＳ全体に影響しますし、また、ハードウエアの障害などの影響も大きくなるため、これらについては非仮想環境よりもさらにきちんと考えていく必要がありそうです。ハイパーバイザの管理権限も一律ではなく、いくつかのグループに分けて管理するようなモデルも示されていました。

今週のラスベガスの気温は、真夏並み。最高気温は連日１００度（華氏）前後で、このためか室内の冷房はどんどん強くなって、異常に寒くなっています。これはいつものことなので、ある程度想定して長袖シャツを着ていったのですが、寒さはちょっと想定を超え、体が冷え切ってしまいました。休憩時間はちょっと外に出て体を暖めないとダメなくらい。なぜか半そでで涼しい顔をしてる連中が多い中、日本組はみんな凍えてました。

さて、夜はいつもの参加者レセプションがあり、とりあえず参加。日本からは常連さん３名（Ｓ君、Ｕ先生と私）のみしかみかけませんでした。他にもいたかもしれませんが、いつものように何人もいるという状況では、さすがにないようです。レセプションでちょっと参加者と話をしたのですが、この状況下でセキュリティの予算や人員を確保することができている人達は、何年もかけて経営層との間で太いパイプを作ってきた人たちのようです。ある人は自分は５年かけて CIO を巻き込んだんだと言ってました。５年・・・ちょっとタメイキがでましたが、やはり必要なことなのでしょうね。

レセプションの帰りがけ、Ｓ君とスタートレックを見に行こう、ということになって、近くの映画館へ。

いやぁ、面白かったです。ネタバレになるので中身は書きませんが、トレッキー必見の一作でしょう。日本に帰ったらもう一回見に行こう・・。ちなみに日本では２８日公開です。

・・・と、そんなことをしたのが災いしたのか、それとも昼間の寒さが災いしたのか、翌朝目が覚めたら、喉が痛くて熱っぽい感じが・・・。この時節柄、ちょっと焦りました。とりあえず、万一のこともあるので、この日はコンファレンスをあきらめて、部屋で様子を見ることにしました。少し寝て、多少マシにはなったものの、不安なので旅行保険のカウンターに電話して、病院を紹介してもらいました。しかし、その病院や教えてもらった日本人の担当者に何度電話してもつながらず、そうこうしているうちに体調も回復してきたので、とりあえずこの日は休んで様子を見ることにしました。ちなみに、教えてもらった病院に、最悪直接行こうかと思って電話番号をググってみたら、病院レビューのサイトが・・・。レビューを見て、あまりの悪さにちょっと不安になりました。スタッフがいいかげんだとか、何時間も待たされたとか、わけのわからん薬をいっぱい出されたとか、診療費をぼったくられたとか・・・・。日本の保険会社の契約先だからといって、必ずしも安心できるわけではなさそうですね。これはちょっと勉強になりました。ホテルに医者を紹介してもらうのがいちばんいいのかもしれません。

とりあえず今朝には、少し咳が出るものの体調はほぼ回復したので、コンファレンスに復帰。

今朝のセッションでは、クラウドを使う場合のセキュリティ上の問題点についての話がありました。たしかに、事業者はそのセキュリティの高さを自慢しますが、もし、何かインシデントが起こった場合、その調査をどこまでできるのか。たとえば、事業者のサーバに対してフォレンジック的なことまでできるのか、事業者はどこまで調査に協力してくれるのか・・・、といったことも問題となりそうです。特に、個人情報の場合、国や地域によって、法制度も異なるため、とりわけ国際的な企業や法規制が強い地域の企業などが、クロスボーダーのクラウドを使うと問題が発生する可能性があるとの指摘もありました。特に、クラウドの場合、データが物理的にどこに格納されているのかといことも問題にされる可能性があるとのこと。たとえば、ＥＵや、米国内ではマサチューセッツ州など、その地域に居住する人の個人情報に対して、その置き場所かかわらず同レベルの管理を求めるところについては、困難が伴うだろうとのことでした。また、守秘契約などで法的に保護された情報を扱う場合も、最終責任はその情報を管理している企業などが負うことになるので、クラウド側で問題が起きた場合の責任分担などは、契約でしっかりと取り決めておく必要があるだろうとの指摘もありました。このあたりはなかなか難しい問題のようです。

とりあえず、そんなこんなで CSI SX も終了し、日本常連３名で昼食を食べた後、一旦部屋に戻って休憩。またちょっと体が冷えたこともあって、咳がすこし出始めたので、無理をせず午後はちょっと昼寝しました。夕方に起きだして、ちょっと体をあたためようと大通り沿いをぶらぶらと散歩してみました。

今回の宿泊先は、このピラミッドの中。コンファレンス会場は、お隣のマンダレイ・ベイホテルです。で、とりあえずラスベガス大通り（通称、ストリップ通り）を北に歩いて、例年、BlackHat が開催されるシーザースパレスのあたりまで行ってみました。

腹が減ったので、いつも行くフラミンゴホテルの下のステーキハウスで夕食。一人なので、バーカウンターに居座って、そこでステーキ（8ozのフィレ）を食べました。時々、ほかの席から客が酒を買いに来るのですが、ちょっと観察していたらみんな太っ腹。11ドルちょいの酒をたのんで、20ドルを出し、バーテンが釣りを用意している間にカウンターに1ドル置いた、と思ったら、「釣りもやるよ」と言って立ち去る客はちょっと異常にしても、10ドル前後の支払いでみんな3ドルほど置いていく・・。日本人はチップを払いすぎだといわれるけど、ラスベガスでは別なのかな・・・と思ってついつい多めにチップを払ってしまいました。まぁ、すごく気のいい兄ちゃんだったし、めちゃくちゃこきつかわれてるみたいだったので、いいかなと。（これも作戦だったり・・・^^;）