パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #11/令和の時代に備えるべきセキュリティ対策とは?(第2回)

f:id:sky-pca:20191020115626p:plain

立命館大学 情報理工学部 セキュリティ・ネットワークコース 教授
京都大学博士(工学):上原 哲太郎

1995年 京都大学大学院工学研究科博士後期課程研究指導認定退学。1996年 京都大学博士(工学)。京都大学大学院工学研究科助手、和歌山大学システム工学部講師、京都大学大学院工学研究科助教授、京都大学学術情報メディアセンター准教授を経て、2011年総務省技官。通信規格と情報セキュリティ政策に従事。2013年より現職。NPO情報セキュリティ研究所理事、NPOデジタルフォレンジック研究会理事。京都府警サイバー犯罪対策テクニカルアドバイザー、和歌山県警サイバー犯罪対策アドバイザー、芦屋市CIO補佐官。

 


 

このところセキュリティの強化を理由にして、従業員への要求が多すぎる状況になっていると言われていますが、これについてはどのようにお考えですか?

セキュリティを広める際の一番のネックは、あらゆる階層の人を対象にした、してはいけないNG事項をまとめた「べからず集」の存在です。しかも、NG事項はどんどん増えていくため、追加するたびに配付しなければなりません。仕方がないとは言え、サイバーセキュリティに関わる者として、この状況を容認せざるを得ないことにジレンマを感じています。

セキュリティを担保するためのセキュリティ・バイ・デザインやセキュアコーディングは、自分の作成したプログラムの中に「べからず集」に該当する箇所がないかを確認することが重要ですが、大量のNG事項をチェックするのは気の遠くなる作業です。この問題に対する一つの成功例だと思うのが、自動車の業界団体であるMISRAが開発した、C言語のためのソフトウェア設計標準規格であるMISRA-Cです。

この規格は、サイバー攻撃により人命に関わる事態となり得る自動車の車載プログラムを攻撃からいかに守るかということに、ある種の答えを出そうとしたものです。MISRA-Cの「べからず集」にも大量のNG項目がありますが、基本的にすべて機械的にチェックできるので、プログラマーは確認用のプログラムを実行するだけで、「べからず」が自分のプログラムに含まれていないかをチェックできます。さらに、プログラムに問題発生の可能性がある記述が含まれていても、別のシステム等を用いた運用で回避できるため、警告されなかった場合には、本当に回避できるのか再度運用ルールに置き換えてチェックを行います。「別の視点」による調査で「この部分がこういう理由で警告を出す書き方になっている」と記録でき、セキュリティの担保に欠かせない「証拠を残すこと」が自動的に完了します。MISRA-Cの「別の視点」の仕組みは、自動車業界以外でもぜひ参考にして取り入れていただきたいと思います。

多くの企業・組織でもセキュリティに関するチェックリストの作成とチェックが行われ、「べからず」に該当していた場合には記録を残しているはずです。MISRA-Cのように機械的なチェックの実施は難しいと思いますが、「べからず」に該当する本来NGな運用を行っている場合には、該当しているという事実だけでなく、それを補完するためにどのようなセキュリティ対策を行っているのかまで記録として残すことが重要になります。近年発生しているセキュリティ事故の多くは、そこまでやっていないことに原因の一端があると感じています。


 

パスワードだけでは企業・組織の情報を守れないと言われてずいぶんたちましたが、認証を取り巻く現在の状況についてお聞かせください。

企業・組織においては、そろそろ「知識情報」「所持情報」「生体情報」を用いる多要素認証を必須にしてもいいのではないかと思っています。

しかし、多要素認証を普及させる一番のハードルはインテグレーションの問題で、ほぼすべてのシステムが多要素認証をサポートできるようになるには、もう少し時間がかかります。また、多要素認証が普及しなければ、I D管理を一元化できる統合認証の浸透も難しいと言えます。近年、多くの企業・組織がクラウドサービスを活用するようになったことで、ようやくさまざまなシステムの認証をマイクロソフトやGoogleのサービスを活用してまとめて対応させる方向に進んできました。マイクロソフトのAzure上で展開されている多要素認証システムAzure MFAは、この一年でずいぶん進化してきましたので、そろそろ普及段階に入っていくのではないかと考えています。

クラウドサービスの普及により、このところクラウドのIDやパスワードを狙う攻撃が多発していますが、中でもOffice 365は外見的なわかりやすさもあって集中的に狙われているように感じています。攻撃者は、Office 365のWebサイトにリスト型攻撃やフィッシング攻撃を仕掛けることでIDやパスワードを奪いますが、基本的にクラウドサービスは一部を除いて均一な構造になっているので、IDを盗めばOffice 365以外のサービスに対しても何ができるかよくわかっています。そのIDが社内ネットワークの認証とつながっていれば社内システムに入り放題、やりたい放題できるため、非常に狙われやすくなっています。さまざまなシステムの認証をクラウドサービスに束ねているのであれば、できるだけ早く多要素認証に移行した方がいいでしょう。

Googleは、自社がフィッシング被害に遭ったことをきっかけに全社員に多要素認証を強制したところ、急激に被害が減少したと公表しています。多要素認証がスタンダードになれば、本人以外が認証しようとしたことがわかりやすくなり、攻撃の前兆の把握にも活用できるようになると思います。


 

第12回/令和の時代に備えるべきセキュリティ対策とは?(第3回)