【レポート】ソフト/Webの脆弱性対策のため、何が必要なのか
2003/01/24
 |
| 産業技術総合研究所グリッド研究センター セキュアプログラミングチーム長 高木浩光博士 |
情報処理振興事業協会(IPA)が主催する情報セキュリティ対策に関するイベント「IPA Winter」が開催された。ここでは、産業技術総合研究所グリッド研究センター セキュアプログラミングチーム長 高木浩光博士の「ソフトウェアのセキュリティ欠陥は誰が直すのか」と題した基調講演の内容をお届けする。
昨今、セキュリティ問題が大きな影響を持つようになってきたこともあり、技術によってある程度の脆弱性は排除できるようになってきた。しかし、その対策は完全ではない、もしくは現実的ではない。同様に、「ウイルス対策ソフト・ファイアウォール・侵入検知システム・高度な暗号化システムを導入しておけば対策は万全、というのは誤った認識にもとづく愚かな考え」(高木氏)だという。
|
|
||||
| 技術だけでは欠陥を防止できないし、無視することもできない | |||||
 |
| 脆弱性はなぜ生まれるのか |
そもそも、ソフトウェアやWebアプリケーションの欠陥(脆弱性)とは、なぜ生まれるのか。その原因は様々あるが、高木氏はそれを2種類に分類する。(1)品質管理上の問題に帰着されるもの(2)不知が原因によるもの--のふたつだ。
(1)は、うっかりミスや一部のスキルの低い技術者によって発生する、などの場合だが、(2)は、脆弱性自体を開発者側が知らなかった場合に発生する。脆弱性の原因は日々新しいものが発見されており、それを知らなければ、たとえ熟練の技術者であっても欠陥を生み出してしまう。それは、発見された脆弱性を広める仕組みが確立していないというところに問題があるのではないか、という。
|
|
 |
| CERT AdvisoryやIPAなどには情報があるにはある |
脆弱性のパターンが集積されていれば、少数の専門スタッフを設置し、脆弱性情報をチェックすることで、すぐに脆弱性に対応できるようになる。米国にはCERT/CCと呼ばれるインシデント機関が存在し、脆弱性情報を集めているが、製品ごとの脆弱性を記述するだけで、同じ原因による脆弱性ごとの分類はない。こうした仕組みの必要性を氏は訴える。
特に心配なのがWebアプリケーションだ。そもそもWebは「もろくて弱いもの」(高木氏)。HTTPのような汎用性の高いWebの仕組み自体が問題視される場合もあるが、氏は、汎用性が高かったからこそ普及したのであって、HTTPを問題にして逃げられるような問題ではない、と強調する。
 |
| 不正アクセス禁止法では、識別符号はこのように定義される |
ちなみに、問題のある事例として高木氏が挙げたのが、ユーザー番号とユーザーの登録電話番号を認証に利用して個人情報にアクセスさせるシステムだ。ユーザー番号と電話番号は、普通「他人に教えてはいけないもの」とは考えられないため、規約などで定められていない限り、不正アクセス禁止法が定める「識別符号」には当てはまらない、とされる。こうしたシステムの設計では、せっかくの不正アクセス禁止法の効果が及ばず「不適切だ」(高木氏)とする。
こうした問題を解消するため、高木氏は開発に関する権威付けのされたガイドラインや標準の必要性を訴える。
 |
| 報告と対応についての標準が必要だが、まだ世界的にも未整備。ベンダーからユーザーへの告知方法と発見者による公表方法についてのガイドラインを整備すべき |
同様のことは、脆弱性を発見した場合にも当てはまる。高木氏は「CyberSupport」など多くの脆弱性情報をベンダーに報告、広く世間に公開してきた。しかし、ベンダーへの報告や公表には標準のようなものは存在せず、発見者が独自に行うしかない。報告されたベンダー側の対応方法も決まってはいない。権威付けのされたガイドラインがあれば、報告者もベンダーもそれに従って行動できる、ということで、こちらもガイドラインが必要だろう、とする。
 |
| エンドユーザーへの教育カリキュラムは必要だが、どこが作成するか、という問題もある |
エンドユーザーについても高木氏は触れる。ユーザーがWebを安全に利用するための基本はあまり知られていない。例えばWebサイトにアクセスすると、Webブラウザのアドレスバー欄が表示されないのは危険、などといったものだ。その他、ブラウザのセキュリティ設定を変更させる、自己発行のルート証明書をインストールさせる、といった行為が安全ではない、とユーザーが意識できるかどうか。それには、ユーザーの意識を向上させる教育カリキュラムに力を入れなければならない。「小学校で教えるべきではないか、と思う」(高木氏)。
最後に氏は、講演タイトル「ソフトウェアのセキュリティ欠陥は誰が直すのか」に触れ、欠陥を直すのは開発者ではなく「皆さんです」と言って講演を締めくくった。
(小山安博)
2002年、セキュリティ関連1番のニュースは? NRAが10大ニュースを発表
VAIO添付ソフトにセキュリティ上の脆弱性が発見、ソニーはパッチの提供を開始
情報処理振興事業協会
http://www.ipa.go.jp/
ヘッドライン
- Google「Buzz」発表 - 不要な情報が入り込まないソーシャルサービス[10:27 2/10]Webサービス
- Googleマップに東京地下鉄の時刻表チェック機能[07:00 2/10]Webサービス
- 【コラム】シリコンバレー101 第353回 iPadとChrome OSが直面する"ネットブックにもWindows"の壁[07:00 2/10]ネットの今
- ソーシャルアプリ開発支援フォーラム発足 - アドウェイズ・ngi groupら[18:03 2/9]Webサービス
- アニメ無断上映のネットカフェ店長を逮捕 - 千葉県警[16:04 2/9]ネットの今
- シールプリント機がSNS「mixi」と連動 - バンダイナムコゲームス[15:26 2/9]Webサービス
- Google、Gmailにソーシャル機能追加か[13:29 2/9]Webサービス
- 中国政府がハッカー養成サイトを閉鎖、メンバー3名を逮捕[07:00 2/9]ネットの今
- Google、中国の酷似サイト「Goojje」に警告[07:00 2/9]ネットの今
- VISAを騙るスパムが発生中 - フィッシング対策協議会が緊急告知[20:29 2/8]ネットの今
