特定の企業や組織を狙った「標的型攻撃」への対策を見つけるためのポイントをわかりやすく解説する、注目のセミナーがまもなく開催される(2013年8月29日「攻撃手法・検討項目・対策製品までを徹底解説!! 標的型攻撃対策セミナー」)。ここでは、このセミナーで登壇予定のNTTデータ先端技術 セキュリティ事業部 辻伸弘氏に、その講演の内容について聞いてみた。
変化の速いITの世界でも、とりわけ脅威や技術の変遷が目まぐるしいのが情報セキュリティだ。では、今まさに注目すべきセキュリティ上のテーマとはどのようなものなのか。世界中のサイバー攻撃者の"裏事情"にも精通していることで知られる辻氏に、最新かつ現実的なセキュリティトピックスについて解説をお願いした。
パスワードの定期変更という"常識"は現実的ではない!?
辻氏が挙げる情報セキュリティの"旬な"トピックとは次の5つだ。
1. 「パスワード」
2. P2P技術を用いた高度匿名化ツール「tor(トーア)」
3. 「標的型攻撃」
4. 政治的・社会的な主張を目的としてサイバー攻撃を行う「ハクティビスト」
5. 「セキュリティは誰のためにあるのか?」
NTTデータ先端技術 セキュリティ事業部 辻伸弘氏 |
このうち、セキュリティの"基本中の基本"であるパスワードについて、辻氏は「最近では企業やWebサービスからIDやパスワードを盗み出し、ほかの企業のシステムやサービスに侵入する『リスト型攻撃』による被害があとを絶たない。パスワードの管理をどうすればいいのかというのは、実は古くて新しいテーマなのだ」と訴える。
パスワードの管理というと、一般的には定期的にパスワードを変更することで、攻撃者がシステムに不正ログインできないようにすることが推奨されている。しかし辻氏は、こうしたセキュリティの"常識"について疑問を投げかける。
「定期的なパスワード変更のルールはあまり必要ないと考えている。なぜならば、労力の割には効果が低すぎるからだ」
パスワードの定期変更の意義は大きく分けて2つある。それは、認証を突破される可能性の低減と、もし突破された場合に被害の拡大を抑えることだ。
このうち突破される可能性の低減について辻氏は、「パスワードをいくら変更したところで、そのパスワードが簡単(=脆弱)なものであれば、容易に破られてしまう。そんなことを頑張るぐらいだったら、パスワードの桁数や文字数を増やすようサービス提供者側で促すほうがずっと効果的だろう」と話す。
また、被害拡大の防止では、まず短期的な効果については薄いと見られる。それは、さまざまなシステムで30日から90日ごとのパスワード変更を義務付けているが、もし認証が突破されたとすれば、変更時期が来るよりもずっと以前に預金が移動されているはずだからだ。それに、オンラインバンキングでは、初めて送金するところには乱数表やワンタイムトークンが通常必要であるため、意外とパスワード自体の価値が低いというのもある。
一方、長期的に見た場合は、少しは効果があるようだ。それは、もし侵入された場合に、長期間に渡って攻撃者がシステムに侵入し続け、機密情報などを盗み出すのを、パスワード変更によって締め出すことができるからである。
「とはいえ、パスワードの変更を次々と求めて、さらに複雑なパスワードを要求すれば、ほとんどのユーザーは一度覚えたパスワードを使い回してしまうようになる。使う側もパスワードを覚えなければどうにもならないない以上、それは当たり前のことといえる」
パスワード管理ソフトを利用し、利便性を損ねずにセキュリティの穴をふさぐ
パスワードに関するこうした問題の解決策として辻氏が推奨するのが、パスワード管理ソフトの活用だ。パスワード管理ソフトは、さまざまなサービスのパスワードを一元的に管理する。ユーザーは個々のパスワードを覚えていなくても、マスターパスワードなどの入力によって各サービスを利用することができるのである。どんなに複雑なパスワードを設定しても記憶する必要がないため、前述のユーザーの記憶とパスワードの使い回しにまつわる課題を克服できるのだ。
辻氏は、「"一番弱いところ"がそのシステムのセキュリティレベルになるといわれるように、ユーザーがセキュリティの穴を作ってしまえば、システムやサービス全体のセキュリティレベルが低下してしまうことになる。なのでユーザー側も、『自分もまたセキュリティの一翼を担っているのだ』という認識を持たなければ、セキュリティ侵害事故はなくならないだろう。これは標的型攻撃を防止するという以前の問題なのだ」と警鐘を鳴らす。
では、正しいパスワードの管理方法とパスワード管理ソフトの有効な使い方、そしてソフトの種類や機能にはどのようなものがあり、選ぶ際にはどこに注目すればいいのか──そうした疑問については、8月29日に開催される「攻撃手法・検討項目・対策製品までを徹底解説!! 標的型攻撃対策セミナー」での辻氏の特別講演「対策を本気で検討する方のためのセキュリティトピックス5選~今そこにある危機・そこにない危機~」で回答が得られる予定だ。
さらにこの講演では、先に挙げた今注目すべきセキュリティトピックスの残り4つについても解説が行われるのである。常に相手の裏をかこうと知恵を巡らすサイバー攻撃者の前では、残念ながら"教科書通り"の対策では通用しない。攻撃者側の思考にも精通した辻氏ならではの"本音のセキュリティ対策"には、きっと学ぶところが多いはずだ。