【レポート】ソフト/Webの脆弱性対策のため、何が必要なのか
 |
| 産業技術総合研究所グリッド研究センター セキュアプログラミングチーム長 高木浩光博士 |
情報処理振興事業協会(IPA)が主催する情報セキュリティ対策に関するイベント「IPA Winter」が開催された。ここでは、産業技術総合研究所グリッド研究センター セキュアプログラミングチーム長 高木浩光博士の「ソフトウェアのセキュリティ欠陥は誰が直すのか」と題した基調講演の内容をお届けする。
昨今、セキュリティ問題が大きな影響を持つようになってきたこともあり、技術によってある程度の脆弱性は排除できるようになってきた。しかし、その対策は完全ではない、もしくは現実的ではない。同様に、「ウイルス対策ソフト・ファイアウォール・侵入検知システム・高度な暗号化システムを導入しておけば対策は万全、というのは誤った認識にもとづく愚かな考え」(高木氏)だという。
|
|
||||
| 技術だけでは欠陥を防止できないし、無視することもできない | |||||
 |
| 脆弱性はなぜ生まれるのか |
そもそも、ソフトウェアやWebアプリケーションの欠陥(脆弱性)とは、なぜ生まれるのか。その原因は様々あるが、高木氏はそれを2種類に分類する。(1)品質管理上の問題に帰着されるもの(2)不知が原因によるもの--のふたつだ。
(1)は、うっかりミスや一部のスキルの低い技術者によって発生する、などの場合だが、(2)は、脆弱性自体を開発者側が知らなかった場合に発生する。脆弱性の原因は日々新しいものが発見されており、それを知らなければ、たとえ熟練の技術者であっても欠陥を生み出してしまう。それは、発見された脆弱性を広める仕組みが確立していないというところに問題があるのではないか、という。
|
|
 |
| CERT AdvisoryやIPAなどには情報があるにはある |
脆弱性のパターンが集積されていれば、少数の専門スタッフを設置し、脆弱性情報をチェックすることで、すぐに脆弱性に対応できるようになる。米国にはCERT/CCと呼ばれるインシデント機関が存在し、脆弱性情報を集めているが、製品ごとの脆弱性を記述するだけで、同じ原因による脆弱性ごとの分類はない。こうした仕組みの必要性を氏は訴える。
特に心配なのがWebアプリケーションだ。そもそもWebは「もろくて弱いもの」(高木氏)。HTTPのような汎用性の高いWebの仕組み自体が問題視される場合もあるが、氏は、汎用性が高かったからこそ普及したのであって、HTTPを問題にして逃げられるような問題ではない、と強調する。
 |
| 不正アクセス禁止法では、識別符号はこのように定義される |
ちなみに、問題のある事例として高木氏が挙げたのが、ユーザー番号とユーザーの登録電話番号を認証に利用して個人情報にアクセスさせるシステムだ。ユーザー番号と電話番号は、普通「他人に教えてはいけないもの」とは考えられないため、規約などで定められていない限り、不正アクセス禁止法が定める「識別符号」には当てはまらない、とされる。こうしたシステムの設計では、せっかくの不正アクセス禁止法の効果が及ばず「不適切だ」(高木氏)とする。
こうした問題を解消するため、高木氏は開発に関する権威付けのされたガイドラインや標準の必要性を訴える。
 |
| 報告と対応についての標準が必要だが、まだ世界的にも未整備。ベンダーからユーザーへの告知方法と発見者による公表方法についてのガイドラインを整備すべき |
同様のことは、脆弱性を発見した場合にも当てはまる。高木氏は「CyberSupport」など多くの脆弱性情報をベンダーに報告、広く世間に公開してきた。しかし、ベンダーへの報告や公表には標準のようなものは存在せず、発見者が独自に行うしかない。報告されたベンダー側の対応方法も決まってはいない。権威付けのされたガイドラインがあれば、報告者もベンダーもそれに従って行動できる、ということで、こちらもガイドラインが必要だろう、とする。
 |
| エンドユーザーへの教育カリキュラムは必要だが、どこが作成するか、という問題もある |
エンドユーザーについても高木氏は触れる。ユーザーがWebを安全に利用するための基本はあまり知られていない。例えばWebサイトにアクセスすると、Webブラウザのアドレスバー欄が表示されないのは危険、などといったものだ。その他、ブラウザのセキュリティ設定を変更させる、自己発行のルート証明書をインストールさせる、といった行為が安全ではない、とユーザーが意識できるかどうか。それには、ユーザーの意識を向上させる教育カリキュラムに力を入れなければならない。「小学校で教えるべきではないか、と思う」(高木氏)。
最後に氏は、講演タイトル「ソフトウェアのセキュリティ欠陥は誰が直すのか」に触れ、欠陥を直すのは開発者ではなく「皆さんです」と言って講演を締めくくった。
(小山安博)
2002年、セキュリティ関連1番のニュースは? NRAが10大ニュースを発表
VAIO添付ソフトにセキュリティ上の脆弱性が発見、ソニーはパッチの提供を開始
情報処理振興事業協会
http://www.ipa.go.jp/
新着記事
| 小規模ゲームスタジオが1日で100万ドル獲得 - クラウドソース型調達で [12:37 2/10] |
| あぁ俺の オタク川柳 予選落ち - 第7回「オタク川柳」投票受付を開始 [11:00 2/10] |
| Googleバーまたまた刷新、ロゴからのドロップダウンメニュー廃止 [10:50 2/10] |
| 地震への関心、再び高まる - 1月のTwitter利用動向 [10:21 2/10] |
| サイバーエージェントがアールフォース・エンターテインメントを子会社化 [09:56 2/10] |
特設サイトの情報
人気記事
一覧イチオシ記事
新着記事
|
かまいたちら若手6組が激突! 『NHK上方漫才コンテスト』本選出場者が決定 [13:30 2/11] エンタメ |
|
[ミス日本「海の日」]初仕事で「ジャパンインターナショナルボートショー」をPR 編集部に来訪 [13:00 2/11] エンタメ |
|
[北島三郎]「目立たなきゃだめ」と話題の“オオカミバンド”を激励 [12:30 2/11] ホビー |
|
目的は一体!? 肥前夢街道に現るバッジ売りの少猫(佐賀県) [12:08 2/11] キャリア |
|
つらい花粉症は対策グッズで乗り切ろう! [12:07 2/11] キャリア |
特別企画
マイナビニュースマガジン
-
- 進路情報
- 高校生のための進学情報【マイナビ進学】
- 求人情報
- 学生の就活【マイナビ2013】
- 留学経験者の就活【マイナビ国際派就職】
- 看護学生の就活【マイナビ看護学生】
- 転職【マイナビ転職】
- 転職エージェント【マイナビ転職エージェント】
- 派遣求人【マイナビ派遣】
- アルバイト【マイナビバイト】
- パート【マイナビパート】
- 中国で働きたい方【マイナビチャイナジョブ】
- 法人向け
- 新卒採用支援【採用サポネット】
- 研修サービス
