国際標準化団体議長が明かす、最新セキュリティ議論 - KDDI 中尾氏

マイナビニュースITサミット Webセキュリティ『2012年度版最新脅威対策講座』が7月5日(木)、東京都内で開催された。

最初のセッションでは、KDDIの情報セキュリティフェローで独立行政法人情報通信研究機構(NICT)の主管研究員を務める中尾康二氏が、「最新脅威傾向とセキュリティに関する国際標準化動向」と題して講演。グローバルな広がりみせるサイバー攻撃の脅威の最新動向と、情報セキュリティの国際標準化に向けた取り組みについて紹介した。

広域化・組織化する新たなサイバー攻撃の脅威

スマートフォンやタブレット端末の普及が加速し、一般消費者がインターネットを当たり前のように利用するようになった今日、インターネットに接続されたネットワークやコンピュータを狙ったサイバー攻撃への対策はますます重要な課題になろうとしている。

中尾氏は、最近のサイバー攻撃の脅威について、「従来までは、悪意を持つハッカーがマルウェアなどを用いて、単独に悪事を働くというのが普通だったが、最近では、いろいろな攻撃手法を組み合わせて、しかも広域的かつ組織的に攻撃が行われるようになっている」と警鐘を鳴らす。

最近の脅威のトピックとして、中尾氏が最初に取り上げたのが標的型攻撃である。この種の攻撃は、攻撃手法を特定することが難しく、マルウェアに感染させて乗っ取ったコンピュータのネットワークであるボットネットなどを駆使して、広域的かつ組織的に行われることが多い。そのため、従来のファイアウォールや侵入検知システム、アンチウイルスソフトだけでは対策が難しいと中尾氏は指摘する。

もう1つのトピックは、重要インフラを狙った攻撃である。これは、SCADA(Supervisory Control And Data Acquisition)などの産業制御システムの脆弱性につけ込んでインフラ・システムを攻撃するというもので、社会全体に重大な損害を与える危険性をはらんでいる。

こうしたインフラは、インターネットから独立していると見られがちだが、実際にはそうではなく、制御システムを介して水道施設や発電施設などの重要インフラが攻撃を受けたケースも出てきている。また、まだ攻撃にはさらされていないものの、重要インフラの機密情報を含むさまざまな情報が、すでにインターネット上に流失していることが判明しているという(以下、水道施設が狙われた事例)。

そして、中尾氏が挙げた最近の脅威のもう1つのトピックは、モバイル環境への攻撃だ。モバイル環境では、セキュリティ基盤が脆弱であったり、公開されるアプリケーションの安全性が十分でなかったりと、潜在的なリスクにさらされているケースが多く、その対策が急務となっている。

上記のような最新の脅威に対向するためのシステムとして、内部感染端末/システムをダークネットを用いて検知する「ダイダロス(DAEDALUS)」も紹介された。検知エンジンに加えて、以下の可視化によるデモンストレーションもあり、興味深い。

国際標準化の最新の取り組み

広域化・組織化するサイバー攻撃の脅威に効果的に立ち向かうためには、情報セキュリティ対策の国際標準化を行い、規範となる技術仕様を策定し、国際的な連携を実施する取組がきわめて重要となる。

情報セキュリティの国際標準化を担う機関としては、ISO(国際標準化機構)とIEC(国際電気標準会議)の合同委員会であるISO/IEC JTC1で情報セキュリティ分野を担当するSC(SubCommittee)27や、ITU(国際電気通信連合)の電気通信標準化部門であるITU-TのSG(Study Group)17を挙げることができる。

中尾氏は、ISO/IEC JTC1 SC27でセキュリティ・コントロールとサービスの標準化に取り組むWG(Working Group)4と、ITU-T SG17でネットワーク/情報セキュリティの標準化に取り組むWP(Working Party)1の議長を務めるなど、国際標準化の最前線で活動しており、セミナーではそうした標準化団体で今まさに議論されている最新トピックスが紹介された。

プライバシー情報管理

情報セキュリティの国際標準化の最新の取り組みとして中尾氏がまず挙げたのが、PIMS(Personal Information Management System)というプライバシー情報の管理にかかわる標準化である。

これは、韓国の関係者が規格化を提案したもので、現在、ITU-T SG17で通信事業者向けのガイドラインの策定、ISO/IEC JTC1 SC27で一般企業利用を想定した管理システムの策定に向けた検討が進められている。

プライバシー情報の管理に関しては、インターネット・ビジネスの普及に伴って、多種多様な個人情報が国境を越えてグローバルにやり取りされているにもかかわらず、それを保護するための法規制は国によって異なっており、システム的で効率的かつ一貫性のある個人情報の管理の確立が求められている。

中尾氏は、「クラウド・サービスの利用が進む中で、個人を特定できる情報は、自分自身のデスクトップ・コンピュータ上ではなく、クラウド上に、場合によっては国をまたがって蓄積されるケースが一般化しようとしている。こうした環境下で個人情報を保護するためにはグローバルなルールづくりが不可欠となる」と、国際標準化の必要性を強調している。

クラウド・セキュリティ

もちろん、クラウド環境でのセキュリティを確保するための国際標準化も緊急の課題となっている。クラウド環境においては、利用者からクラウド・プロバイダーのセキュリティ対策の状況は見えにくい。そのため、アカウント/ID管理や仮想化技術、ストレージ管理などにかかわるセキュリティが適切に確保されているのか、事業継続性の維持や障害復旧などの対策が十分に施されているのか、といったことをきちんと検証できる監査技術や管理(マネジメント)システムの確立が求められている。

中尾氏によると、ITU-Tでは、SG17がクラウド・セキュリティに関する具体的な標準化の審議・検討に入っており、クラウド・コンピューティング全般の標準化に取り組むSG13 WP3と緊密な連携を取りながら、活動を進めることになっている。

一方、ISO/IEC JTC1のSC27では、WG1において、ISMSの27002をベースに、クラウド用の管理策となるISO/IEC27017を策定する作業(現在、作業文書第3版)が進められており、また、WG5においては、クラウド用のデータ保護管理策となるISO/IEC27018を策定する作業(現在、作業文書第1版)が進められている。さらに、WG4では、クラウドをサプライチェーンの視点からとらえ、そこで必要なサービスのためのセキュリティガイドライン(ISO/IEC27036-5)の検討が開始されている。標準化体制は以下の図の通り。

スマートフォン・セキュリティ

スマートフォン、とりわけAndroidにおいては、開発者が対応アプリケーションをAndroid Market上で無審査で自由に提供できるため、セキュリティ上の問題を抱えたまま公開されるアプリケーションも少なくない。

中尾氏によると、マルウェアに感染したアプリケーションがそのままばらまかれてしまう事件だけでなく、IDや位置情報を外部に送信してしまったり、端末を無線LANルータ化してしまったりするアプリケーションが販売されてしまったりするケースも出ているという。

一般消費者が広くコミュニケーションに利用するスマートフォンの場合、悪意のあるアプリケーションが誤ってインストールされてしまうと、その被害は甚大なものになる。そこで、スマートフォンのセキュリティにかかわる国際標準化をITU-TのSG17がすでに検討を開始しており、現段階の注目の規格案としては2つ挙げられるという。

1つは、通信デバイスを意識したセキュア・アプリケーション配信用のフレームワークを提供する勧告X.msec-8と呼ばれる規格案であり、セキュアなアプリケーションの構築やアプリケーションの配布にかかわるライフサイクルの管理のためのセキュリティ要求事項を含んでいる。この勧告案は日本が2012年3月に提案したものだ。

もう1つは、スマートフォンのセキュリティを分析し、その対策を提案する勧告X.msec-6と呼ばれる規格案で、モバイル・オペレーターやソフトウェア構築者などを対象に、ハードウェア・セキュリティ、通信セキュリティ、システム運用セキュリティ、アプリケーション・セキュリティ、プライバシーにかかわるセキュリティ技術を提言している。スマートフォン・ユーザーへの活用も考慮されることになっている。

*　　*　　*

スペースの都合上、本稿では取り上げられなかったが、中尾氏の講演ではこのほかにも、サイバー・セキュリティ、IPv6セキュリティ、Smart Gridセキュリティに関する国際標準化動向などが披露された。今まさに対策や問題点が議論されている、どこよりも新しいセキュリティトピックスの紹介に、参加者は真剣な面持ちで耳を傾けていた。