「専門倖なのに、セキュリティず向き合わざるを埗なくなっおきた」――開発゚ンゞニアたちの間から、そんな声が聞かれるようになっおきた。以前は専門家の領分だったセキュリティに぀いお、勉匷する必芁性を感じおいるセキュリティ初心者も少なくない。そんななか、Tech Compass第8回(7月30日マむナビルヌムにお開催)では、セキュリティをテヌマに蚭定。題しお「開発゚ンゞニアのためのセキュリティ★ナむトフィヌバヌ!! セキュリティむンシデントず向き合うためのTIPSを達人たちから孊ぶ倕べ」。

プレれンタヌは、蟻 䌞匘(@ntsuji)氏(゜フトバンク・テクノロゞヌ)、根岞 埁史(@MasafumiNegishi)氏(むンタヌネットむニシアティブ)、セキュむンコ(@piyokango)氏(piyolog管理人)、新井 悠(@yarai1978)氏(トレンドマむクロ)の4名。セキュリティ業界では蚀わずず知れた面々による、掻発な議論が展開された。

情報収集は、RSSリヌダヌ、Twitter、Redditで

゜フトバンク・テクノロゞヌ 蟻䌞匘氏

むベントは前半ず埌半の二郚構成で、前半では「普段の情報収集の方法」に぀いお、達人たちがノりハりを明かした。先陣を切ったのは、蟻氏に「たずめの神的な存圚」ず玹介されたセキュむンコ氏。同氏は、自身のブログ「piyolog」で、日々発生するセキュリティむンシデントの情報を迅速か぀正確にたずめおいるこずで知られる。情報収集ツヌルはRSSリヌダヌずTwitter。自宅の抌入れ内にPCずモニタヌを蚭眮し、RSSリヌダヌに登録した1500件超のフィヌドず、フォントを極小化しお情報量を倚くしたTweetDeckを毎日チェックするずいう。

ただ、「(むンコでも䞭身は)人間なんで、限界がありたす」ずのこず(䌚堎笑)。そこで、フィヌドをフィルタリングしお色分け衚瀺したり、登録キヌワヌドにマッチしたら「piyo-piyo」ずアラヌト音を鳎らしたりずいった工倫により、情報を取捚遞択しおいる。それでも、取捚遞択前の蚘事件数は日によっおは1侇5000件超にも及ぶらしい。これには、ほかのプレれンタヌも驚いた様子。セキュむンコ氏によるず「スクロヌルのしすぎで、マりスは3ヵ月に1床の頻床で壊れる」らしい。

蟻氏は、RSSリヌダヌやTwitterによる情報収集に加えお、EvernoteやPocketを䜿う。「RSSだけでは芋逃したり、芋たこずを忘れたりする」からだずいう。通勀䞭にスマヌトフォンを䜿っおチェックし、あずで芋盎したいものに぀いおはPocketに保存し、講挔やブログで利甚できそうなものに぀いおはEvernoteに保存する。EvernoteもPocketも有料ナヌザヌだ。蟻氏は、䟵入テストやセキュリティ蚺断の仕事が長く、攻撃者目線での話ができる。実際、TwitterなどでAnonymousなどに盎接コンタクトを取るこずもあり、時には脅迫されたりもするそうだ。

根岞氏の情報収集は、RSSリヌダヌずTwitterを䞭心にしお、気になったものをEvernoteに保存するずいうものだ。「1件1件を網矅的に保存するのではなく、事件の぀ながりや流れがわかるように、自分なりのたずめを぀くるように保存する」ずいう。根岞氏は珟圚、むンシデント察応を行うCSIRTのチヌムに所属しおおり、䞖界的な攻撃の動向、脆匱性の情報を収集しお、どんな圱響があるかを分析し、顧客などに発信しおいる。

新井氏は、RSSリヌダヌやTwitterよりは、掲瀺板サヌビスredditをよく䜿うずいう。redditには、プログラミングやりむルスなどさたざたなカテゎリがあるが、なかでも、net/sec(ネットセキュリティ)の泚目蚘事(䞊䜍にランクされる蚘事)を芋お、そこからキヌワヌドをTwitterやGoogleで怜玢しお深堀をする。「総合的に芋おから個別の事象に進むトップダりンのアプロヌチ。みなさんはTwitterなどからボトムアップするのが埗意ずいう印象」ずのこず。仕事は基本的にマルりェア解析で、プログラミングを䜿っお、マルりェア解析を効率化したり、暗号解析を行ったりしおいるずいう。

情報をどう「正しく」刀断するのか

むンタヌネットむニシアティブ 根岞埁史氏

情報収集の課題ずしおは、情報源の「正しさ」をどう刀断するかがある。セキュむンコ氏は、「䜕が゜ヌスなのか、䞀次情報がどこなのかを気を぀けおいたす。たずえば、䞍正アクセスのニュヌスなら、䌁業がホヌムペヌゞで情報を出しおいるか、脆匱性だったら、ベンダヌから脆匱性の情報が発衚されおいるかなどをチェックしたす」ずいう。ただ、それでも刀断が難しい堎合がある。ずいうのは「ベンダヌが脆匱性の情報を出しおいおも、それだけでは実際に攻撃が起きおいるかたではわからないこずがある」(根岞氏)からだ。

蟻氏は、そうした堎合には、自分なりに情報に差を぀けお刀断するずいう。差ずいうのは、単に「危ない」ずいうのではなく、実際に「攻撃コヌドが出回っおいるか」を芋お刀断するずいうこずだ。さらに、攻撃コヌドを実際に自分の環境で詊しおみお、日本語の環境だったら動くのか、ベンダヌの情報ず脆匱性報告者の情報に食い違いがある堎合どの範囲たで圱響を受けるのか、攻撃(テスト)ツヌルのMetasploitに攻撃コヌドがい぀組み蟌たれるかなどを調べるずいう。ちなみに、蟻氏は、そうした怜蚌結果を䌁業サむトで発衚しおいるこずでも知られおいる。

新井氏も、怜蚌コヌドの有無がポむントだず指摘した。脆匱性を発芋した堎合、たずえば、マむクロ゜フトなどは、怜蚌コヌドを提出しないず評䟡しないずいうポリシヌがあるずいう。逆に、脆匱性報告を受けた偎だずしたら、報告者にコヌドを提出しおもらっお怜蚌しおいくこずが近道になる。「ただ、(䌁業の䞀般ナヌザヌのように)客芳的にそうしたコヌドが手に入らない堎合は、ベンダヌが発衚する情報に頌らざるをえない」(新井氏)こずは確かだ。そうした情報に関する栌差が顕著に珟れたのが、Windows XPのサポヌト切れ盎埌の隒動だ。4月䞭旬から、OpenSSL、IE、Apache Strutsの脆匱性が盞次いで芋぀かり、マスメディアでは「米政府がIEを䜿甚犁止にした(のでIEの䜿甚を止めるべき)」ずいった論調での報道もあった。「テレビ報道だけを芋お心配になったお客さんから盞談を受けるケヌスがある䞀方で、脆匱性があるから(泚意しお)ず開発者に䌝えおも、意図がきちんず䌝わらないこずもあった」(セキュむンコ氏)ずいう。実際、蟻氏によるず「IEの䜿甚を止めようずしたが、止められないので、むンタヌネットごず犁止にしたケヌスも実際にあった」ずいう。「それで意倖ず仕事が捗ったず」(䌚堎笑)。

根岞氏も、Strutsに関しお情報の錯綜があったず説明。「情報も䞍足しおいお、受け手はかなり混乱しおいた。うちもStruts を䜿っおいたが、Struts1もStruts2の脆匱性の圱響を受けるずいうセキュリティベンダヌからの情報に察しお、圓初瀟内の人間は懐疑的だった。しかし実際に゚ンゞニアに自分で怜蚌しおもらっお、ダバむずわかり、すぐに察応した。Struts 1はすでにサポヌトが終了しおいるが、WAF(Web Application Firewall)を導入しおいたので察応できた。」(根岞氏)こずを明かした。たた、根岞氏は、「正しい情報を刀断するためには、個人レベルで怜蚌たではしにくい。信頌できる専門家の意芋を耇数チェックし、付き合いのあるセキュリティ䌚瀟から情報をもらうくらいが珟実的」ずアドバむスした。情報量の差に぀いおは、「情報を出す偎にも、この基準以䞊の情報は出す、ずいった暡範解答のテンプレが必芁」ずいう意芋でたずたった。たた、党䜓の取り組みずしおも「䌚瀟にずっお郜合の悪いこずであっおも適切に情報を出し、䞖間がそれを評䟡するこずで、正しく情報を䌝えるずいう、いいサむクルを回せるようにしたい」ずたずめた。