「専門外なのに、セキュリティと向き合わざるを得なくなってきた」――開発エンジニアたちの間から、そんな声が聞かれるようになってきた。以前は専門家の領分だったセキュリティについて、勉強する必要性を感じているセキュリティ初心者も少なくない。そんななか、Tech Compass第8回(7月30日マイナビルームにて開催)では、セキュリティをテーマに設定。題して「開発エンジニアのためのセキュリティ★ナイトフィーバー!! ~セキュリティインシデントと向き合うためのTIPSを達人たちから学ぶ夕べ~」。

プレゼンターは、辻 伸弘(@ntsuji)氏(ソフトバンク・テクノロジー)、根岸 征史(@MasafumiNegishi)氏(インターネットイニシアティブ)、セキュインコ(@piyokango)氏(piyolog管理人)、新井 悠(@yarai1978)氏(トレンドマイクロ)の4名。セキュリティ業界では言わずと知れた面々による、活発な議論が展開された。

情報収集は、RSSリーダー、Twitter、Redditで

ソフトバンク・テクノロジー 辻伸弘氏

イベントは前半と後半の二部構成で、前半では「普段の情報収集の方法」について、達人たちがノウハウを明かした。先陣を切ったのは、辻氏に「まとめの神的な存在」と紹介されたセキュインコ氏。同氏は、自身のブログ「piyolog」で、日々発生するセキュリティインシデントの情報を迅速かつ正確にまとめていることで知られる。情報収集ツールはRSSリーダーとTwitter。自宅の押入れ内にPCとモニターを設置し、RSSリーダーに登録した1500件超のフィードと、フォントを極小化して情報量を多くしたTweetDeckを毎日チェックするという。

ただ、「(インコでも中身は)人間なんで、限界があります」とのこと(会場笑)。そこで、フィードをフィルタリングして色分け表示したり、登録キーワードにマッチしたら「piyo-piyo」とアラート音を鳴らしたりといった工夫により、情報を取捨選択している。それでも、取捨選択前の記事件数は日によっては1万5000件超にも及ぶらしい。これには、ほかのプレゼンターも驚いた様子。セキュインコ氏によると「スクロールのしすぎで、マウスは3ヵ月に1度の頻度で壊れる」らしい。

辻氏は、RSSリーダーやTwitterによる情報収集に加えて、EvernoteやPocketを使う。「RSSだけでは見逃したり、見たことを忘れたりする」からだという。通勤中にスマートフォンを使ってチェックし、あとで見直したいものについてはPocketに保存し、講演やブログで利用できそうなものについてはEvernoteに保存する。EvernoteもPocketも有料ユーザーだ。辻氏は、侵入テストやセキュリティ診断の仕事が長く、攻撃者目線での話ができる。実際、TwitterなどでAnonymousなどに直接コンタクトを取ることもあり、時には脅迫されたりもするそうだ。

根岸氏の情報収集は、RSSリーダーとTwitterを中心にして、気になったものをEvernoteに保存するというものだ。「1件1件を網羅的に保存するのではなく、事件のつながりや流れがわかるように、自分なりのまとめをつくるように保存する」という。根岸氏は現在、インシデント対応を行うCSIRTのチームに所属しており、世界的な攻撃の動向、脆弱性の情報を収集して、どんな影響があるかを分析し、顧客などに発信している。

新井氏は、RSSリーダーやTwitterよりは、掲示板サービスredditをよく使うという。redditには、プログラミングやウイルスなどさまざまなカテゴリがあるが、なかでも、net/sec(ネットセキュリティ)の注目記事(上位にランクされる記事)を見て、そこからキーワードをTwitterやGoogleで検索して深堀をする。「総合的に見てから個別の事象に進むトップダウンのアプローチ。みなさんはTwitterなどからボトムアップするのが得意という印象」とのこと。仕事は基本的にマルウェア解析で、プログラミングを使って、マルウェア解析を効率化したり、暗号解析を行ったりしているという。

情報をどう「正しく」判断するのか

インターネットイニシアティブ 根岸征史氏

情報収集の課題としては、情報源の「正しさ」をどう判断するかがある。セキュインコ氏は、「何がソースなのか、一次情報がどこなのかを気をつけています。たとえば、不正アクセスのニュースなら、企業がホームページで情報を出しているか、脆弱性だったら、ベンダーから脆弱性の情報が発表されているかなどをチェックします」という。ただ、それでも判断が難しい場合がある。というのは「ベンダーが脆弱性の情報を出していても、それだけでは実際に攻撃が起きているかまではわからないことがある」(根岸氏)からだ。

辻氏は、そうした場合には、自分なりに情報に差をつけて判断するという。差というのは、単に「危ない」というのではなく、実際に「攻撃コードが出回っているか」を見て判断するということだ。さらに、攻撃コードを実際に自分の環境で試してみて、日本語の環境だったら動くのか、ベンダーの情報と脆弱性報告者の情報に食い違いがある場合どの範囲まで影響を受けるのか、攻撃(テスト)ツールのMetasploitに攻撃コードがいつ組み込まれるかなどを調べるという。ちなみに、辻氏は、そうした検証結果を企業サイトで発表していることでも知られている。

新井氏も、検証コードの有無がポイントだと指摘した。脆弱性を発見した場合、たとえば、マイクロソフトなどは、検証コードを提出しないと評価しないというポリシーがあるという。逆に、脆弱性報告を受けた側だとしたら、報告者にコードを提出してもらって検証していくことが近道になる。「ただ、(企業の一般ユーザーのように)客観的にそうしたコードが手に入らない場合は、ベンダーが発表する情報に頼らざるをえない」(新井氏)ことは確かだ。そうした情報に関する格差が顕著に現れたのが、Windows XPのサポート切れ直後の騒動だ。4月中旬から、OpenSSL、IE、Apache Strutsの脆弱性が相次いで見つかり、マスメディアでは「米政府がIEを使用禁止にした(のでIEの使用を止めるべき)」といった論調での報道もあった。「テレビ報道だけを見て心配になったお客さんから相談を受けるケースがある一方で、脆弱性があるから(注意して)と開発者に伝えても、意図がきちんと伝わらないこともあった」(セキュインコ氏)という。実際、辻氏によると「IEの使用を止めようとしたが、止められないので、インターネットごと禁止にしたケースも実際にあった」という。「それで意外と仕事が捗ったと」(会場笑)。

根岸氏も、Strutsに関して情報の錯綜があったと説明。「情報も不足していて、受け手はかなり混乱していた。うちもStruts を使っていたが、Struts1もStruts2の脆弱性の影響を受けるというセキュリティベンダーからの情報に対して、当初社内の人間は懐疑的だった。しかし実際にエンジニアに自分で検証してもらって、ヤバイとわかり、すぐに対応した。Struts 1はすでにサポートが終了しているが、WAF(Web Application Firewall)を導入していたので対応できた。」(根岸氏)ことを明かした。また、根岸氏は、「正しい情報を判断するためには、個人レベルで検証まではしにくい。信頼できる専門家の意見を複数チェックし、付き合いのあるセキュリティ会社から情報をもらうくらいが現実的」とアドバイスした。情報量の差については、「情報を出す側にも、この基準以上の情報は出す、といった模範解答のテンプレが必要」という意見でまとまった。また、全体の取り組みとしても「会社にとって都合の悪いことであっても適切に情報を出し、世間がそれを評価することで、正しく情報を伝えるという、いいサイクルを回せるようにしたい」とまとめた。