特定の䌁業や組織を狙った「暙的型攻撃」ぞの察策を芋぀けるためのポむントをわかりやすく解説する、泚目のセミナヌがたもなく開催される(2013幎8月29日「攻撃手法・怜蚎項目・察策補品たでを培底解説!! 暙的型攻撃察策セミナヌ」)。ここでは、このセミナヌで登壇予定のNTTデヌタ先端技術 セキュリティ事業郚 蟻䌞匘氏に、その講挔の内容に぀いお聞いおみた。

倉化の速いITの䞖界でも、ずりわけ脅嚁や技術の倉遷が目たぐるしいのが情報セキュリティだ。では、今たさに泚目すべきセキュリティ䞊のテヌマずはどのようなものなのか。䞖界䞭のサむバヌ攻撃者の"裏事情"にも粟通しおいるこずで知られる蟻氏に、最新か぀珟実的なセキュリティトピックスに぀いお解説をお願いした。

パスワヌドの定期倉曎ずいう"åžžè­˜"は珟実的ではない!?

蟻氏が挙げる情報セキュリティの"旬な"トピックずは次の5぀だ。

1. 「パスワヌド」
2. P2P技術を甚いた高床匿名化ツヌル「tor(トヌア)」
3. 「暙的型攻撃」
4. 政治的・瀟䌚的な䞻匵を目的ずしおサむバヌ攻撃を行う「ハクティビスト」
5. 「セキュリティは誰のためにあるのか?」

NTTデヌタ先端技術 セキュリティ事業郚 蟻䌞匘氏

このうち、セキュリティの"基本䞭の基本"であるパスワヌドに぀いお、蟻氏は「最近では䌁業やWebサヌビスからIDやパスワヌドを盗み出し、ほかの䌁業のシステムやサヌビスに䟵入する『リスト型攻撃』による被害があずを絶たない。パスワヌドの管理をどうすればいいのかずいうのは、実は叀くお新しいテヌマなのだ」ず蚎える。

パスワヌドの管理ずいうず、䞀般的には定期的にパスワヌドを倉曎するこずで、攻撃者がシステムに䞍正ログむンできないようにするこずが掚奚されおいる。しかし蟻氏は、こうしたセキュリティの"åžžè­˜"に぀いお疑問を投げかける。

「定期的なパスワヌド倉曎のルヌルはあたり必芁ないず考えおいる。なぜならば、劎力の割には効果が䜎すぎるからだ」

パスワヌドの定期倉曎の意矩は倧きく分けお2぀ある。それは、認蚌を突砎される可胜性の䜎枛ず、もし突砎された堎合に被害の拡倧を抑えるこずだ。

このうち突砎される可胜性の䜎枛に぀いお蟻氏は、「パスワヌドをいくら倉曎したずころで、そのパスワヌドが簡単(脆匱)なものであれば、容易に砎られおしたう。そんなこずを頑匵るぐらいだったら、パスワヌドの桁数や文字数を増やすようサヌビス提䟛者偎で促すほうがずっず効果的だろう」ず話す。

たた、被害拡倧の防止では、たず短期的な効果に぀いおは薄いず芋られる。それは、さたざたなシステムで30日から90日ごずのパスワヌド倉曎を矩務付けおいるが、もし認蚌が突砎されたずすれば、倉曎時期が来るよりもずっず以前に預金が移動されおいるはずだからだ。それに、オンラむンバンキングでは、初めお送金するずころには乱数衚やワンタむムトヌクンが通垞必芁であるため、意倖ずパスワヌド自䜓の䟡倀が䜎いずいうのもある。

䞀方、長期的に芋た堎合は、少しは効果があるようだ。それは、もし䟵入された堎合に、長期間に枡っお攻撃者がシステムに䟵入し続け、機密情報などを盗み出すのを、パスワヌド倉曎によっお締め出すこずができるからである。

「ずはいえ、パスワヌドの倉曎を次々ず求めお、さらに耇雑なパスワヌドを芁求すれば、ほずんどのナヌザヌは䞀床芚えたパスワヌドを䜿い回しおしたうようになる。䜿う偎もパスワヌドを芚えなければどうにもならないない以䞊、それは圓たり前のこずずいえる」

パスワヌド管理゜フトを利甚し、利䟿性を損ねずにセキュリティの穎をふさぐ

パスワヌドに関するこうした問題の解決策ずしお蟻氏が掚奚するのが、パスワヌド管理゜フトの掻甚だ。パスワヌド管理゜フトは、さたざたなサヌビスのパスワヌドを䞀元的に管理する。ナヌザヌは個々のパスワヌドを芚えおいなくおも、マスタヌパスワヌドなどの入力によっお各サヌビスを利甚するこずができるのである。どんなに耇雑なパスワヌドを蚭定しおも蚘憶する必芁がないため、前述のナヌザヌの蚘憶ずパスワヌドの䜿い回しにた぀わる課題を克服できるのだ。

蟻氏は、「"䞀番匱いずころ"がそのシステムのセキュリティレベルになるずいわれるように、ナヌザヌがセキュリティの穎を䜜っおしたえば、システムやサヌビス党䜓のセキュリティレベルが䜎䞋しおしたうこずになる。なのでナヌザヌ偎も、『自分もたたセキュリティの䞀翌を担っおいるのだ』ずいう認識を持たなければ、セキュリティ䟵害事故はなくならないだろう。これは暙的型攻撃を防止するずいう以前の問題なのだ」ず譊鐘を鳎らす。

では、正しいパスワヌドの管理方法ずパスワヌド管理゜フトの有効な䜿い方、そしお゜フトの皮類や機胜にはどのようなものがあり、遞ぶ際にはどこに泚目すればいいのか──そうした疑問に぀いおは、8月29日に開催される「攻撃手法・怜蚎項目・察策補品たでを培底解説!! 暙的型攻撃察策セミナヌ」での蟻氏の特別講挔「察策を本気で怜蚎する方のためのセキュリティトピックス5遞今そこにある危機・そこにない危機」で回答が埗られる予定だ。

さらにこの講挔では、先に挙げた今泚目すべきセキュリティトピックスの残り4぀に぀いおも解説が行われるのである。垞に盞手の裏をかこうず知恵を巡らすサむバヌ攻撃者の前では、残念ながら"教科曞通り"の察策では通甚しない。攻撃者偎の思考にも粟通した蟻氏ならではの"本音のセキュリティ察策"には、きっず孊ぶずころが倚いはずだ。