• [アーティクル]

セキュリティ ウォッチパスワードとクレジット カード、第 3 部

Jesper M. Johansson

目次

セキュリティに関する矛盾したメッセージ
チェック ボックスこそすべて
召集

ここ 2 回の TechNet Magazine の記事では、セキュリティ プロフェッショナルと IT 業界全体が、どのようにユーザーを混乱させ、効果的なセキュリティ向上を実は妨げているかについて説明しました。このシリーズの第 1 部と第 2 部では、ユーザーに誤解を招くおそれのある情報を提示するソリューション、ログオン手順を

必要以上に複雑にするソリューション、不適切な操作を指示するソリューションなどの問題について説明しました。前回までは、業界がユーザーのセキュリティに配慮していることを示そうとして、その結果、必要以上に状況を悪化させているさまざまな例を紹介しました。このシリーズの最終回となる第 3 部では、ユーザーが利用できる最も重要なテクノロジの一部が、ユーザーの期待値に達していない理由について説明します。これらすべてを説明したら、召集をかけます。

過剰な更新テクノロジ

コンピュータの安全を保つ主な見解の 1 つ (実際、疑う余地のない必要条件) は、すべてのソフトウェアを最新の状態に保つことです。ほぼすべての大手ソフトウェア プロバイダでは、現在なんらかの形式で、ソフトウェアの少なくとも一部を最新の状態に保つための半自動的化されたメカニズムを使用しています。しかし、これはそれほど単純なことではありません。

1 つ目の問題は、インストールしているソフトウェアの数が多くなると、更新するソフトウェアの数も多くなることです。しかも、複数のソフトウェア ベンダのソフトウェアを使用している場合は、対応しなければならない更新メカニズムも多くなります。これが混乱の原因です。

たとえば、既定の設定では、Internet Explorer® は自動的に更新されます。しかし、Internet Explorer は他のテクノロジの入れ物にすぎません。このことに起因して発生する可能性がある問題が、2008 年の CanSecWest カンファレンスで Shane Macaulay 氏が Java と Adobe Flash の脆弱性を利用して Mac のハッキングを行った際に証明されました (この記事の執筆時点では欠陥が未公表のため、詳細は不明です)。ただし、私が指摘したいのは、これらのテクノロジはいずれも組み込みのコンポーネントではないにもかかわらず、どちらもインターネット上で非常に幅広く使用されているのでほとんどのコンピュータで使用できるという点です。どちらのテクノロジも最新の状態を保つのは少し困難です。というのも、それぞれに自動更新メカニズムがありますが、いずれのメカニズムもあまり頻繁に起動されることがないからです。

さらに、ほとんどのエンド ユーザーは Java と Adobe Flash が存在していることにも更新する必要があることにも気付いていません。多くの場合、これらのテクノロジはコンピュータの OEM イメージに含まれた形で提供されているので、ユーザーはオペレーティング システムと区別できません。エンド ユーザーにとっては、Windows® Update に更新プログラムがないことが表示されれば、更新プログラムはないということになります。

2 つ目の問題は、更新メカニズムが必要以上に複雑である場合が多い点です。通常、ユーザーは更新ツールを実行する必要があることに気付かないので、完全に自動化されていない更新メカニズムはなかなか普及しません。また、多くの場合、更新プログラムをインストールするにはユーザーは管理者である必要があります。最悪のシナリオでは、単に更新プログラムが利用できるという通知を受けるにもユーザーが管理者でなければならないことがあります。

最後の問題は、ベンダがソフトウェアの更新テクノロジを使用して、ユーザーがインストールしていない、まったく無関係なソフトウェア (ツール バーなど) を展開することが一般的化していることです。ソフトウェアの更新テクノロジは、ソフトウェアの更新プログラムの展開という非常に明確な処理を目的としていたものから、追加のソフトウェアを配布する手段に変化してしまいました。

この問題の非常にわかりやすい例は、Microsoft® Windows Update サービス (図 1 参照) と、Apple Software Update (図 2 参照) です。どちらも、更新メカニズムを使用してソフトウェアを更新するだけでなく、ユーザーがインストールしていなかった新しいソフトウェアを配布しています。

fig01.gif

図 1 Windows Update を使用した Silverlight の展開 (画像をクリックすると拡大表示されます)

fig02.gif

図 2 Apple Software Update を使用した Safari の配布 (画像をクリックすると拡大表示されます)

Apple の例では、QuickTime だけをインストールしている場合でも、iTunes と Safari の両方をインストールできるという情報が提供されます。興味深いことに、これらのソフトウェアはすべて既定でインストールするように、チェック ボックスがオンになっています。

Windows Update の例では、更新サービスによって展開された最近の新しいソフトウェアは Silverlight™ です。マイクロソフトでは以前にもこの手法を使用して新しいソフトウェアを配布しています。マイクロソフトの名誉のために付け加えておきますが、少なくともマイクロソフトはチェック ボックスをオンにして既定で新しいソフトウェアがインストールされるようにはしていません。

このような更新メカニズムを通じて新しいソフトウェアを配布する方法は、ユーザーに 2 つの問題をもたらします。1 つ目の問題は、多くのユーザーが当初よりも多くのソフトウェアをコンピュータにインストールするようになることです。ご存じのとおり、実体のあるすべてのソフトウェアにはバグが付き物で、そのようなバグの中にはセキュリティの脆弱性の原因となるものがあります。このような脆弱性の中には、いずれなんらかの攻撃に使用されるものがあります。この結果、かなりの数のユーザーが、(ソフトウェアの更新メカニズムを通じてコンピュータに展開された) 不要で使ってもいないソフトウェアを介して攻撃を受けることになります。

もう 1 つの問題は、ユーザーがソフトウェアの更新メカニズムの価値を誤解するおそれがあることです。ソフトウェアの更新メカニズムが、新しい更新プログラムではなく新しいソフトウェアを展開するために使用されるものだと解釈すると、ユーザーは更新メカニズムが煩わしいと感じて使用しなくなる可能性があります。ソフトウェアの更新メカニズムによって配布された、まったく使用しないプログラムに由来する脆弱性を通じて攻撃を受けたユーザーがどう感じるか、想像してみてください。

テクノロジ エコシステムの正常性や安全にとって、ユーザーの安全を確保するテクノロジをユーザーが信用しなくなることよりも危険なことがいくつかあります。ユーザーの信頼を失うと、そのようなテクノロジは拒否されるようになり、最終的には使用されなくなります。更新テクノロジのように、コンピュータの保護に不可欠なテクノロジが信用されなくなれば、テクノロジ エコシステム全体が危険にさらされます。テクノロジ エコシステム全体を保護するために、マイクロソフトでは海賊版ソフトウェアを実行しているコンピュータにもセキュリティ更新プログラムを配布しています。

これに対して、Mozilla Firefox のシンプルな更新専用のインターフェイスには本当に尊敬の念を覚えます (図 3 参照)。これからも Mozilla が、ソフトウェアの更新ツールを通じて追加のソフトウェアを配布するという誘惑に屈しないことを心から願います。

fig03.gif

図 3 業界内で最もシンプルなインターフェイスの 1 つである Firefox のソフトウェアの更新インターフェイス (画像をクリックすると拡大表示されます)

セキュリティに関する矛盾したメッセージ

ユーザーに対する共通のメッセージを業界で決定できれば良いと思います。業界内の競争は避けられませんが、ユーザーは自分にとって何が重要なセキュリティであるかを知る必要があります。残念ながら、IT 業界が矛盾したメッセージを発信し続ければ、ユーザーは何が重要であるか知ることができません。はっきり言って、私は自社のメッセージが一貫している企業であれば、多少の不満はありますが、評価に値すると考えています。

おそらく共通のメッセージが業界で決定されることはないでしょうが、少なくともメッセージには一貫性と誠実さが必要です。今後もユーザーからセキュリティ テクノロジの信頼を得られるようにすることは非常に重要なので、業界全体がメッセージの矛盾を改善する必要があります。

同様に、現在、何が実際の価値につながっているのか問う必要もあります。たとえば、私は IT 業界がユーザーに働きかけているほどウイルス対策ソフトウェアが効果的であったり、重要であったりするとは思っていません。私の 7 才になる息子が使用しているコンピュータと我が家の台所にあるコンピュータについて考えてみましょう。どちらのコンピュータにもウイルス対策ソフトウェアをインストールしていますが、インストールしてから 3 年間、いずれのコンピュータでも警告が表示されたことはありません。ウイルス対策ソフトウェアを放棄する必要があると述べるつもりはありません。現時点では、ウイルス対策ソフトウェアはテクノロジ エコシステムの主要なコンポーネントです。私たちが突然すべてのウイルス対策ソフトウェアを削除したとすれば、すぐに攻撃者がウイルス対策が行われていないことを悪用するので、ウイルスに感染するコンピュータが増えるのは間違いないでしょう。

ここで重要なのは、IT 業界はユーザーが本当に必要としているセキュリティ製品の機能とは何か、その機能はどれほど効果があるか、このようなユーザーにとってのニーズや価値について企業間で意見を交換する方法は何かを考える必要があるということです。現在、ユーザーが受け取っているセキュリティについてのメッセージには、あまりにも多くの矛盾を抱えていて、かつ誇張された情報が含まれており、中には不正確な情報が含まれていることもあります。

チェック ボックスこそすべて

たとえば、セキュリティ ソフトウェア業界はパッケージ製品が基本となっています。現在、セキュリティ ソフトウェアはほぼ例外なく、無関係に思われる機能の寄せ集めとして販売されています。しかも、そのような機能のうちどの機能をユーザーが実際に必要としているのかについての情報は、実質的にありません。

この結果、オンにするチェック ボックスの数を増やす競争が発生しているようです。チェックリストは製品の比較に役立ちますが、不要な機能や望ましくない機能だけでなく、意味が不明な機能までもが生み出される原因になります。図 4 ~ 7 は、4 社のセキュリティ ソフトウェア ベンダが公表している各社のチェック マークの一覧です。17 個のチェック マークがある製品が、10 個のチェック マークしかない製品よりも優れていると考えてよいものでしょうか。

実際のところ、私はこれらの図を非常におもしろいと思っています。図 4 では、最新バージョンであるという理由で製品にチェック マークが付いています。図 5 の製品は、ベンダの主張によれば "悪意のある Web サイトから PC への攻撃を防ぐ" という理由でチェック マークが付けられています。図 6 の製品は、"保護者機能" という理由でチェック マークが付けられています。言うまでもないことですが、子供を守れない製品を欲しいと思う人はいないでしょう。しかし、創意工夫大賞は、レジストリのクリーンアップやハード ディスクの最適化などの機能をセキュリティ製品に含めたベンダに贈りましょう。レジストリのクリーンアップ機能は必要かもしれませんが、めったに使用しませんし、ハード ディスクの最適化機能は OS に組み込まれています。事実、Windows OS には、図 7 に示されている 17 個のチェック マークのうち 15 個に対応するソリューションが既に組み込まれています。

fig04.gif

図 4 このベンダの最上位製品にはチェック マークが 10 個しかありません (画像をクリックすると拡大表示されます)

fig05.gif

図 5 11 個のチェック マークが付いたこの製品の方が優れていると考えるのが妥当でしょう (画像をクリックすると拡大表示されます)

fig06.gif

図 6 ちょっと待った、この製品には 12 個のチェック マークが付いています (画像をクリックすると拡大表示されます)

fig07.gif

図 7 しかし 17 個のチェック マークが付いているこの製品が最高のソリューションに違いないですよね (画像をクリックすると拡大表示されます)

このような一覧表には気になる傾向があります。これらの製品ではオペレーティング システムに組み込まれている機能が重複しているだけではなく (しかも、販売資料ではその事実の指摘を怠っています)、明らかに間違った主張が行われています。たとえば、あらゆる場所からの攻撃を完全に阻止できるセキュリティ ソフトウェアは存在し得なく、単に攻撃を防ぐのに役立つだけです。また、本当に攻撃者からユーザーの存在を隠せる製品も存在しません。

問題は、ソフトウェア セキュリティ産業の大部分が、他のベンダが開発した製品によって発生した脆弱性からユーザーを守ることに基づいて発展してきたことにあります。しかし、そのようなベンダによるユーザーの保護が改善されてきているため、セキュリティ ソフトウェア業界は、そのビジネス モデルが危機にさらされていることに気付き始めています。確かに新しいリスクが発生するとセキュリティ ソフトウェア業界の存在意義は高まりますが、ベンダは脅威ではなくなった脅威からユーザーを守るだけなく、ユーザーがリスクを管理できるようにする必要があります。

召集

この 3 回シリーズの記事から学んでいただきたいことを 1 つ挙げるとすれば、私たちは業界全体として、ユーザーや顧客に正直になる必要があるということです。私たちは、リスクについて説明し、ユーザーがこのようなリスクに対処する方法を説明し、ユーザーが自分で自分を保護する方法を身に付けられるように対応を始める必要があります。

このシリーズで取り上げたすべての "ソリューション" について私が最も心配しているのは、長い目で見ると確実にセキュリティの低下につながる深刻な可能性があることです。ユーザーだけでなく、IT 管理者までもが、このような製品によって本当のセキュリティ リスク (特にこのような製品が誤解を招きかねない表現で解決すると主張しているリスク) が解決されると実際に信じた場合、私たちは本当に自分で自分を保護する方法をユーザーに伝える機会を逃すことになります。

たとえば、パスワード認証システムについて考えてみましょう。このシリーズの第 1 部で説明した、パスワードによる認証システムに対する脆弱な拡張機能が、実際にユーザーを保護するとユーザーが信じれば、ユーザーのセキュリティがさらに甘くなり、さらに脆弱なパスワードを使用するようになるでしょう。このシリーズで取り上げた最悪の例では、新しいテクノロジを実装したことで、実装していなければユーザーが使用するはずであったセキュリティよりも脆弱なセキュリティをユーザーが使用するようになりました。つまり、悪意のあるユーザーが (多くの場合難しいことではありませんが) このようなシステムの攻略方法を考え出すころには、私たちはセキュリティに関して現在よりもさらに悪い状況に陥っているでしょう。この結果、重大な信用問題が発生し、ユーザーが本当に価値のあるソリューションを放棄する可能性もあります。

今こそ、私たちの事業を支えるテクノロジ エコシステムを保護するために行動する必要があります。もちろん革新は必要ですが、革新のための革新によって、実際のリスク分析が妨げられないよう細心の注意を払う必要もあります。注意を払わなければ、単なるセキュリティ ショーを演じるだけになり、最終的にはセキュリティ ショーによって自分たちの首を絞めることになります。

このシリーズで説明した他の例についても同じことが当てはまります。たとえば、見掛けだけの無意味な安全性のごまかしについて考えてみましょう。これはユーザーにとってのメリットがまったくなく、ユーザーにセキュリティの価値に関する誤った認識を与え、オンライン サービスのプロバイダが、ユーザーに間接的な被害を及ぼすような機能の強化でやり過ごすことを可能にしています。一方、ユーザーに正しい情報を伝えるには、総額で数千ドル、特に極端な場合でもおそらく数万ドルしかかかりません。これほどわずかな予算を割いて、ベンダに顧客と事業を保護するよう要請することは、本当に無理なことでしょうか。

この要求には多くの効果があります。まず、ユーザーは判断を下すことができず、ユーザーに判断させないようにするべきだという認識に対処する必要があります。ユーザーが判断を下せるように指導することは不可能ではありません。というのも、このようなユーザーは、コンピュータの購入、サイトの使用、いずれかの製品やサービスの購入など、多くの判断を下しているからです。自動車を安全に運転する方法を学ぶ必要があるのと同様に、コンピュータを安全に使用する方法も学ぶ必要があります。現在、ユーザー個人が攻撃対象となっているので、テクノロジを当てにして判断を下すことはできません。むしろ、セキュリティ技術はユーザーが賢明な判断を下せるように、正しい情報を適切なタイミングで提供する意思決定支援システムになる必要があります。

世界中で最も使いづらいユーザー インターフェイスの一部は、セキュリティ ソリューションのユーザー インターフェイスです。なぜならセキュリティ ソリューションでは、あらゆる種類の意思決定をユーザーから見えないところで行ったり、利用できるデータ全部を (わかりにくい方法で) ユーザーに表示したりしているためです。いずれの方法も効果はありません。1 つ目の方法では、正しい選択を行うためにテクノロジを当てにできないので、ユーザーが危険にさらされます。さらに、テクノロジによってユーザーのビジネス目的が妨害されているとユーザーが認識すれば、そのテクノロジが使用されなくなるのは時間の問題です。また、2 つ目の方法はうまく行きません。というのも、ユーザーが IP アドレス、プロセス ID、およびユーザーにとって無意味なその他のデータにわずらわされたくないと考えるからです。ユーザーが関心を持っているのは、自分のパスワードとクレジット カードがコンピュータでどのように扱われているかということだけです。結局、これがユーザーにとってのセキュリティというものなのです。

Jesper M. Johansson は、セキュリティ ソフトウェアの開発に取り組むソフトウェア アーキテクトで、TechNet Magazine の編集にも携わっています。管理情報システムの博士号を持ち、セキュリティ分野で 20 年以上の経験があります。また、エンタープライズ セキュリティの MVP でもあります。最新の著書には、『Windows Server 2008 Security Resource Kit』があります。