セキュリティ ウォッチセキュリティに関する 10 の鉄則再考: 第 3 部
Jesper M. Johansson
「セキュリティに関する 10 の鉄則」については、おそらくよくご存じでしょう。これは、約 8 年前に公開されたセキュリティに関するエッセイで、今日も重要視され、一般的に使用されています。ですが、この 8 年の間には、さまざまな変化がありました。そこで、これらの鉄則が今でも有効であるかどうかを分析することにしました。セキュリティ ウォッチ コラムでは、ここ 2 か月にわたって、鉄則 1 ~ 7 について述べました。
セキュリティと接続における近年の大幅な進歩にもかかわらず、これまでのところ、この鉄則は今でも有効であることがわかりました。いくつかの鉄則については、多少異なる解釈をしたり、部分的に対策を立てたりしなければなりませんが、今でも鉄則と見なすことができます。これらの鉄則は、情報セキュリティの戦略を立てるうえで非常に有益で、普通法においては鉄則が私たちと共に成長することを期待します。
今月は、鉄則 8 ~ 10 を取り上げ、環境がどのように変化し、この 10 の鉄則で対応できない新たな領域がどのように生まれたのかについての見解を述べて、このシリーズを締め括りたいと思います。「セキュリティに関する 10 の鉄則」をまだお読みではない場合は、TechNet で公開していますので、ぜひお読みください。
鉄則 #8: 古いウイルス検出プログラム (ウイルス定義ファイル) はウイルス検出プログラムがないも同然である
10 の鉄則の中では、この鉄則が最も年代を感じます。といっても、ウイルスが存在しなくなったわけではなく、その逆でウイルスの数は増えています。現在、ウイルス対策ソフトウェア ベンダは、年間数十万件のウイルスに追加対応していると主張しています。シマンテック社が 2008 年 4 月に発表した「シマンテック グローバルインターネットセキュリティ脅威レポート」では、100 万件を超える種類の脅威を検出したと報告されています。
鉄則 8 が年代を感じさせるのは、この鉄則で「ウイルス検出プログラム」という表現が使用されている点です。1990 年代後半当時、私たちが心配しなければならなかったのは、ウイルスだけだったと言っても過言ではありません。しかし、Microsoft Word のマクロ ウイルスが最大の脅威であった時代は遠い昔の話です。今日、私たちは、ウイルス、ワーム、スパイウェア、アドウェア、キーストローク ロガー、ルートキット、フィッシング Web サイト、スパム、ボットなどに対応する必要があります。また、細心の注意を払う場合は、偽のマルウェア対策ソフトウェアにも注意する必要があります。
ウイルスは、今日対応しなければならない悪意のあるものの中ではかなり風変わりなテクノロジです。ウイルス対策ソフトウェアの機能がウイルスを検出することだけである場合、ソフトウェアが古いことは本当に問題になるのでしょうか。今日、ウイルスしか検出しないマルウェア対策ソフトウェアは存在しないと言っても過言ではありません。ですが、この鉄則では、「ウイルス検出プログラム」という表現を使用しているので、その点に年月がたっていることが現れています。ウイルス以外のものも検出しなければ、マルウェア対策ソリューションは役に立ちません。
3 部構成でお届けした前回のシリーズ「パスワードとクレジット カード」で述べたように、このことは、さまざまなセキュリティ ソフトウェアのベンダがチェック ボックスの数の多さを競うというチェック ボックスのエコシステムに発展しました。このようなチェック ボックスの数を増やす手段の 1 つは、さまざまな種類のマルウェアに対する保護を提供することです。
多くのマルウェア対策ソフトウェアは、マルウェア対策ソフトウェア単体よりもはるかに多くの問題に対応できて、すべての機能を管理するコンソールが同梱されたスイートとしてのみ提供されています。図 1 は、Microsoft Windows Live OneCare のコンソールです。このサービスでは、ウイルス対策、スパイウェア対策、およびバックアップの機能が提供され、Internet Explorer の組み込みのフィッシング フィルタの状況を追跡し、Windows ファイアウォールとは別のファイアウォールが提供されます (これは、セキュリティ スイート製品では一般的な二重化です)。今日、ウイルス対策ソフトウェアと呼ばれるものは、追加機能を備えたマルウェア対策ソフトウェアであることが多いのが実状です。
図 1 今日の一般的なセキュリティ スイート製品の特色をよく示している Live OneCare コンソール (画像をクリックすると拡大表示されます)
これは、マルウェアがかつてないほど増加し、マルウェアを開発している悪意のあるユーザーが、マルウェアを適正なソフトウェアに見せかけるのに長けてきたことに起因します。今日のマルウェアは、トロイの木馬タイプのソフトウェアと他のマルウェアの両方の特性を併せ持ったものへと変化を遂げています。
一般ユーザーは、適正なソフトウェアと悪意のあるソフトウェアを判別するのに悪戦苦闘しています。多くのマルウェアは、適正な Web サイトまたは以前は適正であった Web サイトから提供されており、多くの場合は広告という形で提供されています。中には、ユーザーが Web サイトにアクセスしただけで、自動的にダウンロードおよびインストールされるマルウェアもあります。
マルウェア対策ソフトウェアを使用すると、このような悪意のあるソフトウェアの一部を検出することができます。このような犯罪行為を寄せ付けないようにする最善の方法は、マルウェア対策ソフトウェアを使用して、思慮分別のある方法でコンピュータを使用することです。思慮分別のある方法でコンピュータを使用するだけで十分だと思うかもしれませんが、思慮分別があるかどうかは、適切な判断力と常識を持ち合わせているかどうかにかかっており、残念ながら、このような性質を兼ね備えている人は多くありません。
今度は、別のシナリオについて考えてみましょう。子供がコンピュータを使用している場合はどうでしょうか。子供には頼るべき十分な経験がありませんし、多くの保護者は、コンピュータのセキュリティの重要性を子供に説明できるほどの知識を持っていません。また、子供がコンピュータを使用しているときに付き切りで、そのようすを監視するのは至難の業です。
このような状況では、マルウェア対策ソフトウェアを使用すると、部分的ではありますが安全網が提供され、犯罪者はその網をかいくぐるために新たな策を講じる必要があります。マルウェアが改良され続けるという悪循環が形成されるという問題はありますが、マルウェア対策ソフトウェアを使用すると、マルウェアから身を守ることができるのは明らかです。
マルウェア対策ソフトウェアを使用すると、多くの基本的なマルウェアがエコシステムに侵入するのを防げるので、セキュリティの専門家は、より高度な攻撃への対策に注力できます。マルウェア対策ソフトウェアをまったく使用しなければ、エコシステムは、高度なマルウェアはおろか、基本的なマルウェアによって侵略されてしまう可能性が高いでしょう。このような問題が発生したら、今日、私たちが直面しているよりもはるかに悲惨な状況になります。
これまでに説明したことでは「鉄則 8 は、今も有効なのか」という疑問は解消されません。ですが、鉄則 8 が今も有効であるかどうかは、この鉄則をどのように解釈するかによって異なります。この鉄則を厳密に解釈すると、この鉄則は「古いウイルス対策ソフトウェアを使用している場合はウイルス対策ソフトウェアを使用していないのと大差ない」という意味になります。ですが、今日のマルウェアが変化する速度を考慮すると、最新の状態でないウイルス対策ソフトウェアは、まったく役に立たないことは簡単に証明できます。この表現は少し大げさかもしれませんが、まったくのでたらめではありません。
鉄則 8 をより現実的な観点から判断するには、この鉄則を現状に合わせて解釈し直す必要があります。ですから、私は、この鉄則を「マルウェア対策ソフトウェアは最新の状態で使用する必要がある」と言い換えたいと思います。鉄則 8 をより実用的な観点で解釈すると、この鉄則は、今でも有効だと断言できます。というのも、マルウェア対策ソフトウェアに猛烈に反対している人であっても、セキュリティ エコシステム全体でマルウェア対策ソフトウェアを廃止することを主張して実現するのは不可能だからです。
私個人は、これらの鉄則は解釈ベースで判断しているので、鉄則 8 は今でも有効だと思っています。ですが、マルウェアの変化する速度が速くなればなるほど、マルウェア対策ソフトウェアを最新の状態にすることが非常に重要になることは付け加えておきたいと思います。
鉄則 #9: 現実の生活でも Web 上でも完全な匿名などあり得ない
この鉄則を検討する際には、米国政府や大企業が、個人の匿名性をあまり確保できていないことを引き合いに出さずにはいられませんでした。米国政府と TJX Companies は、米国在住者の約半数にあたる人の個人情報が犯罪組織の手に渡たったことを認めました。匿名というものが存在すればどんなに良いだろうと思いますが、現実問題として、匿名というものは存在しません (ただし、世間とのつながりを断ち、銀行口座を解約し、無人島に渡り、レーダーの範囲外に住めば別ですが)。
個人情報は膨大で、私たちが意識的に提供するものもあれば、単に接触するだけで入手されてしまうものもあります。ソーシャル ネットワーク サイトでは、インターネットを利用している多くの大人と子供について、さまざまな個人情報が公開されています。その多くは、他人に公開する必要のないものであり、中には自分や他人にとって都合の悪いものもあります (自分の上司になる可能性のある人が自分に不利な写真を閲覧することも考えられます)。
また、直接的な損害を与えるような個人情報もあります。たとえば、電話番号、住所、お金に関する情報などの個人情報は機密情報として扱う必要があります。それを証明する事例をご紹介しましょう。銀行取引、クレジット カードの管理などに使用するすべてのインターネット サイトを追跡する良い方法を思い付いた人がいました。彼は、必要なリンクを掲載したホーム ページを作成しました。また、必要な情報に簡単にアクセスできるようにするため、銀行の口座番号が印字された小切手、クレジット カードの表面と裏面、運転免許証、パスポート、ソーシャル セキュリティ カードなどの重要書類をスキャンしました。
この Web ページをセキュリティで保護された場所にアップロードしていれば、問題はなく、このページは有益なものになりました。ですが、残念ながら、彼が契約している ISP でホストしたホーム ページはセキュリティで保護されておらず、このホーム ページからアクセスしたすべてのページの参照元には、このページの URL が表示されてしまいました。他人が、このように表示された URL にアクセスすると、犯罪市場で数千ドルの価値がある個人情報が露呈されることになります。これは極端な事例ですが、オンラインで公開する個人情報は注意深く管理する必要があることを示しています。
通常、ソーシャル ネットワーク サイトでは詳細なプライバシーのオプションが用意されていますが、多くの場合、プライバシーのオプションは既定では有効になっていません。図 2 は、Facebook のプライバシーに関するオプション画面です (ただし、これは既定の設定ではありません)。ここで重要なのは、完全な匿名性は実現できませんが、注意すれば、ある程度の匿名性を確保できるということです。
図 2 既定の設定を変更すれば Facebook のプライバシーの設定は制限できる (画像をクリックすると拡大表示されます)
現実の生活と同様、インターネット上でのプライバシーを確保できるかどうかは、その管理方法にかかっています。政府機関や企業による個人情報の流出については何の手立ても打てませんが、そのような個人情報流出の影響を最小限にとどめることは可能です。つまり、絶対に必要なときにしか、個人情報を提供しないようにすることができます。
個人情報を管理する有益な方法は、大手信用調査機関が提供している詐欺警告サービスを契約することです。困ったことに、この信用調査機関が提供するサービスは好評であるため、詐欺警告の入手手続きが面倒なものであることが容認されています。このサービスは、3 か月契約で 1 社あたり 6 ~ 12 ドルし、3 か月ごとに更新手続きを行う必要があります。より適切なのは、Debix (debix.com) などの第三者機関が提供する詐欺警告サービスを利用することです。
信用報告書が不要な場合は、信用情報を凍結し、だれも信用報告書を入手できないようにすることができます。ただし、多くの州の法律では信用情報を凍結することが認められておらず、そのような州では、実際に個人情報の盗難に遭った人に限り、信用情報の凍結が認められています。また、信用情報の凍結にかかる費用は高く、申請手続きは書留郵便で行わなければならないことも珍しくありません (奇妙なことですが、信用報告書は電話 1 本で入手できます)。
個人情報を管理するもう 1 つの方法は、個人情報にアクセスできる人を制限することです。あなたの個人情報を必要としていない組織には個人情報を提供しないようにしましょう。信頼できる組織と付き合い、以前に個人情報の扱いを軽んじたことがある組織とは付き合わないことをお勧めします。基本的な情報を得るために、アカウントを作成して、個人情報を提供する必要はありません。製品マニュアルを入手するのに Web サイトへの登録が必要な場合は、その製品を使用しないか、または登録時に偽の情報を使用することをお勧めします。登録に電子メール アドレスが必要な場合は、無料で使用できる Web ベースの電子メール アドレスを使用して一時的な偽アカウントを用意します。
これまでに説明したことは、鉄則 9 が、今でも間違いなく有効であることを証明するのに十分でしょう。近年、Web 上および現実の生活で、個人情報を非公開にすることは、簡単になるどころか、さらに困難になっています。この鉄則が作成されたときから、あらゆるものがオンライン化し、個人情報を扱う多くの企業では、その伝達経路としてインターネットが利用されています。
そのため、個人情報を管理することは、これまでにないほど重要になっています。鉄則 9 に 1 つ変更を加えるとすれば、この鉄則を「Web 上で完全な匿名を実現することは不可能だが、どの程度の匿名性を実現できるかについては自分で管理できる」と言い換えることくらいです。
鉄則 #10: テクノロジは万能ではない
鉄則 10 はあらゆる状況に適用できる鉄則で、今すぐセキュリティを強化できるような立派なボタンはない (少なくとも、実際に機能する、そのようなボタンはない) ことを示唆していました。テクノロジだけでは、セキュリティの問題を緩和することはできません。セキュリティ業界では、業界を挙げて、テクノロジが万能であることを宣伝し、ユーザーがこれを信じてきたため、これは深刻な問題です。「適切なセキュリティ製品の最新版さえあれば、それ以外のことについては心配する必要はない」というメッセージが繰り返されてきました。
これは、Scott Culp が鉄則 10 を書き上げたときに意図していたことではありませんが、他の優れた法則と同様に、この鉄則も時間と共に成長および発展してきました。当初、この鉄則は、テクノロジ自体が完全なものではなく、仮に完全だとしても攻撃者は、他の場所から攻撃を仕掛けてくることを示唆するものでした。この鉄則が策定された当時、技術的なセキュリティに関する実績はお世辞にも優れているとは言えませんでした。マイクロソフトは、長く苦しい期間を耐え忍んでおり、マイクロソフトがセキュリティの状況について説明する際に鉄則 10 を使用することもありました。
しかし、鉄則 10 は、いろいろな意味で先見の明を持っていたと言えます。この鉄則には、セキュリティ テクノロジにかけるコストを増やして、セキュリティ テクノロジに対して攻撃を加えるのが難しくなると、悪意のあるユーザーは、攻撃の対象をテクノロジからユーザーに変更するということも含まれています。
そして、これは現実のものになりました。テクノロジに対して攻撃を加えるのは困難になりましたが、ユーザーに対して攻撃を加えるのは困難ではありませんでした。そのため、悪意のあるユーザーは、さまざまなソーシャル エンジニアリングやフィッシングという手法を駆使して、ユーザーに攻撃を仕掛けました。不安定なところが付け込まれる世界において、これは当然の成り行きです。
鉄則 10 は今でも有効であるだけではなく、先を読んでいました。ですが、随分と先を見越していたため、その説明が少し時代遅れなものになってしまいました。この鉄則が策定された当時、この鉄則は、異なる意味を持っていた可能性があります。今日、この鉄則は有効ですが、その意味は変化しているので、解釈を発展させる必要があります。つまり、テクノロジの先を見据えて、セキュリティのプロセスと人的な要素にも対応する必要があります。そして、セキュリティを確保するには、エコシステムの該当箇所をセキュリティで保護する方法を編み出さなければなりません。
今後について
この 10 の鉄則には、非常に高い柔軟性があることを検証できました。つまり、すべての鉄則が 8 年にわたって有効であったと言えます。いくつかの鉄則 (特に鉄則 10) は、時間の経過と共に発展し、昨日、策定されたものだと言っても差し支えないくらいです。鉄則 10 は、あらゆる実用的な目的に適用できるので、先見の明を持った (少なくとも、結果として、そのようになった) 鉄則であり、エコシステムを正常な状態に保つのに必要不可欠な新しいソフトウェア セキュリティの分野を見越していたと言えます。
テクノロジは万能ではありません。この事実を理解していなければ、そもそも、この 10 の鉄則が策定されることはなかったでしょう。テクノロジが万能ではないということを考慮しなければ、鉄則 1 ~ 9 を正当に評価することはできないでしょう。実際、鉄則 1 ~ 9 について考えると、ある時点で、すべての鉄則がソフトウェアのセキュリティとプロセスに帰着していることがわかります。基本的に、これらの鉄則は、すべて構成上のミス、修正プログラムの適用不足、ユーザーに起因する脆弱性、システムやシステムで保護しているデータの取り扱いミスなどに関するものです。
この 3 部構成のシリーズを執筆することを決めた時点では、この 10 の鉄則に独自の鉄則をいくつか追加するつもりでした。しかし、これらの鉄則を分析する過程で、そのような必要がないことに気付きました。鉄則 10 は、鉄則 1 ~ 9 を総括し、私が追加するつもりであったことまで包含していました。その証拠に、鉄則 10 に関しては何も追加することなく、単に「テクノロジでは万全ではないので、セキュリティを確保するには、この誤解を解く必要がある」と言い換えるにとどめたいと思います。
この 10 の鉄則は、IT 環境が、2000 年問題の物の見方から監査を重要視する物の見方に移行しているときに策定されたものであることを忘れないでください。今やセキュリティは、最優先事項になっています。
その大きな理由は、犯罪活動の爆発的な増加です。犯罪者の多くは、ユーザーを保護することを目的とした法律制度を持たない国で公に活動しており、緩いコンピュータ セキュリティに付け込むとお金になることに気付きました。その結果、麻薬取引、旧東欧圏のマフィア、テロリストなどを誘発しました。
多くのコンピュータ犯罪の引き金となっているのは、拝金主義、イデオロギー、および国家の支配権の 3 つです。このような新たな攻撃に対応するには、不変の鉄則に基づいて行動する必要があります。物事を天秤に掛けて判断する必要はありますが、それについては、今後のコラムで取り上げたいと思います。
Jesper M. Johansson は、Fortune 200 に名を連ねる企業の主要なソフトウェア アーキテクトで、TechNet Magazine の編集にも携わっています。管理情報システムの博士号を持ち、セキュリティ分野で 20 年以上の経験があります。また、エンタープライズ セキュリティの Microsoft Most Valuable Professional (MVP) でもあります。最新の著書には、『Windows Server 2008 Security Resource Kit』があります。