IT Roadmap: Santa Clara
2007 年 6 月 26 日にカリフォルニア、サンタクララで開催された IT Roadmap に参加してきました。IT Roadmap について簡単なご説明と、IT Roadmap のApplication and Data Security セッションで語られていた各セキュリィティ技術の傾向を簡単にご紹介します。
Networkworld 社が主催するカンファレンス。企業の IT 担当者向けの内容で、IT ベンダ、リサーチ会社、コンサルタント、アドバイザーが調査や自身の経験をもとに今後の IT の今後の方向性について情報を提供する 1 日のカンファレンス。午前の部・午後の部に分けてセッションを提供する。それぞれの部ではアプリケーションやデータのセキュリティ、VoIP やモバイル、ネットワークアクセスコントロール (NAC)、データセンター、WAN 高速化など注目されている IT 分野のセッションをいくつか提供しており、興味のあるセッションに参加できる。
セッションの合間にベンダーの展示会も提供しており、セッションで紹介された技術を提供するベンダーと直接情報交換をする事ができる。
他のカンファレンスと違い、参加者の会社内での役割や会社の IT 管理に関するアンケートに答えて、その内容が IT Roadmap の参加者として妥当であれば、参加費用を無料にする方針を取っている。事前に参加者のバックグラウンドを見てフィルタをかける事により、IT に全く関連の無い人や、無料でベンダーが配布している小物目的の参加者などを省く事ができ、参加者と展示ベンダー・スポンサーのネットワーキングや情報交換がより効果的にできる。
今回の IT Roadmap: Santa Clara では、出展企業は80 社前後で、参加者は見た感じ 300 人くらいだった。
Roundtable with IT Roadmap Track Analysts. 各アナリストが今後の IT の方向性について語る。
展示会場。一日で回るには適切なベンダー数だった。
IDS/IPS は侵入検知システムで、内外部の両方からの異常なパケットの受け渡しを検知する事ができるので、DoS 攻撃、情報への不正アクセスなど、ネットワーク内外からの不正侵入を検知する事が可能だ。また、IPS は不正侵入を検知するだけではなく、不正侵入からネットワークやホストを保護するシステムだ。
IDS/IPS は長期間市場に出回っている技術で、製品として成熟しつつある。異常と判断する条件やそれらの対応方法を指定するポリシーの最適な設定方法は様々な状況で編み出されており、以前に比べると誤検知 (false positive, false negative) の発生率が大幅に少なくなっているらしい。そういった理由から、今後導入する企業が増えてくると予測されている。
不正侵入のデータパターンと比較して異常や侵入を検知するシグニチャベースの IDS/IPSから通常の作業ルーティーンとは違う挙動が検知された場合に、異常と判断するBehavioral IDS/IPS にシフトされていくと予測されている。
アプリケーションセキュリティのニーズについて話題になり始めたのはここ最近の話で、他のセキュリティに比べて新しい分野のようだ。
OS やアプリケーションなどのまだ発見されていない脆弱性を $50,000 で買い取る闇取引が東欧や南アメリカなどを中心にグローバルな市場で成り立っており、その脆弱性を突いて企業から個人情報を盗んで販売したり、それらの情報を使用してクレジットカードを作成して悪用したりする。個人情報はオンラインでも販売されており、Social Security 番号(市場価格 $98、以下同)、PayPal アカウント($6)、クレジットカード番号とピン番号($490)、運転免許証($147)、出生証明書 ($147) が個人情報が個人の手の届く範囲で手に入る。これらの流通経路が無くならない限り、アプリケーションセキュリティは必要だ。
セッションで紹介されていたエピソードによると、マフィアの殺人・恐喝などが以前に比べて件数が減少しているらしい。盗んできた個人情報を販売したり使用して商売したり、銀行システムやオンラインオンラインカジノのシステムに侵入して残高を操作したりなど、サイバー犯罪の方が人を殺めずに比較的簡単にできるので、そちらにビジネスが移行しているとの噂だ。
VoIP を導入している企業では、被害に遭遇しているケースがあまり無く、VoIP のセキュリティに関して意識が薄い傾向にあるらしい。
VoIP の脆弱性を突いて、他社の VoIP インフラを介して安価で VoIP サービスを提供していた会社の CEO が逮捕される事件が実際にあった。セッションコントロールだけでなく、DoS (Denial of Service)攻撃対策や、通信傍受対策も VoIP セキュリティとして考慮すべき項目だ。また、Caller ID に表示される発信元を詐称して、銀行の担当者などになりすまして、会話を行ないながら個人情報を取得するフィッシング詐欺に近いソーシャルエンジニアリングの心配もある。
社内で Wireless LAN を提供している場合は、Wi-Fi で提供している WEP キーは、30 秒で割り出す事ができるのでお勧めできない。また、WPA も 1 週間で割り出す事が可能なので、MAC アドレスフィルタやアクセスコントロールなど、複数のセキュリティを適用する事が望ましい。
定期的に各ソフトウェアベンダーからパッチがリリースされる。これらのパッチを当てないで放っておくと脆弱性を突いてサーバやネットワーク全体に攻撃を受けるリスクがあるが、パッチを当てると、稼働中のアプリケーションとの整合性が悪いと、アプリケーションが停止して使用できなくなる可能性があり、どちらを取っても不安要素がある。
一般的に PC に対してはリリースされたらすぐにパッチを当てるが、サーバの場合は十分に試験環境で動作確認ができた数ヶ月後にパッチを当てる企業が多いようだ。
セキュリティは ROI (Return on Investment)が見えにくく、コストばかりかさむ印象が強いが、対策を怠るとシステム障害からサービス停止にビジネスロスや、情報漏洩が起こってしまった時に会社の信用性が下がってしまうなど、結果的に会社の損害になりうる。セキュリティは会社の信用性を保つための保険として、実際に被害に遭遇する前に対応しておく事をお勧めしたい。