2014年3月30日日曜日

Windows XPサポート終了間近

とうとう、マイクロソフトによるWindows XPサポート終了が秒読み段階に入りました。しかし、まだ更新されていないPCも世の中には多数あると考えられています。サポート終了によるリスクは様々有り、既に多くのメディアや公的機関が注意喚起を行っています。ただ、現実はもっと深刻かもしれません。

それは、ゼロデイ脆弱性、つまり未公表の脆弱性とそれに対する攻撃コードを流通させるブラックマーケットの存在です。こうしたマーケットでは、犯罪などに利用するために攻撃コードなどの情報が闇取引されていますが、XPサポートの終了を狙って、大量のゼロデイ脆弱性が温存されている可能性が高いと考えられています。こうした脆弱性は、XPサポート終了と共に、おそらく値段が跳ね上がります。その理由は、セキュリティ修正が提供されないことで、その利用価値が大きく上がるからにほかなりません。

つまり、サポートが切れた瞬間にXPは、格好の標的とされてしまう可能性がきわめて高いのです。セキュリティソフトなどで、こうした脆弱性をカバーすることはある程度できるかもしれませんが、それがきわめて不確実なものであることは、昨今の新種マルウエア感染率の高さが証明しています。あからさまに言えば、ゼロデイの標的にされてしまえば、これらはほとんど無意味です。そして、これまでと異なり、そうした攻撃が公知のものとなる可能性も大きく低下してしまいます。

残ったXPは僅かかもしれませんが、その中の一台でもマルウエアに感染してしまえば、そのPCが存在するネットワークにある全システムが危険にさらされます。また、インターネットから隔離されているネットワークといえども、たとえば、そのネットワークと他のネットワークに接続された機器の間でなんらかのオフラインデータやデバイスの移動があるならば、リスクはゼロではありません。実際、こうした隔離されていると思っていたネットワークにマルウエアが入り込む事例が昨今頻発しているからです。

結論を言えば、XPはもう使うべきではありません。どうしても使わざるを得ないなら、最大限にそれらを監視しつつ、出来るだけ速やかに更新すべきです。おそらく事態は考えられている以上に深刻なのです。

2014年3月13日木曜日

e-Crime Congress (ロンドン)にて

今週はロンドンで e-Crime & Information Security Conngress というイベントに参加しています。ロンドン在住の知人(日本人)に紹介されて、初めて参加してみました。イベント自体は今年で12回目だそうですが、このAnnual Congress以外にもヨーロッパを中心に各地で小さなイベントを開催しているようです。


会場は、米国などの大きなコンファレンスに比べればこじんまりとしていますが、2~300人程度の参加者を集めています。内容は、サイバー犯罪とセキュリティ全般といった感じで、基本的に、上の写真の全体会場での全体トラックを中心にして、午前と午後に、スポンサープレゼン主体のブレークアウトセッションが一コマ~二コマずつあります。全体トラックの講演者は、ベンダ系と非ベンダ系の比率は3対1くらいですから、ちょっとベンダ色が強めですが、講演内容は比較的宣伝色を抑えたものになっているので、それほど違和感はありません。

初日の基調講演は、FBIとNCA(英国のNational Crime Agency)からで、それぞれのサイバー犯罪に対する取り組みの紹介でした。どちらかといえば一般的な内容ですが、いずれも、政府、捜査機関、民間一体での情報共有フレームワークと国際連携フレームワーク作りの取り組みについて強調したものだったと思います。

講演の中で印象的だったのが、Cyber Enabled Crime という表現です。だいたい、こうした講演では、Cyber Crimeという言葉になるのですが、捜査機関がCyber Enabledという言葉を使うことには大きな意味があると思います。つまり、これは、Crime であって、それがCyber(技術)を手段として取り込んでいるという関係を表しているからです。サイバー犯罪というとどうしても特殊な犯罪とうつりがちですが、実際、現在の多くのサイバー犯罪が、金銭や怨恨などといった一般の犯罪と同じ動機と目的を持っていることは明らかです。とすれば、これらをサイバーとしてくくるのではなく、一般の犯罪カテゴリにわけた上で取り扱うことが必要になってくるわけです。僅かな言葉の違いですが、そこに大きな意味が隠されていると感じています。

ベンダ系のプレゼンは、宣伝色を薄めているとはいえ、どうしても自社の製品やサービスに関連したテーマを選んで、かつ自社が優位になるような視点で話をするのが常なので、そこを頭に置きながら聴く必要があります。ちょうどメディアの報道と同じで、客観的な情報ソースであっても、そこから切り出された内容をつなげると、意味合いが変わってしまうことがあるので、できれば、オリジナルの情報を後で参照して全体像を見ておく必要があると思います。

製品系の話では、最近のSDN流行にのって、SDxという名前のセキュリティソリューションも増えてきています。ただ、SDNと同様にまだその仕様は各社各様で、互換性がない部分が多いので注意が必要でしょう。こうしたソリューションが本当にユーザにとって使えるようになるには、インターフェイスが標準化され、各社の互換性が取れることで、ユーザが自分に会ったソリューションを選んで組み合わせることができるようになることが不可欠ではないかと思います。ただ、組織内のネットワークだけではなく、クラウドやモバイルの環境も統合したソリューションは魅力的ですから、今後を注視していきたいと思っています。

ユーザサイドからは何人かのCISOが登壇しました。どちらかと言えば、保守的なカルチャーの欧州企業でのCISOは米国企業などとは違う意味で何かと苦労が多そうですが、いずれの講演者も、「ビジネスに必要な新しいIT技術は使う前提で、どうリスクを軽減できるか考える」と述べていたのが印象的です。ビジネスサイドから見ると当たり前の話ですが、とりわけ日本ではそうなっていないのが実態でしょう。そろそろ「ダメ出しセキュリティ」は失格の烙印を押さないといけないのかもしれません。もちろん、経営者がCISOやセキュリティチームに必要なリソースと予算を与えることが前提ですが、こうしたことの実現には、セキュリティを受け持つ側と経営層の両方の意識改革が必要だろうと思います。日本のビジネスが世界に遅れをとらないためにも、また、新技術の罠にはまって大怪我をしないためにも、こうした意識改革を急いで進める必要があるでしょう。

そんなことを思いながら二日間のイベントに参加していました。今週のロンドンは天気に恵まれ暖かい日が続いています。


今日の夕方、ロンドンを発つ予定ですが、今回得た知見をまた今後の仕事に活かして行ければと思っています。