★☆★JNSAメールマガジン 第94号 2016.9.9☆★☆
(JNSA幹事/アルテア・セキュリティ・コンサルティング 代表 二木 真明)
前回配信された匿名氏と一緒にシンガポールまで行って来ました。今回は、少し個々のセッションに踏み込んで紹介します。
今回は脅威情報系のセッションを中心に聞いたのですが、中でもDark WebやDeep Webを基盤としたブラックマーケット、とりわけ東欧の状況を紹介したセッションは非常に印象的でした。実社会のビジネスにおいては、いまや世界的な分業化が進み、サプライチェーンが複雑にからみあっています。また、売り手と買い手の関係においては、リピーターを少しでも確保すべく、サポートの充実が課題となります。このことは、裏社会のビジネス、とりわけネット上のビジネスにとっても同じのようです。
実際、たとえば、闇市場では、マルウエア、攻撃ツール、フィッシングメールの文面といった道具、属性別に分類されたメールアドレスなど攻撃に必要な情報、そして、実際にハッキングを実行するサービスやハッカー養成講座まで存在します。また、いずれも、きちんとしたアフターサポート付きで、たとえば、マルウエアは、アンチウイルスに検知された場合、一定期間は新しいマルウエアを提供するサポート、情報については一定期間の更新情報提供、ハッカー講座に至っては、卒業後の仕事斡旋といった充実ぶりです。
たとえば、ロシア・東欧圏の犯罪組織の多くは、いまやこれらを自前で組み上げることはせず、こうしたマーケットから調達して悪事を働いているとのことで、ちょっと驚きでした。しかし、同じニーズがあれば同じような仕組みができあがるのは必然ですから、納得のいくところでもあります。逆に考えれば、実社会で起こっていることをヒントに裏の動きを先読みするといったことも可能かもしれないと感じました。
違ったカテゴリのセッションでは、開発系のセキュリティセッションも一つ聴きました。ビジネスの変化が激しくなっている現在、それに合わせて情報システムを、いかにすばやく適合させていくかがITの大きな課題です。
旧来型のウォーターフォール型開発モデルは世界的には破綻しつつあり、とりわけネットビジネスの世界においては、まったく対応出来ません。このため、迅速な開発が可能なアジャイル開発の考え方が広まってきましたが、現在、こうした開発と従来対立してきたシステム運用を統合することで、相互のフィードバックを促し、より素早く新しいサービスや機能をリリースするという手法、DevOps(evelopment/perations)広がり始めています。
一方、こうしたアジャイルな開発手法は、徹底的な効率化が求められ、セキュリティに関する要求事項はその足を引っ張る原因にもなりがちです。こうした開発でセキュリティを低下させず、なおかつ開発の効率を落とさないという一見矛盾した課題に、我々は取り組まなくてはなりません。もちろん、最初の一歩は Security By Design つまり、設計段階からセキュリティを意識することなのですが、スパイラルモデルのアジャイル開発では、設計という概念そのものが変わっていて、これだけでは不十分です。
一つの方法は、DevOps自体のやりかたにヒントがあります。
DevOpsでは、リリースまでの時間を短縮するため、テストから導入までの多くのプロセスが自動化されます。この自動化されたプロセスの中にセキュリティ上のテストを組み込んでしまうことで、開発プロセスの中にセキュリティを組み込んでしまうことが可能です。これらのテストは「静的アプリケーションセキュリティテスト」(Static Apps Sec Testing:SAST)「動的アプリケーションセキュリティテスト」(Dynamin AppSec Testing:AST)そして「対話型アプリケーションセキュリティテスト」(Interactive AppSec Testing)と呼ばれる3段階からなり、その結果は機能テストの結果と共に開発にフィードバックされ、ただちに修正されます。
一方で、これとは別に、アプリケーション自体のフレームワークに防御機能を組み込んでしまおうという動きもあり、従来運用側で対応していたIDS/IPSやWAFといった防御機能を、フレームワーク(ライブラリ)内に入れてしまうことでアプリケーションと一体化させ、自己防御させようという試みです。これは、RASP(Runtime Applivcation Self-Protection)と呼ばれます。これも、DevOps(開発運用統合)のひとつの考え方でしょう。こうした要素を取り込んだDevOpsはSecure DevOpsもしくはDevSecOpsなどと呼ばれます。
このセッションのスピーカの言葉も印象的でした。
「現在のような変化の激しいビジネス環境では、セキュリティ専門家も、マインドセットを大きく変えないといけない。ビジネスの足を引っ張るようなことを言った瞬間にクビになると思って、そうならないようにセキュリティの枠組みを考え直すべきだ」とのこと。なかなか痛い一言でした。我々は、セキュリティの動向だけでなく、世の中のITの方向にもっともっと敏感でなくてはいけないと感じた次第です。
ところでシンガポール在住の知人によれば、今年の7月の気候はちょっと異常とのことです。例年なら8月から始まる雨期がもう始まったかのような天気になっているとのことで、実際に開催期間中も毎朝土砂降りの雨になるといった不順な天気が続きました。米国海洋大気局(NOAA)によれば、7月は世界的に記録的高温だったとのこと。サイバー空間もさることながら、現実世界の温暖化も次第に深刻化しているようです。
さて、このところ毎年行っているシンガポールのRSAですが、年々日本からの参加者が減っている感じもします。毎年、日本からわざわざ英語の講演をシンガポールまで聴きに行く人は、ある意味で奇特なのかもしれせん。そういう意味では、また日本でのイベントが復活することを期待したいところですね。