PR

Forrester Research, Inc.
Michael Gavin Senior Analyst
Jennifer A. Mulligan Researcher
Paul Stamp Senior Analyst
Khalid Kark Senior Analyst
Ronald J. Furstoss Research Associate


本記事は日経コンピュータ2006年9月18日号の連載をほぼそのまま再掲したものです。記事は執筆時の情報に基づいており,現在では異なる場合があります。

 2006年8月2~3日に米国ラスベガスで開催されたセキュリティ技術のハッカー向け会議Black Hat USA 2006。例年であれば、最新技術に潜むセキュリティ上の弱点が暴き出され、大騒動を引き起こしていたものだ。

 しかし今年は、これまでより落ち着いた雰囲気の、成熟した内容になっていた。特に前年までほとんど欠落していた、防衛する企業側の視点にも光が当たっていた。

攻撃用ツールは味方にもなる

 今回の会議における重要なトピックは三つあった。まず、攻撃用ツールの防衛への活用である。

 多くの登壇者が、攻撃用ツールを利用して、防御壁が貫通されないかどうか検証することを推奨した。システムに設置した攻撃対策の有効性を検証できるだけでなく、攻撃者がどのような視点でシステムを攻撃するかを理解するのに役立つためだ。

 この種類の講演を手がけたのは、米マカフィーの子会社の米ファウンドストーンや、米SPIダイナミクス、米ホワイトハット・セキュリティなど、セキュリティ・コンサルティングを提供する企業だ。

 これらの企業はセキュリティ業界の将来を見据えており、セキュリティ技術のスキルを磨くための研究を欠かしていない。その成果は顧客を安全にするために使われる。

管理職向けには鳥瞰的な話題を

 2番目のトピックが、管理職でもわかる攻撃に関する情報の提供である。女性管理職向けのフォーラムのパネルは、もっと鳥瞰的なレベルで説明することの重要性を語ったものだった。

 パネリストはセキュリティ技術の重要性を認識していたし、インフラにおけるサポートを技術的にいかに整備するかは最重要課題であると考えている。しかしそれを実践するには、上司をうまく説得するかが重要であり、そこに心血を注いでいると語った。例えば、上司にわかる言葉で説明することを心がけたという。つまりコストやブランドの維持、法令順守といった観点で説明することが重要である。技術に立脚した話をしても、通常無視されてしまうという。

ベンダーが協力的に

 3番目のトピックがベンダーと研究者の関係である。これまではベンダーとセキュリティ研究家の仲は悪く、利害が対立する状態だった。それが、変わってきたことを今回のBlack Hatは示していた。

 マイクロソフトはVistaのセキュリティについて、6個のセッションで情報を提供した。これは、今までのセキュリティ研究者との関係からすると、大きな戦略転換だと言える。

 これまでマイクロソフトはあまりセキュリティ研究者に対して協力的ではなかった。プレゼンテーションといえば、マーケティングのためのものばかりだった。

 しかし今回のプレゼンテーションは明らかに違っていた。大規模で実践的なセキュリティ工学に取り組んでいることを表明することが目的だったためだ。さらにマイクロソフトは、最新のVistaのベータ版をセキュリティ研究者に配布し、欠陥を見つけたいという研究者の欲望にアピールした。

 Black Hatは、ベンダー特定のトラックを設けることによって、セキュリティ強化のためにベンダーと協力する意欲を示すことに成功した。例えばシンガポールのCOSEINC社で働くセキュリティ研究家ジョアンナ・ルツコウスカ氏は、Vistaカーネルのハッキングに関するプレゼンテーションを実施。認証用コードの検証をくぐり抜ける手法や、ウイルス対策ソフトから悪意のあるコードを見えなくする手法を紹介した。立ち見席のみだったが、場内は満員で熱気に包まれていた。