このブログは「風見鶏」が、日々気づいたこと、思ったこと、したことを気ままに綴る日記です。2008年9月に旧ブログから引っ越しました。バックアップをご覧ください。

ゲストログインがうまくできないので、コメントを承認制にしました。スパムでないことを確認の上、公開します。判断はあくまで「風見鶏」の主観で行いますので、文句は受け付けません。(笑)承認が遅れることもままあると思いますが、あしからず・・・

システムトラブルのため、2015年以降のブログ画像と2018年5月以降の記事が消失しました。画像は鋭意、新しい物から順次復旧中ですが記事については残念ながら戻せません。残念ですが、あきらめます。

なお、ここに書いていることは、あくまで個人的な思いであり、いかなる組織をも代表、代弁するものではありませんし、無関係ですので念のため。

CSI2010初日

| コメント(0) | トラックバック(0)

今日はCSI2010コンファレンスの初日。天気は回復して、朝の月。キーノートが8時と早いので、7時半ごろにホテルを出て、まずはバッジのピックアップに向かった。常連組も集結。

今日のキーノートはGeneral Dynamics の Jim Jaeger氏。フォレンジックの専門家としてDoDのサイバー犯罪センターや空軍の要職にあった人物。

こうした経験から、昨今のサイバー犯罪の傾向やそれにどう立ち向かっていくかなどについて、色々と興味深い話があった。最近、我々も感じている傾向をすべて語ってくれた感じだ。印象に残った部分を列挙すると、たとえば、サイバー犯罪のプロは攻撃手段や対象にできるだけ、リスクが低いものを選ぶ傾向があるということ。その結果として、複雑な脆弱性ではなく、SQLインジェクションのようなありふれた手段が多く使われ、攻撃対象はガードが固い大組織よりは比較的守りが弱い中堅企業などに移っているということ。ちなみに、特定の組織が標的にされた事件の87%強でSQLインジェクションが攻撃方法として使われており、中堅企業に対する攻撃は、2009年において、2008年の3倍あったとのこと。攻撃に、マルウエアが使われることも非常に多くなり、伴って、ここ2年ほどの間にマルウエアの発生数が激増したため、AVベンダで、旧来のシグネチャ(パターン)ベースの検出手法が、ほぼ破綻してしまったことなど。

一方、防御側はこうした傾向になかなか追従できず、遅れをとりはじめている。攻撃が高度に洗練されたものになる一方、それに対処できるリソースは限られるため、防御側が、社会的に連携できる形をうまく作っていくことが必要だとのこと。また、人材育成についても、特に若者の育成に力を入れるべきで、才能がある若者がダークサイドに堕ちる前に、きちんと教育して正しい方向に導いていくことが必要。空軍が行っている、そうした教育支援プログラムの話もあった。官民の専門家が協力して守りを固めていく形は、特に官側での縦割り構造がネックになりがち。米国では9.11以降に垣根を取り払う動きが顕著になったが、日本ではいまだに縦割り構造が続いていて、こういう動きは望み薄な感じがする。なんとも寂しいような、うらやましいような話だ。

キーノートのあと、とりあえず午前中はクラウド関連のセッションを2つ。しかし、そろそろ「クラウドセキュリティ」はネタぎれになりつつあるかもしれない。もともと、クラウド固有の問題は非常に限られていて、最終的に技術的な視点に落とすと、既存の問題の延長に落ち着いてしまうように思える。そういう意味で、多少聞き飽きた内容のセッションだった。

会場の隅にこんなものが・・・・。そういえばハロウィーンの時期か。たしかに、セキュリティ屋にとって、情報漏えいは、ちょっとしたホラー気分かもしれないけど。

午後は仮想化関連のセッションを2つ。クラウドとも絡むのだが、仮想化のセキュリティはクラウドというよりも仮想化技術固有の問題だと思う。また、仮想化といえばどうしてもハイパーバイザレベルの脆弱性問題などが大きく取り上げられがちになるが、2つのセッションに共通していたのは、むしろ、難易度が非常に高いゲストOSからの攻撃よりも先に、マネジメントネットワークの構成や防御などをきちんと考えるほうが先だという意見が目だった。実際、昨年を見ると、ハイパーバイザが攻撃されて実害が出た例は1件も報告されていないという。一方で、SQLインジェクションのようなありふれたものが攻撃されるケースは増加しているから、まずはゲストOS側の、これまで語りつくされているセキュリティを再確認することと、直接的にハイパーバイザへのアクセスが可能なネットワークへのアクセスをきちんと制限し、監視することが対策の中心だとしている。脆弱性は見つかれば対応すればいい。あとは、ハイパーバイザの種類によっても、脆弱性のリスクがかわる。いわゆる、ホストOSを持つタイプ2のハイパーバイザや、ハイパーバイザが最下層に位置するタイプ1でもESXiのPosix shellやXenのDom0などは、脆弱性を利用して他のVMを攻撃するための踏み台になる可能性はある。一方、ESXはこうしたものがハイパーバイザ内に存在しないため、実質的なリスクはほとんどないという話だった。

あと、VMWare Toolなどのいわゆる仮想ドライバはできるだけ使わず、ハイパーバイザ側で100%制御できる通常のH/W用のドライバのみを使うことで、こうしたドライバの脆弱性による攻撃を回避できるほか、ハイパーバイザの管理セッションがのっとられることを防ぐために、管理クライアントとハイパーバイザ間のSSL通信では、クライアント側の証明書も合わせて認証に使用することなども挙げられた。こうしたマネジメント系のネットワークはファイアウォール(仮想ではなく、通常のH/Wで構成されるもの)で保護し、管理者は、内側に置かれた管理者用の専用サーバにリモートデスクトップで一旦ログインしてから管理クライアントにアクセスすることで、ファイアウォールの通信許可をRDPのみにして、侵入リスクを減らす方法なども紹介された。

また、なんでも仮想化するのではなく、対象をきちんと選ぶことも必要。たとえば、特定のH/Wによってセキュリティが左右されるようなもの、たとえばTPMを使うようなシステムの仮想化は慎重に行う必要がある。仮想環境からそのH/Wを正しく利用できるかどうかの確認が必要だ。そういう意味で、仮想アプライアンスばかりを多用するのではなく、セキュリティ関連の機能は必要に応じて非仮想のものを使う判断も重要。

2セッション目のパネルディスカッションは、こんな話も飛び交って、結構面白かった。

セッションの合間に、ちょっと外を散歩。

気持ちがいい天気だが、ちょっと蒸し暑い感じ。散歩すると少し汗をかく。

木々が色づいて、空の色も秋深しといったところ。

夕方は、展示会場で飲み物と軽い食べ物が出たので、とりあえずそれで夕食をすませた。日本もなんとかしなくちゃなぁ、というのが常連組共通の思い。

そんな感じで1日が暮れた。今回は2日間なので、明日1日。明日は、いろんなジャンルのセッションをあれこれ聞いてみようかと思っている。3時間積み増したので、まだ時差ぼけは多少あるが、なんとか今日は落ちずにセッションを聞くことができた。今夜は良く寝て明日もがんばろう。

トラックバック(0)

トラックバックURL: https://www.kazamidori.jp/MT/mt-tb.cgi/385

コメントする

月別 アーカイブ

この記事について

このページは、風見鶏が2010年10月29日 09:07に書いた記事です。

ひとつ前の記事は「DC到着」です。

次の記事は「CSI2010 二日目」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。