Zenn
Open9

情報セキュリティの敗北史

koizumi7010koizumi7010

情報セキュリティの新次元

コンピュータの登場

  • コンピュータの始まりとその発展は米軍が大きく関わっている
    • 1943年に米軍がENIACの設計開発への資金提供を開始したことが始まりとされている
    • 当初の目的は軍事転用を主としていた
  • ENIACの設計者はJ・プレスパー・エッカートとジョン・ウィリアム・モークリー。その後、後継機となるUNIVACの設計も行った。
  • ENIACのオペレーターは史上初のコンピュータプログラマーとされており、それは6人の女性たちだった
  • この時代のコンピューターは人手による入力操作のみで非常に非効率であったが、タイムシェアリング(あるユーザーが作業を中断している間、他のタスクを実行することができる)が可能になり、この問題が解決された
  • ただ、これによりユーザー同士が互いのプログラムを妨害してしまったり、誤って機密データが閲覧できてしまったり、新しいセキュリティリスクが発生する様になった
  • こういった新しく生まれたセキュリティリスクを解決するために、米軍はCIAやNSAなどの国家機関や大手防衛関連企業およびシンクタンクに開発を依頼した
koizumi7010koizumi7010

研究者たちの期待、成功、失敗

  • 1960年代後半ごろから空軍や国防総省がコンピュータに大きく依存するようになってきた
    • 軍のコンピュータシステムに保存されているデータを守らなければならないという機運が高まってきた
    • 当時、コンピュータは高価であったため、使われていない時は一般企業の顧客にレンタルすることで、高額なコストを回収していた。そのため、機密情報を扱う権限を管理するようなセキュリティシステムの調査が急速に進んだ。
    • この調査報告書は Security Controls for Computer Systems(別名、ウェアレポート)として提出された(これが世界初のセキュリティシステムに関する調査報告書)
    • 一般公開されたのは 1975年。そこから産業面にも波及することになる。
  • ウェアレポートについて(by ウィリス・ウェア氏)
    • コンピュータの普及によりユーザーのスキルが向上する一方、そのユーザーを管理するセキュリティ対策が困難になるということを予測していた
    • 「大規模なソフトウェアシステムにおいては設計者も予期しない抜け穴が発生するため、エラーや異常がないことを検証するのは事実上不可能であり、攻撃者はその抜け穴を計画的に探し利用する」と書かれれている
    • [感想] 50年前にこういった文章が書かれていたのは驚き
koizumi7010koizumi7010

CIAの3要素

  • 1972年にアンダーソン・レポートと言われる「コンピュータセキュリティ技術計画調査」が作成された
    • ウェア・レポートでは多くの問題点を指摘したが、その解決策はあまり示されていなかったため、本レポートでは解決策を提案し、それを実現することを目標とした
  • アンダーソン・レポートでの指摘点
    • システムが複雑になればなるほどセキュリティリスクが高まる
    • システムには後付けでセキュリティ対策を施すのではなく、最初から安全なものを設計すべき
koizumi7010koizumi7010
  • ホワイトハットとブラックハットは単なるレッテル貼りであり、当てにならない
    • 夜は脆弱性に関する情報を研究して公開し、日中は自分達が作った攻撃方法に対するシグネチャなどの防御策を書く、といういかにも不条理かつ不明瞭な状況がよく生まれている
koizumi7010koizumi7010
  • プロキシファイアウォールの生みの親であるマーカス・J・レイナム氏も、2000年のブラックハット・ブリーフィングの基調講演にて「ホワイトハットとブラックハットの間には非常に大きなグレーゾーンがある」とセキュリティ分野における寛容さを批判した
  • また、彼はそれに対して会社が元ハッカーを従業員として雇うのはやめるべきだともした
koizumi7010koizumi7010

5. ソフトウェアセキュリティと「苦痛なハムスターホイール」

koizumi7010koizumi7010

OSのセキュリティ

  • ドットコム・ブーム時代にはすでに企業と攻撃者との間にフィードバック・ループが生まれていた

  • 企業は「Penetrate and Patch」(Penetration Test=侵入テストを行って脆弱性を見つけたのちにパッチ適用をする)という手法から、「Patch and Pray」(とりあえず最新のパッチを当てて脆弱性が見つからないように祈る)という手法に変わっていった

  • しかし、新たな脆弱性は必ず発見されるため、専門家からはこの状況を苦痛なハムスターホイールと呼ばれていた

  • そこから月日が経過し、基盤となるOSのセキュリティ対策が重要であることが再認識されてきた

    • いくらアプリケーションレベルの脆弱性に対応したとしても、基盤のOSに脆弱性があった場合はどんなアプリケーションにおいてもセキュリティが脅かされる状況となってしまう(管理者権限を乗っ取られるなど)
    • 90年代以降、OSはUNIXかWindowsの2択となり、家庭用PCではWindowsが大半となった
    • ただ、Windows(他のマイクロソフト製品も)は膨大な脆弱性が発見された
      • Internet Explorerはその脆弱性の多さから Internet Exploder(インターネットを破壊する者) と揶揄された