japan.internet.com Webテクノロジー - 変わるものと変わらないものへの対応―セキュリティの脆弱性

｜

	トップページ
	Webビジネス
	Eコマース
	Webファイナンス
	Webマーケティング
	パブリック
	Webテクノロジー
	携帯・ワイヤレス
	Linux Today
	Linux Tutorial
	J.I.C.ブログ

	転職ならen
	派遣ならen
	アルバイトならen
	ＩＴ求人情報

	今日のヘッドライン
	週間ヘッドライン

	求人情報はe-aidem
	ロレックス
	合宿免許
	フォトコミュニティ
	ストックフォト
	クリップアート
	イラスト

	イベントカレンダー
	書評「IT の耳」
	出張・接待検索
	ニュースガジェット

	新規登録
	変更・解除
	オプトインメールの登録・変更・解除

	パートナーサイト
	転職ならエン就職ならen 求人ならen 履歴書ならen アルバイトならエン CRM/SFAならオラクル
	会社概要（地図）
	グループ会社
	株式会社アエリア (株)サンゼロミニッツ株式会社エアネット
	お問い合わせ
	広告掲載について
	リンクについて
	著作権について
	その他お問い合わせ
	利用規約
	個人情報保護方針

Webテクノロジー

2008年4月28日 10:00

Webテクノロジー・バックナンバー

変わるものと変わらないものへの対応―セキュリティの脆弱性

著者: AT&T ジャパン株式会社執筆:ソリューション企画部長門野健治プリンター用記事を転送
▼2008年4月28日 10:00 付の記事
□国内internet.com発の記事

映画「ダイハード4.0」ではサイバーテロリストが FBI のサイバーセキュリティ部門に戦いを挑んだ。彼らのような情報セキュリティの攻撃者にはコンピューターやネットワークのシステムの弱点や人間の不完全性、つまり脆弱性を突くのが常套手段である。

この「脆弱性」はかなり特殊な言葉だと思うが、最近の IT 業界では普通に耳にするようになった。そもそも、情報セキュリティの脆弱性はどこから来るのか。大雑把に言えば、コンピューターシステムそのものと、それを管理し利用する人間の特性の二つに分けられる。前者をシステム系、後者をヒューマン系に起因する脆弱性としよう。

● システム系の脆弱性とは

システム系の脆弱性は、日進月歩の IT 技術の進歩に深く関係している。コンピューターシステムはもともと利便性を追求・優先するものであり、またその設計思想は、今日見られる攻撃者の存在を前提にしていなかった。

しかし、IT 技術の進歩とともに、システムは高速ネットワークに繋がり、悪意あるクラッカーは遠隔から様々な攻撃を仕掛けられるようになった。最近はセキュリティを意識したシステム設計や開発が重視されるようになったものの、コスト競争に曝される開発現場の裾野までなかなか徹底できない面もある。

一方で、システムを動かすソフトウェアは、高度な機能を実現するために複雑化し、開発やテスト段階では認知できなかったものを含め欠陥やバグが増大し続けている。一旦脆弱性が見つかれば、それに対応する修正プログラム（パッチ）が作られるが、それを適用することで新たな問題を引き起こす可能性を生むという状況になって、パッチ管理自体が膨大な仕事になりつつある。

ところで、Edward Amoroso は著書“Cyber Security”の中で、システム系脆弱性の原因として、複雑なネットワークアーキテクチャーや弱い認証などを並べているが、その中でシステムの多様性の欠如を挙げているのは興味深い。

我々を含む生命体では DNA の多様性が攻撃への防御策となっている。しかし、システムの世界では利便性や経済性のために共通化や相互操作性が追求され、その結果攻撃する側にとっても効率が良くなり、むしろリスクは高まっているというものである。

この状況が一朝一夕に変わるのは現実的には難しいが、将来システムが生命体のように多様性を織り込んだ進化を遂げる時代になれば、システム系の脆弱性のリスクは低減するかもしれない。

● ヒューマン系の脆弱性とは

一方、ヒューマン系の脆弱性は、基本的に人間の不変的な怠慢さに起因している。セキュリティの世界ではよく性善説から性悪説へのシフトという議論があるが、人間の怠慢さはもとより普遍・不変で、昨今のセキュリティ問題は以前からあった潜在的なものの顕在化だとも言える。

原爆開発のマンハッタンプロジェクトに集まった超優秀な科学者たちですら自分たちの金庫を管理できなかった。金庫よりずっと複雑なコンピューターが一般に普及した今日、それを性悪説と呼ぶかどうかは別として、人間の怠慢さ、不完全性から生まれる新たなセキュリティの弱点は絶えない。また、システムが人間の作るものである以上、これは結果的にシステム系の脆弱性にも繋がるのである。そして、攻撃者は、観察やソーシャルエンジニアリングによって比較的容易にヒューマン系の脆弱性を見つけることができる。

日本企業は、このヒューマン系脆弱性がグローバルに不変的な問題であることを理解した上で、必要なルールの徹底、社員教育や監査など、地道なセキュリティ対策を継続する必要がある。

● 情報セキュリティリスクの視覚化が重要

常に進歩する IT 技術と不変に存在する人間の怠慢さ。この2つの要素が複雑に絡み合い、セキュリティの脆弱性は存在している。そして、一般の目からはなかなか分かりにくい。それだけにセキュリティの脆弱性から生まれるリスクの評価、視覚化を含んだ説明方法を工夫する必要がある。幸い、様々な脆弱性診断ツールなどが世の中に出回ってきているが、それらの進化やより効果的な使い方の余地は大いにある。

（AT＆T ジャパン株式会社ソリューション企画部長門野健治）

記事提供：AT＆T ジャパン株式会社

Apple、MVNO での iPhone 発売を検討していた？

グローバル型を目指す日本企業が直面する課題

AT＆T、Android に好意を示す

「ダイ・ハード4.0」は情報セキュリティ攻撃の極み

米国の情報セキュリティは進んでいるのか


	users

★最新トップニュース

	あらゆる Web サイトでコメント共有できる「今コレ」β版（Webビジネス 5月12日 18:00）
	株式会社智理積（チリツモ）は2008年5月12日、Web ブラウザから自由に Web サイトへコメントをすることができるサービス「今コレ」β版のサービスを開始する、と発表した。
	電子カルテを活用した「ポケットカルテ」、試験サービスを開始（Webビジネス 5月12日 18:00）
	特定非営利活動法人日本サスティナブル・コミュニティ・センターの健康・医療・福祉分野情報化プロジェクト「どこカル．ネット」など4社は、電子カルテを活用した医療サービス「ポケットカルテ」（http://pocketkarte.net）を共同開発し、試験サービスを6月1日に開始することを発表した。
	McAfee、安全検索サービス及び安全認定サービス「McAfee Secure」を併せて発表（Webテクノロジー 5月12日 18:00）
	McAfee は5月7日、インターネットの安全性向上を支援する「McAfee」ラインアップを発表した。発表されるのは、「McAfee Secure Search Service」、「McAfeeR Secure for Web Sites」の2種類。
	ALSI、「DocumentSecurity」にファイル持ち出し管理機能を追加（Webテクノロジー 5月12日 18:00）
	アルプスシステムインテグレーション（ALSI）は2008年5月12日、情報漏洩防止ソリューション「DocumentSecurity（ドキュメントセキュリティ）」に新機能として「DocumentSecurity WorkFlow（ドキュメントセキュリティワークフロー）」を追加すると発表した。同機能の提供時期は2008年7月末となる。
	【中国】Intel とアリババ、B2B 取引専用 PC を開発（E-コマース 5月12日 17:40）
	5月12日、Intel と中国電子商取引最大手であるアリババとは2008年、中小企業向けの B2B 取引専用 PC を開発し、中国市場に投入する計画を明らかにした。

	オススメのＩＴ系求人情報【毎週月曜日更新】
<A HREF="http://210.155.151.148/link/?media=807" TARGET="_blank"> <IMG SRC="http://210.155.151.148/img/?media=807" border="0"></A>
<A HREF="http://210.155.151.148/link/?media=808" TARGET="_blank"> <IMG SRC="http://210.155.151.148/img/?media=808" border="0"></A>

	デイリーリサーチ／ DLサイト
	OnlineResearchPortal　(リサーチデータバンク)
	モバイルリサーチ with goo

	ワンセグ		KDDI08春モデル
	Youtube		ソフトバンク08春モデル
	Windows Vista		Google
	テーマ一覧はこちら

第1回インターネットコムマーケティングセミナー「新規クライアントを効率的に獲得する Web マーケティング手法とは」(3月26日)多数のご参加ありがとうございました

	DevX
	CodeGuru
	developer.com

ブログ一覧

【最新テクノロジーの意外な処方箋】

アクセンチュア・テクノロジー・ラボプロジェクト：REST（Reducing Effort in Script-based Testingスクリプトテストの負荷軽減）（5月12日）

【ベンチャー専門家の目利きブログ「なぜこの企業は伸びるのか?」】

「全体が全体のために働きながら、なおかつ自分のために」／株式会社フェリックス（5月12日）

【エンジニアの独り言】

模倣中心のベンチマーク指向（5月12日）

【ジュピターメディア創設者がITを斬る】

ピザで大もうけ（5月9日）

【データメーション】

FBIはこの自由も抑圧できるのか（5月9日）

【japan.internet.com テクノログ】

4月20日（日）～4月26日（土）（4月28日）

【Graphic Design Forum】

愛国心の混乱（4月28日）

【デスマーチからの脱却】

メディアとしてのブログ（4月27日）

	サーチからはじまるインタラクティブエージェンシーユニバーサル検索の普及と検索エンジン対策の変化（5月12日）
	モバイルSEO@フラクタリストモバイル検索エンジンの夜明けと今（5月12日）
	グローバル企業のセキュリティ事情従業員はハッカーと同じ脅威？―多層防御の重要性（5月12日）
	百式のネットビジネス研究元カレにもらったもの専用のオークションサイト「Ex-Boyfriend Jewelry」（5月12日）
	EnterpriseNetworkingPlanet オープンソースのサポート：どのような場合に有料サポートを使用すべきか（5月9日）
	売れる・集客できるホームページの秘訣日本一の個人投資家から学んだモチベーションを維持する方法（5月9日）
	最新ハイテク講座ケータイにも採用！紙のように曲がる不思議なディスプレイ「電子ペーパー」（5月9日）
	アイレップの SEO スタンダード SEO ライティングの原則～検索されやすいコンテンツ作成のポイントとは？（5月9日）
	「IT の耳」【書評】『Howto iKnow!』――英語学習サイト公式ガイドブック（5月8日）
	顧客が喜ぶ Web サイト！成功の12箇条意思決定に役立つ Web 解析1 ～陥りがちな2つの落とし穴～（5月8日）
	DevX Silverlight 1.0でメディアを操作する（5月7日）
	ウィジェット・ガジェットビジネス研究所マイクロソフトの「Windows Vista サイドバーガジェット」戦略（5月7日）

	セキュリティチャネル		テレコムチャネル
	サーチエンジンウォッチ

海外のインターネットコム　アメリカ｜韓国｜ドイツ｜トルコ