すご腕バグハンターたちが報奨金制度運営者と本音トーク：「＠ITセキュリティセミナー（東京）」レポート2016（3/4 ページ）

[谷崎朋子，＠IT]

バグハントを長く続けるためには

　課題も多い報奨金制度だが、最近では「バグハンターになりたい」と思う人も増えている。バグハンターに求められる要素とは何なのだろうか？

　東内氏は「面白がること。新しい見つけ方を発見したら身近なところで試し、それが成功したときに『楽しい！』と思えれば長続きする」と述べる。西村氏も「稼ぐことを中心に据えるのではなく、技術の向上や知的好奇心を満たすことを目的にすれば、継続して取り組めるのではないか」と同意する。肩ひじを張らないメンタルがバグハンターを続けるコツなのだろう。「疲れたら他のことをやればいい。その経験が最終的にバグハントなどに役立つこともある。自分自身、バグハントに飽きてゲームで遊んでいたところ、数年後にゲームのチートを解析することになった。リフレッシュは大切だ」（平澤氏）。

　一方、報告制度を設置する企業側も、報告を受け続けるには根気と体力が必要だと伊藤氏は言う。「こうした制度を常設することは長距離走に似ている。根を詰めすぎると倒れてしまう。一人で抱え込まずにチームとして回していく体制作りを考えるのが、長く運営するコツだ」（伊藤氏）。

ソフトウェア開発に「サインオフ」概念を取り入れよ

日本シノプシス ソフトウェア インテグリティ グループ　セールスエンジニア 林慶一郎氏

　講演「ソフトウェア開発のサプライチェーンにおける脆弱性と品質の管理」では、日本シノプシスの林慶一郎氏が、ソフトウェアの品質とセキュリティを管理する「ソフトウェアサインオフ」の概念を提案、実現するためのポイントを解説した。

　サインオフとは、ASICなどの受発注契約で、発注側の電子機器メーカーと受注側の半導体メーカーがそれぞれの設計の正しさを相互に確認するプロセスを指す。この概念をソフトウェア開発でも導入することで、セキュアかつ品質の高いソフトウェアを実現できると林氏は述べる。

　シノプシスでは、ソフトウェアサインオフに対応する製品を2つ用意している。1つは、静的コード解析ツール「Coverity」、もう1つは未知の脆弱性をプロアクティブに検出、修正するテストプラットフォーム「Defensics」だ。

サインオフの概念を取り入れたシノプシスの製品群

　「報告されるセキュリティインシデントの約90％は、ソフトウェアの不具合に対するエクスプロイトが要因で、大本をたどれば開発段階で見過ごされたミスに行き着く。サインオフを導入すれば、コードチェックインやビルドなどのフェーズごとにソフトウェアの品質を確認し、セキュアで品質の高いソフトウェアをアジャイルに開発し、ミスを最小限に抑えることが可能になる」（林氏）

急増するWebサイト改ざんへの2つの対策

シマンテック・ウェブサイトセキュリティ プロダクトマネジメント部 主任 佐藤智典氏

　シマンテック・ウェブサイトセキュリティの佐藤智典氏による講演「相次ぐサイト改ざん攻撃にどう見えるか？〜オンラインサービスを狙う攻撃手法とWAFによる最新のリスク対策〜」では、同社が提供するWebサイト攻撃対策が紹介された。

　佐藤氏は、76％のWebサイトは何らかの脆弱性を抱えている上、同社が2011年1月から2014年8月まで国内657サイトを対象に調査を行ったところ、2013年後半から攻撃が一気に増えており、対策が急務であると述べた。

　その対策のキーワードが「CAPD」だ。これはいわゆる「PDCA」（計画・実行・評価・改善）を「C」の「評価」から回していく考え方だ。「現行のシステムを評価し、現状を可視化、把握することで何を守るべきか、次にどのような改善を行うべきかが見えてくる」（佐藤氏）。

現状把握を軸に回るCAPD

　現状の把握を支援するソリューションとして、シマンテックでは詳細な脆弱性診断を実施する「シマンテック セキュリティ診断サービス」や、改修中の無防備なWebサイトを攻撃から守る「シマンテック クラウド型WAF」を提供している。特にクラウド型WAFは短期間で導入でき、佐藤氏によれば「SQLインジェクション攻撃で改ざん被害にあった大規模サイトを、全面閉鎖から17日後には再開にこぎつけた」こともあるという。

ログ管理ツールとSIEMの違い、その連携の可能性

インフォサイエンス プロダクト事業部 シニア・コンサルタント 稲村大介氏

　続いて講演「外部脅威に備え、内部漏えいを防ぐ、ログ・モニタリングの最適解」では、インフォサイエンス 稲村大介氏が「ログ管理ツールは、個人情報保護法やマイナンバー、不正アクセス禁止法など、法令やガイドラインの対応策として、受け身で導入しているケースが多い」と指摘。実際は、セキュリティ対策の制御が本当に効いているのかをしっかりモニタリングしなければ意味がないと強調する。そこを担うのが、ログのリアルタイム監視を実現するSIEMツールだ。

　「監査目的のログの保管や検索、定期チェックには統合ログ管理ツールが最適で、よりアクティブな常時監視にはSIEMツールが最適だ」（稲村氏）

　例えばインフォサイエンスでは、統合ログ管理システム「Logstorage」を提供している。企業内やクラウド上のログデータを一元管理、監視する同システムは、個人情報を含むファイルへのアクセス件数やUSB接続ログなどを相関チェックし、申請外のアクセスを試みたユーザーに対しては確認をとって抑止し、情報システムが適切に運用されていることを証明する。

　また、SIEM製品「Logstorage-X/SIEM」とLogstorageを連携させれば、リアルタイム分析やダッシュボードによる状況把握、相関ルールに基づくアラート通知などで積極的な外部脅威対策も実現できるという。「内部対策にSIEMは必須ではないが、より進んだ外部脅威対策として、目的に応じて連携させるのであれば検討の価値がある」（稲村氏）。

統合ログ管理システム「Logstorage」とSIEM製品「Logstorage-X/SIEM」の連携ソリューション