目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ:セキュリティ・アディッショナルタイム(24)(1/4 ページ)
2018年8月にセキュリティカンファレンス「Black Hat USA 2018」が開催された。Googleによる基調講演や、「モグラたたきを終わらせ、根本的な原因を解決する」ための取り組みを実践した企業による講演の模様をお届けする。
Googleの「プロジェクト・ゼロ」を率いてきたParisa Tabriz氏の基調講演
Black HatやDEF CONといったセキュリティカンファレンスの「華」は、ありとあらゆるシステムで見つかる新たな脆弱(ぜいじゃく)性だ。Windows OSだけではなく車やドローン、選挙の投票機、警官が身に着けるボディーカメラまで、あらゆるものがセキュリティ研究者の解析の対象となり、脆弱性が報告されてきた。
だが、現場の担当者にとって本当の問題は、それからだ。発覚した問題をどのように修正し、悪用する攻撃から守っていけばよいか――そのために開発元は次々にパッチを作ってはリリースし、セキュリティ業界はさまざまな「ソリューション」を提供してきた。しかし、状況は好転しているとは思えない。依然として、穴が見つかっては慌ててふさぎ、また別の穴が見つかり……という「もぐらたたき」が続いている。
2018年8月に開催された「Black Hat USA 2018」の基調講演に登場したParisa Tabriz氏は、会場に向け、この「モグラたたき状態に終止符を打たなければならない」と呼び掛けた。同氏は、さまざまな脆弱性の発見、修正を目的にGoogleが進める「プロジェクト・ゼロ」を率いてきた人物だが、自らの実践を踏まえ、3つのポイントを紹介した。
モグラたたきを終わらせるために取り組んだ3つの事柄
Googleのプロジェクト・ゼロは2014年にスタートした。ChromeやAndroidといったGoogleが開発した製品だけではなく、サードパーティーが開発したものも含め広く脆弱性を見つけ出し、修正を促すことによって、「インターネット全体を安全にしていく」(Tabriz氏)ことが目的だ。
同プロジェクトはこの4年あまりで1400件以上の脆弱性を発見しており、最も直近の「成果」としては、CPUに発見されたMeltdown/Spectreの脆弱性が挙げられる。ただ「発見した脆弱性の数も重要だが、それ以上に、守りを向上させるための攻撃的なセキュリティパイプラインについて、理解を深める役割を果たしたことが重要だ」とTabriz氏は述べた。
Tabriz氏は「根本的な問題に取り組む」「タイムラインを設定し、達成した暁にはそれを祝う」「周囲の理解を得て仲間を作る」という3つのポイントを紹介した。
根本的な問題に取り組む
まず根本的な問題に取り組む手法として、トヨタ自動車でも提唱されてきた「なぜなぜ分析」を紹介。脆弱性が発覚したとして、「なぜこの脆弱性は深刻な結果を引き起こすのか」「なぜこうしたバグ(脆弱性)が生まれたのか」「では、なぜテストで見つけることができなかったのか」……と問題を掘り下げていくことで、目の前の問題だけにとらわれず、本質的な課題を分析していくことが大切だとした。
タイムラインを設定し、達成した暁にはそれを祝う
2つ目の「タイムライン」に関して、プロジェクト・ゼロでは脆弱性を発見するとベンダーに報告し、90日以内に修正しなければ情報を公にする「90日ルール」を設定してきた。これには反発もあったという。それでなくても脆弱性報告は、ベンダーにとっては厄介なものと捉えられがちで、「報告ありがとう」と返事があればいい方だ。
だがこの取り組みを続けることで、「当初は痛みを伴うものだが、大きな前進があった」とTabriz氏は述べた。脆弱性対応に関するベンダー側の姿勢、ひいては組織や文化的な変化が促され、レスポンスタイムも大きく改善した。当初、90日以内に脆弱性を修正する割合は25%にすぎなかったが、今や98%が90日以内に修正を行い、情報を公開するようになったという。
「こうした取り組みによって、攻撃者が脆弱性を悪用するコストを上げることができた。こうした取り組みこそ、根本的な原因の解消に役立つ」(Tabriz氏)
タイムラインが果たす役割について、Tabriz氏がもう一つ例として挙げたのがHTTPS移行の取り組みだ。「HTTPSなしには、インターネットのプライバシーもセキュリティも確保できない」とTabriz氏は言うが、開発者にとっては「HTTPS化に伴ってどんなインパクトが生じるか」「ユーザーにどんな影響を与えるか」といった不安も大きい。そこでTabriz氏らは、業界標準化団体や他のベンダーともコミュニケーションを取りながら、少しずつプロジェクトを進めてきた。またGoogle自身もHTTPS化の透明性レポートやドキュメントをまとめ、公開するといった形で移行を後押ししてきた。
ただ、年単位のプロジェクトだけに、勢いだけでは続かない。変化は大変な作業で時間がかかるものだが、避けることはできない。幾つかマイルストーンを設け、モチベーションを保つよう工夫したそうだ。具体的には、HTTPSにまつわる「Haiku」(俳句)を作ってみたり、うまく目標を達成したときにはお手製の「HTTPSケーキ」(残念ながらクッキーではない)でお祝いしたりと、アイデアを凝らしてきた。2015年は45%だったChromeでのHTTPS化率は、今や87%に達しているという。
周囲の理解を得て仲間を作る
最後に呼び掛けたのは、周囲の協力を得ることの大切さだ。Tabriz氏は自らの失敗例も紹介した。モノリシックだったChromeのアーキテクチャを変更し、マルウェアに感染しても他の部分に影響が及ばないようレンダリングエンジンを隔離する取り組みを進めたが、それには6年という多くの時間を要した。その経験を通じて、「マネジメントし過ぎ」も「相互サポートの欠如」も、どちらもプロジェクトの進行を妨げると体感したという。「会話を通じ、それによって得られる価値やメリットを訴え、理解を得ていくことが大切だ」とTabriz氏は述べ、さらにこう呼び掛けた。
「自分勝手(Jerk)になってはいけない。チームプレイヤーたれ」
昨今、デジタル技術への依存度は高まり、それに伴ってセキュリティに対する要求も高まる一方だ。Tabriz氏は、「状況は複雑化しており、なすべきこともまだまだ残っているが、私は楽観的だ。私たち次第だ」と述べ、手を取り合い、根本的な問題に取り組むよう呼び掛けた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Codenomicon 2018で語られた「Dev」と「Sec」連携のポイント
「Black Hat USA 2018」に先駆けて2018年8月7日にSynopsysが開催した「Codenomicon 2018」では、セキュリティ担当者と開発者、運用者が一体となってセキュアなアプリケーションを迅速にリリースに必要なポイントが紹介された。 - Flash Playerが廃止、影響は?
2017年7月のセキュリティクラスタでは、「Adobe Flash Player」が話題になりました。脆弱性によってユーザーが攻撃にさらされることが多く、2020年末に廃止されることが発表されて、ようやくかとほっとするツイート、さらには移行について考えるツイートが多数ありました。7月はあまり大きなセキュリティインシデントが発生せず、無事に米国の「Black Hat USA」「DEF CON 25」に遠征できた方が多かったようです。どちらもとても盛り上がったようでした。 - PCデポよりゴルスタより「アカウントロック」が気になる?
2016年8月は、各所で恒例のセキュリティイベントが開催されました。また、PCデポやゴルスタの1件が話題になると同時に、「アカウントロック」や「攻撃手法の公開」の是非について議論が交わされたのでした。