米国発セキュリティトレンドレポート
Hadoopでスパム対策も
「クラウドで守る」「クラウドを守る」
高橋 睦美
@IT編集部
2010/5/11
クラウドというインフラを活用してどうセキュリティを高めるか。そして、クラウドコンピューティング環境のセキュリティをどのように確保するか。RSA Conference 2010の会場からその解を探る(編集部)
米国サンフランシスコで3月初めに行われた「RSA Conference 2010」における最大のキーワードは「クラウドのセキュリティ」だった。企業におけるクラウドコンピューティングの利用が本格化してきたことを受け、具体的な課題に踏み込んできたという印象だ。
切り口は大きく2つに分けられる。1つは、クラウドというインフラを活用してどのようにセキュリティを高めるかというもの。そしてもう1つは、クラウドコンピューティング環境においてセキュリティをどのように確保するかだ。
この波は遠からず国内にも押し寄せてくるだろう。情報セキュリティExpoやInterop Tokyoといった展示会でも、その流れを見ることができるかもしれない。このレポートでは主にクラウドという観点から、セキュリティトレンドがどこに向かっているかを紹介しよう。
 |
Hadoopを使ってスパム対策に取り組むヤフー
クラウドという高い可能性を持つ技術を活用して、セキュリティを強化しよう――基調講演に登場したセキュリティ関連ベンダ各社は口をそろえた。
その代表的なアプローチは、インターネットを介して情報を集約し、集合知の力で迅速なマルウェア対策を実現しようというものだ。マルウェアに関する情報、それをばらまくサイトのIPアドレスや更新間隔、地理的位置に関するさまざまな情報を収集し、セキュリティベンダ側のデータベースに格納する。そして、シグネチャだけでは判断できない不審なプログラムに遭遇したときには、クラウド上にあるデータベースに問い合わせ、最新の情報を得ることによって、適切に判断を下す。
エンドポイントを保護するウイルス対策ソフトウェアの多くは、これまで、ローカルにダウンロードしたシグネチャに検出処理の多くを頼ってきた。しかし新種・亜種のマルウェアの急増にともない、シグネチャのみに頼る方法ではマシンやネットワーク帯域への負荷が高まるうえ、最新版配布までのタイムラグが課題になっている。だがこのやり方ならば、負荷を掛けずに、迅速に新種を見分けることができるというわけだ。
| 【関連記事】 クラウド移行時の懸念「セキュリティ」を払しょくせよ http://www.atmarkit.co.jp/news/201003/03/rsa.html クラウド普及にともなう課題はプライバシー http://www.atmarkit.co.jp/news/201003/03/rsakeynote.html クラウドを通じて「セキュリティ業界の知恵」を共有 http://www.atmarkit.co.jp/news/201003/04/rsa_mcafee.html |
ユニークなところでは、クラウドコンピューティングを支える技術の1つである分散処理フレームワーク「Hadoop」をスパム対策に利用している米ヤフーの例がある。同社は「Yokai and the Elephant」と題するセッションで、その概要を説明した。
同社のプロダクトマネジメント担当シニアディレクター、マーク・リッシャー氏は、スパムメールを「刻々とさまざまに姿を変える、日本の『妖怪』のようなもの」と表現。ブラックリストやヒューリスティック分析、あるいは近年一般化してきたオンラインレピュテーションモデルでさえ、この妖怪をとらえることができないという。
なぜレピュテーションモデルが壁に突き当たっているかというと、スパムメールの送信元が次々に変わるからだ。昨日までは信頼できていたドメインから、ある日突然、大量のスパムメールが送信されるというケースも珍しくない。そこで、より迅速に送信元ドメインの信頼性を計算する必要が生じるのだが、それには大量の解析作業が必要となる。だが従来型の解析手法では時間が掛かりすぎるという課題があった。
この壁をヤフーは、Map/Reduceを活用することで破った。「グリッドコンピューティングインフラのHadoopを活用することで、スパム送信元の解析を素早く行えるようになった」(リッシャー氏)。
実際に開発に当たったヴィシュワナス・ラマラオ氏によると、Hadoopにスクリプト言語の「Pig」、データマイニングライブラリの「Mahout」などを組み合わせ、「スパムらしいドメイン(Spammy Domain)」を高速に見つけ出す仕組みを実装したという。IPアドレスやドメイン名、メッセージサイズに日時といった多数の要素をデータベースにセットして解析を行い、スパム送信元を検出する仕掛けだが、「分散処理を行うため、2日間なんて長時間待たなくとも、数分で答えが戻ってくる」(ラマラオ氏)。
スパマーはまた、正しいメッセージを互いに送って、信頼できる送信元のように偽装する「ゲーミング」といった処理を時折行う。ラマラオ氏によるとこの実装では、どのIPアドレスがどのIPアドレスを信頼できると判断しているのかという相関関係を解析することによって、こうした偽装にも対処できるという。
日本からの参加にも期待、業界団体CSAの取り組み
カンファレンスでは、クラウド基盤自体のセキュリティをどのように高めていくべきかについても活発な議論が交わされた。
まず前提として、クラウドコンピューティングを取り囲むセキュリティリスクには何があるのか。クラウドのセキュリティ向上を目的に掲げる業界団体、Cloud Security Alliance(CSA)はRSA Conference 2010に合わせて、HPの協力を得てまとめた、クラウドのセキュリティリスクに関する調査結果「Top Threats to Cloud Computing」を発表した。
 |
米CSA 共同設立者 アクティング・エグゼクティブ・ディレクター ジム・レビス氏 |
「この調査結果でも述べているが、『安全ではないAPI』が懸念事項の1つだ。こうしたAPIが悪用されれば、サービスが簡単に乗っ取られ、重要な情報を盗み取られる恐れがある。また簡単にマッシュアップできるがゆえに、安全な開発ライフサイクルをどのように確立するかという問題も無視できない。さらに、低いレイヤのインフラが侵害されるとハイパーバイザまで悪意ある攻撃にさらされるという恐れもある」
米CSAの共同設立者でアクティング・エグゼクティブ・ディレクターのジム・レビス氏は、クラウドを取り巻く危険性についてこのように述べた。ちなみにCSAとIEEEとの共同調査でも「回答者の93%が、クラウドコンピューティングのセキュリティに関する標準は重要だと考えている」「標準策定において、データのプライバシー、セキュリティ、暗号化が喫緊の課題と考えられている」という結果が出たという。
それゆえに「信頼できるリファレンスモデルが不可欠だ」(レビス氏)。
具体的には、企業が安心してクラウドおよびSaaSを利用できるよう「信頼できるID管理」のためのリファレンスモデルを策定していく計画だ。2010年第3四半期には何らかの候補を公開する方針という。
CSAはまた、安全なクラウドコンピューティング実現に向けたプラクティスをまとめたガイダンス「Security Guidance for Critical Areas of Focus in Cloud Computing」も公表している。最新バージョンは2.1だ。これには13のドメインに分け、100あまりのコントロールが含まれており「PCI DSSやHIPPAといった業界標準へのマッピングが可能」(レビス氏)という。
実際、コンプライアンスの観点からこれを有益であると評価する声もあった。「PCI Inplications for Cloud Computing」と題するパネルディスカッションの中で、米イーベイのリアム・リンチ氏は「データはあらゆる場所に動く可能性がある」と指摘し、コンプライアンスやセーフティに取り組む出発点として、こうしたガイドラインは有益だと述べた。レビス氏はさらに、「人々がクラウドの上でどんなことをしているかを把握できるよう、もっときめ細かな、アプリケーションレベルのモニタリングが必要になるだろう」とも述べている。
レビス氏は「クラウドのセキュリティに対して、すべての人々が責任を持つべきだろう」と述べ、セキュリティ業界の積極的な参加を呼び掛けた。また「先日日本を訪問して、経済産業省や情報処理推進機構(IPA)と意見交換を行った」ともコメント。6月をめどに具体的な動きを起こす予定で、日本からの積極的な参画にぜひ期待したいと述べている。
| 【関連リンク】 Cloud Security Alliance (Top Threats to Cloud Computingのダウンロード、PDF) http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf (ガイダンスのダウンロード、PDF) http://www.cloudsecurityalliance.org/csaguide.pdf |
1/2 |
 |
| Index | |
| Hadoopでスパム対策も、「クラウドで守る」「クラウドを守る」 | |
 |
Page1 Hadoopを使ってスパム対策に取り組むヤフー 日本からの参加にも期待、業界団体CSAの取り組み |
| Page2 AWSのセキュリティ対策、暗号化実装のアイデアも クラウドを踏まえたIDのセキュリティ 【コラム】 専門家が挙げる8つの「要注意手法」 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
