転換点のセキュリティ技術、焦点はプロファイルへ

2004/10/30

 「ソフトウェアの脆弱性は2004年に転換点を迎えた。ソフトウェアは機能面から効率面への拡張や競争が起きる」。奈良先端科学技術大学院大学情報科学研究科 助教授の門林雄基氏は10月30日に開催された「Network Security Forum 2004」(主催:日本ネットワークセキュリティ協会)でこう述べ、企業のセキュリティ対策について新しい考え方が求められていることを強調した。

奈良先端科学技術大学院大学情報科学研究科 助教授の門林雄基氏

 門林氏は、ソフトウェアの主要な脆弱性の1つであるバッファ・オーバーランを防止するテクノロジが2004年に商用OSに導入され始めたと説明。バッファ・オーバーランのテクノロジを搭載したLinuxやWindows Server 2003 Service Pack1やWindows XP Service Pack 2の登場で「ついにスタック上のバッファ・オーバーランについては未然に防げるようになる」と述べた。

 門林氏は今後のセキュリティ対策の方向性として「安く、簡単、安全なセキュリティ技術をITインフラ全体に浸透させないといけない」と主張。しかし、そのようなITインフラを実現するにはセキュリティ技術をデマンドサイドがリードすることが求められると訴えた。現状は「サプライサイドがマーケットを支配している状態」で、同じ技術を採用した製品が別々の名称で販売されるなど「消費者が混乱している」と門林氏は指摘。「デマンドサイドを含めた全体最適ができているかというと、それはうそだ」と述べた。

 では、ユーザー企業がセキュリティ技術を正確に判断し、システムの全体最適を可能にするにはどのような環境が必要になるのか。門林氏は「クリアリングハウスが必要」と述べた。クリアリングハウスとは情報交流の場。門林氏は「サプライサイドはどの技術がよいか知っている。そのような情報を出すことで、よい技術や製品が生き残る」と語った。技術や製品についての指針をサプライサイドが示すことで、低価格競争に巻き込まれて優秀な技術や製品が市場に埋もれてしまうことを防げるという。

 もちろん、ベンダにとってクリアリングハウスは直接の利益を生み出さず、場合によっては競合を助けることになるかもしれない。しかし、優秀な技術を持つベンダであれば、クリアリングハウスにおける評価が高まり、ユーザー企業の支持を受けるだろう。門林氏はクリアリングハウスを構築するには「エンジニアのノン・プロフィット活動が重要」と述べ、自由な発想に基づくエンジニアの活動が求められるとした。

 門林氏はまた、セキュリティ機器が単機能のコンポーネントベースから、複数の確立された技術を組み合わせたポートフォリオベースに移行することで、より効率的なITインフラの構築が可能になると説明した。「認定された機器やソフトウェア、技術の集合体をレイティングするのが重要。最も成功したプロファイルはHTTPとSSLを組み合わせたHTTPSだろう」と門林氏は述べた。

(編集局 垣内郁栄)

[関連リンク]
日本ネットワークセキュリティ協会

[関連記事]
データベースセキュリティという新しい分野へ、日揮情報ソフト (@ITNews)
ISSが中小向けセキュリティ監視サービス、月額4万円から (@ITNews)
ミトニック氏が教えるセキュリティ対策法 (@ITNews)
情報漏えい事件を解決するフォレンジクス、オラクルが進出 (@ITNews)
「秘文」はセキュリティ管理システムに進化する (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)