Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

蛇の道は蛇「開発者もハッキングマインドを持つこと」codenomi-con USA 2017レポート

2017/08/22 06:00

 自動車や家電製品など、あらゆるモノが相互接続するIoT(Internet of Things)の世界。新たな製品やサービスが次々と登場する半面、セキュリティ対策は十分でないのが現状だ。高度化するサイバー攻撃だけでなく、ソフトウェアの脆弱性に起因するセキュリティ・インシデントの脅威も広がっている。そのような状況において企業は、どのように自社製品のセキュリティを高めていくのか――。2017年7月25日、米ラスベガスで開催された「codenomi-con USA 2017」は、企業のセキュリティ責任者や第一級の“セキュリティ・リサーチャー”(ハッキングのプロ)が登壇。それぞれの立場から、セキュリティが抱える課題やその対策が多角的に語られた。

「codenomi-con USA 2017」の会場となったHouse of Blues。「Black Hat 2017」の会場となったMandalay Bay Resort and Casino内にあるライブハウスだ。イベント中はアルコールも振る舞われリラックスの中で進行した
「codenomi-con USA 2017」の会場となったHouse of Blues。
「Black Hat 2017」の会場となったMandalay Bay Resort and Casino内にあるライブハウスだ。
イベント中はアルコールも振る舞われリラックスなムードの中で進行した

 「codenomi-con USA 2017」の主催者である米シノプシス(Synopsys)は、EDA(Electronic Design Automation)ツールやIP(Intellectual Property)製品、さらに静的解析ソリューションの「Coverity」などを提供するベンダーだ。

 また、近年はセキュリティ・ベンダーとしてのプレゼンスも高い。2015年4月にOpenSSLの脆弱性である「Heartbleed」を発見したことで有名なフィンランドCodenomiconの買収をはじめ、2016年3月には車載向け故障シミュレーション技術を提供する米WinterLogicを、2016年11月にはソフトウェアのセキュリティ関連ソリューションを提供する米Cigital社と米Codiscope社の2社を買収した。さらに、2017年1月にはソフトウェア・コードの欠陥や異常を特定する静的解析ツールを提供するオランダのForcheckを買収している。

 CodenomiCONは、国内外で活躍するセキュリテイエキスパートを招き、パネルディスカッションやプレゼンテーションが繰り広るのが恒例だ。扱うテーマは、医療機器や自動車の脆弱性をはじめ、DevOpsのセキュリティやソフトウェア開発ライフサイクル(SLDC)まで幅広い。今年も自動車のセキュリティ・リサーチャーであるCharlie Miller(チャーリー ミラー)氏や米Whitescopeの創設者で、メディカルデバイスのセキュリティを研究するBilly Rios(ビリー リオス)氏など、セキュリティ分野の第一線で活躍する人物が登壇した。

codenomi-conには第一線で活躍するセキュリティリサーチャー(ハッカーとも言う)が集うことで有名だ。今年も自動車のセキュリティ・リサーチャーであるCharlie Miller(チャーリー ミラー)氏(左端)やメディカルデバイスのセキュリティを研究するBilly Rios(ビリー リオス)氏(右端)が登壇した
codenomi-conには第一線で活躍するセキュリティリサーチャー(ハッカーとも言う)が集うことで有名だ。
今年も自動車のセキュリティ・リサーチャーであるCharlie Miller(チャーリー ミラー)氏(左端)や
メディカルデバイスのセキュリティを研究するBilly Rios(ビリー リオス)氏(右端)が登壇した

セキュリティは「文化」だ

 最初に登壇したのは、マーケティングコンサルティングを手掛けるJANE BOND PROJECTの創始者であり、コンテナセキュリティのTwistlockでCSO(Chief Strategy Officer)を務めた経験を持つChenxi Wang(チェンシ ワン)氏だ。「エンタープライズにおけるDevOpsのセキュリティ確保」をテーマに講演した同氏は、「市場の変化に対応し、迅速かつ安定したシステム開発を実現するためには、スケールアップできるセキュリティ対策が不可欠」と訴えた。

マーケティングコンサルティングを手掛けるJANE BOND PROJECTの創始者のChenxi Wang(チェンシ ワン)氏
マーケティングコンサルティングを手掛けるJANE BOND PROJECTの創始者
Chenxi Wang(チェンシ ワン)氏

 多くの企業にとっての大命題は、いかにしてシステム開発からビジネスで成果を獲得するまでのリードタイムを短縮するか?ということだ。Wang氏はその開発手法としてDevOpsやマイクロサービス、アプリケーションをマイクロサービス化するコンテナ技術の導入が進んでいることを説明した。

「スピードを重視する企業ほどこれらの技術を積極的に取り入れている。そのような状況で課題となるのが、開発スピードとソフトウェアのセキュリティ確保のバランスだ」(Wang氏)

 ビジネスニーズを満たすセキュリティのあり方としてWang氏は、「開発者が使いやすく自由度の高いこと」「脆弱性管理が徹底されていること」「コンテナ技術においてはコードの透明性を明確にすること」を挙げる。セッションではこれらを実現した企業の事例として、米小売大手のTarget(ターゲット)、「ポケモンGO」を運営する米Niantic(ナイアンティック)などの取り組み事例を紹介した。

 小売大手のTargetではホリデーシーズンに7万人の臨時労働者と1億7千万のストアトランザクションが発生する。2014年まで同社のシステムは、全体が結合された「モノリシック(Monolithic)」アーキテクチャで構成されており、部門ごとに異なるシステムを利用していた。そのため、ストアの位置情報を収集するだけで6カ月間も要する状態だったという。

 同社は2014年末からDevOpsを取り入れ、マイクロサービスとクラウド化を推進した。API(Application Programming Interface)で各部門のエクスターナルなアプリケーションから統合を開始。こうした取り組みの結果、2015年下半期には3つだった新たなアプリのリリース数が、2016年の同半期には42にも増加したとのことだ。

米TargetはCIO直轄でDevOpsを推進したという
> 米TargetはCIO直轄でDevOpsを推進したという

 Wang氏は「ソフトウェアの設計/開発段階でセキュリティを組み込むことは『文化』として定着させるべき」と訴える。そのためには、テストや診断などの自動化、評価基準の設定、ROIに対する視点が不可欠だ。Wang氏は「セキュリティ対策は(製品の)安全を担保するものでなければならない」ことを強調し、セッションを締めくくった。

2秒ごとに新種のウイルスが誕生する現状

 IoTのセキュリティを考えることは、IT業界だけの課題ではない。重要インフラの破壊や医療機器へのハッキングなどは、社会に対する攻撃だ――。そう指摘するのは、セキュリティ専門家のGraham Cluley(グレアム クルレイ)氏だ。米Synopsysのマーケティング担当バイスプレジデントのJim Ivers(ジム アイバース)氏と共に登壇したCluley氏は、IoTセキュリティの現状と課題を指摘。「いちばん大切なのは利用者のセキュリティに対する意識と危機感だ」と力説した。

セキュリティ専門家のGraham Cluley(グレアム クルレイ)氏
セキュリティ専門家のGraham Cluley(グレアム クルレイ)氏

 Cluley氏は「一昔前の(一般ユーザーの)セキュリティ対策は、アンチウィルスソフトの導入だった。しかし、現在は新種のウイルスが2秒に1つ誕生している。数年間から『パターンマッチング技術ではサイバー攻撃に対峙できない』というのが専門家の共通認識だ」と語る。

 ハッキングを警戒するIoTデバイスとして同氏は、子どもを対象にした「おもちゃ」を挙げる。特に、インタラクティブにチャットができる機能を有した「おしゃべりロボット」は、ハッキングされた場合のリスクが大きい。同氏は「例えば、会話のやり取りをMITB(Man in the Browser)のような手法でハッキングし、攻撃者が自由に質問できるようになったどうなるか。子どもは何の疑問も持たずに家の情報を話すだろう」(Cluley氏)

 ただし、こうしたIoTデバイスにセキュリティ機能を搭載するには大きな課題がある。それはコストだ。特に本体価格が安価なデバイスでは、セキュリティ機能はコストに跳ね返る。Cluley氏は「ユーザーが高くても堅牢なセキュリティ機能を持った製品を選ぶ段階には至っていない」と指摘したうえで、「国や業界がセキュリティ基準を設け、それをクリアした製品には認証マークを付与するといった取り組みが必要だ」と指摘した。

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

  • 鈴木恭子(スズキキョウコ)

    ITジャーナリスト。 週刊誌記者などを経て、2001年IDGジャパンに入社しWindows Server World、Computerworldを担当。2013年6月にITジャーナリストとして独立した。主な専門分野はIoTとセキュリティ。当面の目標はOWSイベントで泳ぐこと。

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5