「Black Hat 2017」の会場となったMandalay Bay Resort and Casino内にあるライブハウスだ。
イベント中はアルコールも振る舞われリラックスなムードの中で進行した
「codenomi-con USA 2017」の主催者である米シノプシス(Synopsys)は、EDA(Electronic Design Automation)ツールやIP(Intellectual Property)製品、さらに静的解析ソリューションの「Coverity」などを提供するベンダーだ。
また、近年はセキュリティ・ベンダーとしてのプレゼンスも高い。2015年4月にOpenSSLの脆弱性である「Heartbleed」を発見したことで有名なフィンランドCodenomiconの買収をはじめ、2016年3月には車載向け故障シミュレーション技術を提供する米WinterLogicを、2016年11月にはソフトウェアのセキュリティ関連ソリューションを提供する米Cigital社と米Codiscope社の2社を買収した。さらに、2017年1月にはソフトウェア・コードの欠陥や異常を特定する静的解析ツールを提供するオランダのForcheckを買収している。
CodenomiCONは、国内外で活躍するセキュリテイエキスパートを招き、パネルディスカッションやプレゼンテーションが繰り広るのが恒例だ。扱うテーマは、医療機器や自動車の脆弱性をはじめ、DevOpsのセキュリティやソフトウェア開発ライフサイクル(SLDC)まで幅広い。今年も自動車のセキュリティ・リサーチャーであるCharlie Miller(チャーリー ミラー)氏や米Whitescopeの創設者で、メディカルデバイスのセキュリティを研究するBilly Rios(ビリー リオス)氏など、セキュリティ分野の第一線で活躍する人物が登壇した。
今年も自動車のセキュリティ・リサーチャーであるCharlie Miller(チャーリー ミラー)氏(左端)や
メディカルデバイスのセキュリティを研究するBilly Rios(ビリー リオス)氏(右端)が登壇した
セキュリティは「文化」だ
最初に登壇したのは、マーケティングコンサルティングを手掛けるJANE BOND PROJECTの創始者であり、コンテナセキュリティのTwistlockでCSO(Chief Strategy Officer)を務めた経験を持つChenxi Wang(チェンシ ワン)氏だ。「エンタープライズにおけるDevOpsのセキュリティ確保」をテーマに講演した同氏は、「市場の変化に対応し、迅速かつ安定したシステム開発を実現するためには、スケールアップできるセキュリティ対策が不可欠」と訴えた。
Chenxi Wang(チェンシ ワン)氏
多くの企業にとっての大命題は、いかにしてシステム開発からビジネスで成果を獲得するまでのリードタイムを短縮するか?ということだ。Wang氏はその開発手法としてDevOpsやマイクロサービス、アプリケーションをマイクロサービス化するコンテナ技術の導入が進んでいることを説明した。
「スピードを重視する企業ほどこれらの技術を積極的に取り入れている。そのような状況で課題となるのが、開発スピードとソフトウェアのセキュリティ確保のバランスだ」(Wang氏)
ビジネスニーズを満たすセキュリティのあり方としてWang氏は、「開発者が使いやすく自由度の高いこと」「脆弱性管理が徹底されていること」「コンテナ技術においてはコードの透明性を明確にすること」を挙げる。セッションではこれらを実現した企業の事例として、米小売大手のTarget(ターゲット)、「ポケモンGO」を運営する米Niantic(ナイアンティック)などの取り組み事例を紹介した。
小売大手のTargetではホリデーシーズンに7万人の臨時労働者と1億7千万のストアトランザクションが発生する。2014年まで同社のシステムは、全体が結合された「モノリシック(Monolithic)」アーキテクチャで構成されており、部門ごとに異なるシステムを利用していた。そのため、ストアの位置情報を収集するだけで6カ月間も要する状態だったという。
同社は2014年末からDevOpsを取り入れ、マイクロサービスとクラウド化を推進した。API(Application Programming Interface)で各部門のエクスターナルなアプリケーションから統合を開始。こうした取り組みの結果、2015年下半期には3つだった新たなアプリのリリース数が、2016年の同半期には42にも増加したとのことだ。
Wang氏は「ソフトウェアの設計/開発段階でセキュリティを組み込むことは『文化』として定着させるべき」と訴える。そのためには、テストや診断などの自動化、評価基準の設定、ROIに対する視点が不可欠だ。Wang氏は「セキュリティ対策は(製品の)安全を担保するものでなければならない」ことを強調し、セッションを締めくくった。
2秒ごとに新種のウイルスが誕生する現状
IoTのセキュリティを考えることは、IT業界だけの課題ではない。重要インフラの破壊や医療機器へのハッキングなどは、社会に対する攻撃だ――。そう指摘するのは、セキュリティ専門家のGraham Cluley(グレアム クルレイ)氏だ。米Synopsysのマーケティング担当バイスプレジデントのJim Ivers(ジム アイバース)氏と共に登壇したCluley氏は、IoTセキュリティの現状と課題を指摘。「いちばん大切なのは利用者のセキュリティに対する意識と危機感だ」と力説した。
Cluley氏は「一昔前の(一般ユーザーの)セキュリティ対策は、アンチウィルスソフトの導入だった。しかし、現在は新種のウイルスが2秒に1つ誕生している。数年間から『パターンマッチング技術ではサイバー攻撃に対峙できない』というのが専門家の共通認識だ」と語る。
ハッキングを警戒するIoTデバイスとして同氏は、子どもを対象にした「おもちゃ」を挙げる。特に、インタラクティブにチャットができる機能を有した「おしゃべりロボット」は、ハッキングされた場合のリスクが大きい。同氏は「例えば、会話のやり取りをMITB(Man in the Browser)のような手法でハッキングし、攻撃者が自由に質問できるようになったどうなるか。子どもは何の疑問も持たずに家の情報を話すだろう」(Cluley氏)
ただし、こうしたIoTデバイスにセキュリティ機能を搭載するには大きな課題がある。それはコストだ。特に本体価格が安価なデバイスでは、セキュリティ機能はコストに跳ね返る。Cluley氏は「ユーザーが高くても堅牢なセキュリティ機能を持った製品を選ぶ段階には至っていない」と指摘したうえで、「国や業界がセキュリティ基準を設け、それをクリアした製品には認証マークを付与するといった取り組みが必要だ」と指摘した。
