今こそ、セキュリティに関する一貫したメッセージが必要だ

文:Jon Oltsik
翻訳校正:坂和敏(編集部)
2006年04月04日 20時49分

 匿名性はインターネットの素晴らしい点の1つだ。

 あなたがクッキーを受け入れないようにしているのであれば、どこに行っても人混みの中にまぎれることができる。しかし、ことセキュリティに関しては、このユーザーやデバイスの匿名性が多くの問題を引き起こしているといえる。

 フィッシング、IPスプーフィング(なりすまし)、ソーシャルエンジニアリングのような詐欺行為がその判りやすい例だが、この問題にはもう1つの側面が存在している。アイデンティティは信頼(誰が誰と話をできるかということ)およびインテグリティ(アクセス許可を与える前にネットワークノードの「健康状態」をチェックすること)と密接に関連しているからだ。

 インテグリティがチェックされないということは決して小さな問題ではない。1つのエンドノードが汚染されるだけで、あっという間にそこからネットワーク全体に悪質なコードが広がるということがあり得るからだ。

 セキュリティの専門家を対象に当社が昨年実施した調査で、「自動化されたワーム攻撃の出所として、最も一般的なものは何か」という質問を行った。驚くほどのことではないが、上位4つのうち3つまでが、何らかの汚染されたPCを出所とするものだった。調査に答えた専門家の43%が、ワーム攻撃の主な出所として従業員のノートPCを挙げ、請負業者のノートPCを挙げた回答者は34%、またVPN(仮想プライベートネットワーク)に接続されている家庭用PCも犯人だと答えた者は27%に上った。

 誰かがネットワークにログインする度に、そのデバイスから次の「Bagle」や「MyDoom」にあたるものが広がる危険性を考えてみてほしい。

 テクノロジー業界はここに至るまで手をこまねいていたわけではない。「ネットワークアクセス制御」「エンドポイントセキュリティ」あるいは「ネットワークインテグリティ」など呼び方はさまざまだが、この点について多くのベンダーがメッセージを発信している。ただし、私が問題だと思うのは、皆がそれぞれ異なったメッセージを発信しており、市場は完全に混乱してしまっているという点だ。この種の防御策はオペレーティングシステムレベルで行われるべきだろうか。ネットワークレベルで行われるべきだろうか。エージェントは個別にインストールされるべきだろうか、それともインターネットセキュリティスイートの一部として配布されるべきだろうか・・・。業界の美辞麗句に耳を傾けるのであれば、解決策はそこら中どこにでもあるということになる。当然ながら、ユーザーは当惑することになる。

 ユーザーはこういった状況をどのように理解しているのだろうか。その答えは、「理解していない」だ。各ベンダーが独自の解決策を宣伝し続けているうちは、ユーザーが無防備である現状は変わらない。さらに、PCは氷山の一角に過ぎない。PDA、スマートフォン、冷蔵庫、Ford Escapeといったものがネットに接続され、ワームをまき散らすようになればどんなことが起きるのか。そうなれば、ハッカーに勝利をもたらす理想的な条件がすべてそろうことになる。

 こういった窮状を突破する手段になり得るものとして、Trusted Computing Group(TCG)が行っている研究がある。この団体は、エンタープライズ市場において、なぜかその研究内容に値する評価を受けておらず、消費者からはオーウェルの「ビッグブラザー」とみなされることが多い。しかしTCGには、大組織におけるセキュリティを向上させる可能性が秘められているのだ。

 TCGの標準が広く採用されるにつれて、コンピュータ、携帯電話、ストレージといったエンドデバイスでは、ボード上のマイクロプロセッサにセキュリティが「焼き込まれる」ことになるだろう(これは「Trusted Platform Module(TPM)」と呼ばれる)。従って、各デバイスは固有のアイデンティティを持つことになるため、この技術を基盤として利用することで、信頼関係を構築したり、ファイルを暗号化したり、あるいは、ネットワークに接続する前にデバイスが「クリーン」であることを確認する目的でインテグリティのチェックを行ったりすることができる。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]