奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室を立ち上げた門林 雄基氏による、コラム連載を開始。https://www.accelia.net/column/resilience/
「「設定の脆弱性」は、ソフトウェアを安全に作っても避けられない」
安心、安全が損なわれる、つまりサイバーセキュリティが損なわれる原因とはどういったものでしょうか。今回のコラムでも、前回リンクに引き続き、サイバーセキュリティが損なわれる原因について、あらためて解説してみたいと思います。
前回までのコラムリンクでは、ソフトウェア脆弱性について解説しました。専門家しか分からない技術的なゴチャゴチャも重要ですが、「ソフトウェアの仕様そのものが脆弱」であるとか、「組み合わせ方が脆弱」であるとか、「検査漏れがあり脆弱」といった、専門家でなくても知っておきたいソフトウェア脆弱性について思いつくままに並べてみました。またこれらは、サプライサイドが触れて欲しくない、彼らにとっては不都合な脆弱性であるということも知っておくべきでしょう。
今回からは、往々にしてソフトウェア脆弱性と混同されがちな、設定の脆弱性について解説を試みるとしましょう。
そもそも設定の脆弱性とは何でしょうか。ソフトウェアを安全に作ればそれで良いのではないでしょうか?
「ソフトウェアの豊富な機能と正しい設定方法を理解しなかったために、情報漏えい事件が起きている」
ソフトウェアというものは、製作コストはかさみますが、いったん作ってしまえばコピーは容易なので、できるだけ多くのお客様に量販して、また機能拡張してお客様の要件にあわせていく、という方法が採られます。このため、頭のいいビジネスとしては、できるだけ汎用的なソフトウェアを作って、できるだけ多くのお客様に売っていきましょう、ということになります。
しかしお客様の要件というのは各社ごとに細かく違うものです。例えば情報を配信するWebサーバひとつとっても、「うちは情報公開が前提だから、隠すものはない」というお客様Aと、「うちは指定した情報だけ公開したい、あとは非公開にしてくれ」というお客様Bがいます。できるだけ汎用的なソフトウェア1本で、両方の顧客の要求を満足したい。じゃあどうするか。
そこで設定というものが入り込んできます。例えばWebサーバの例ですと、アクセス制限機能というものを設けて、その設定をお客様ごとに変えられるようにしましょうと。そういうことです。
しかしここで一つの問題が生じます。顧客A, B が要求していることは正反対です。これを正しく理解して、正しく設定している限りにおいては何の問題もありません。しかし、たとえば個人情報を扱うサイトを運営している顧客C で、顧客A の設定をコピーして使ってしまったら、何が起きるでしょうか。
個人情報の漏洩です。
残念ながら、インターネットで起きている個人情報の漏洩事件のいくつかは、この程度の初歩的なミスが原因です。具体的にどの事件が、ということを名指しで非難することはしませんが、海外ではこのような設定の不注意が原因で、1国の投票者全員の個人情報が漏洩するような驚くべき事件も起きています。
さて、このような事件が起きた原因はソフトウェアでしょうか。調べていくと、ソフトウェアそのものは精巧に作られており、アクセス制限の機能もさまざまな利用シーンに合わせて高度に作り込まれています。できるだけ多くのお客様に量販して、また機能拡張してお客様の要件にあわせていくために、ソフトウェアの製作者としてはアクセス制限機能を豊富に用意しているわけです。
問題なのは、ソフトウェアを設定するエンジニアがこういった基本的な事柄を理解せずに、「まずは動けばよし」で設定してしまったケースです。「まずは」なのですが、動いてしまうとそのことが忘れ去られてしまいます。
「あー動いた!やったね!」
「動かなくなるとまずいから、もう触るなよ!」
。。。信じがたい話ですが、システムを統合する現場ではよくあるホラーストーリーのようです。もちろん、検査工程をきちんと設定していれば、かりに「やっつけ」で動かしてしまったとしても設定の不具合は、多くの場合、検査工程で見つけることができます。もちろん検査漏れがなければの話です。
上で、設定の不具合と言いましたが、このようなセキュリティ上の問題につながる設定の不具合を、設定の脆弱性と呼んでいます。たんに「設定の不具合」というと、影響の少ない、すぐに直せる瑣末な問題のように思われてしまいかねないので、あえて「設定の脆弱性」(Configuration Vulnerability) と呼んで、セキュリティ上の問題が生じることを陽に表現する必要があるのです。
理想的には、ソフトウェアを設定するエンジニアがソフトウェアの豊富な機能とその正しい設定方法を理解して、システムと情報の安全性を保つような設定をすることです。しかしこれは現実にはかなり難しいのです。それはなぜでしょうか。
・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご覧ください。
リンク
【門林 雄基氏のコラム】
・第1回:サイバーセキュリティに求められるバランス感覚リンク
・第2回:サイバーセキュリティが損なわれる原因を理解する(1)リンク
・第3回:サイバーセキュリティが損なわれる原因を理解する(2)リンク
・第4回:サイバーセキュリティが損なわれる原因を理解する(3)リンク
御社のプレスリリース・イベント情報を登録するには、ZDNet Japan企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。