開会挨拶 村山 隆征 湯沢町長

メモなし．

Two Key challenges in securing cyber-space: people and technology

Franklin S Reeder
Chairman The Center for Internet Security
Chairman The National Computer Systems Security and Privacy
Adovisory Board
The National Institute of Standards and Technology
(NIST)

2005/10/06 13:14-

(逐次通訳)

当時は，医学に直接かかわる人は医学そのものを知っている人は少なかった．

そこで，実践をする人々に対して，意味を知る人たちの知識を共有するするか
がそのかいぎの課題だった．

三つの課題を掲げた．
それがこちらです．

・自分のシステムを守るために．．．
・
・誰を信頼すればよいのか．

今日サイバーセキュリティのなかでいくつかは取り組まれ，継続的に行われて
いる．

いくつかの質問にはここで答えていく．

・脆弱性はなぜ広がるのか．
・技術的な構成制御はどのように適合していくのか．
・コンセンサス構成の制御とはどのようなものか．
・そしてどのように使われているのか．
・どのように使用されているのか．
・使用可能・開発中のベンチマーク

誰を信頼すればよいのか．
・専門家として能力ある専門家をどのように識別するのか．
・各種の証明書の増加について

＜脆弱性はなぜ広がるのか＞

データによると，悪意ある行為と脆弱性は知られている部分，吉の弱点を行わ
れている．そして，脆弱性がそこにあることを知っているだけでなく，パッチ
などの構成設
定がわかっているにもかかわらずターゲットになっている．

適切な設定をするだけで既に知られている 80-^100% は阻止できる．

ベンダー：例えば SUN，マイクロシステムズなどの

安全性にかけるものを出荷している．ポーを空けたままで出荷している．セキュ
リティ機能も有効になっていない．
デフォルトのパスワードをパスワードのままになっているという経験がある日
とは手を上げてみてください．

よりセキュリティを強化した状態で出荷してほしいとユーザが圧力を

ではなぜ安全性にかけるものを出荷するのか．

まず，ベンダー自身が積極的でない．
これ自身が問題ではないと彼らが思っていると聞いた．

ユーザがセキュリティを望んでいない．とも聞いた．

こんほ 5 年間で変わってきている．

とくにマイクロソフトはここ数年，自分達の商品は安全だといって売っている．

安全だということを競争優位性として販売戦略をとっている．

アプリケーション・ベンダー：
OS 上において，機能性がOS においてアクティベートするように要求すしてい
る．
しかし，それに対するソリューションもある．
つまり，セキュリティを強化して出荷するプロセスを確立するようにユーザが
かけることができるはず．

セキュリティを強化する設定の問題点で話した．

脆弱性の原因はソフトウェアの欠陥にある．
技術的な制御が不完全
ソフトウェアの構成設定を適切にすることで修正できる．

管理上の制御はポリシーや人事的なスクリーニング．
物理的な管理をするのがオペレーション上の管理．

技術的な，構成上の制御は．．．

構成や技術のコントロールはどのような意味で使っているのか．
ここでポイントとなるのはこの６つがすべて測定可能であること．

ポリシーがありますか，というだけでは測定可能ではない．
また，ハイレベルでの国際的な基準もある．

構成制御は ISO 17799 の要件に沿ったものになっている．

測定可能であるということは，技術制御が自動化できるということ．

ここに測定可能な例がある．MS Windows , Sun Solaris

無人のシステムでネットワークにコネクト氏，タイムアウトするのが適切化と
いう基準が必ず存在する．

OS がセキュリティのパラメータがある．ユーザがパラメータを設定できる．
ソフトウェアの開発は必要ない．

MS XP の場合の例．

Sun Solaris の例．

セキュリティの構成がどうなっているか，適合するかという例を話した．

次の課題．
構成設定をわかるためには，構成設定そのものを見てもらう．
資料は，すべてダウンロードできます．

Center for internet security のチェアマン．NGO．
政府及び会員の組織から資金をつのり，青果物は無料で配布している．
http://www.cisecurity.org/

ベンチマーク：Windows XP のもの．
三つのレベル，三段階で発行している．
レガシー，エンタープライズ，ハイセキュリティ．

大半のシステムについては L1, L2 を確保している．

先ほどの通り，既知の脆弱性のうちセキュリティ設定でカバーできる．

さらに，システムの構成設定さえきちんとすれば，主要なウィルスは大半除去
できるという結果．
なぜ，それがわかるか？
構成管理，構成制御のメリットを複数の独立機関が調べた方法．
6 種類の調査対象．
右側は除去されたパー選定時．理論的なものではない．

同様の調査が NSAと Mitreでも行われている．
誰が使っているのか．

まず，米国政府機関．
FISMA 2002年版．
すべてのシステムに対して，最小許容基準を設定すべしというお達し．
単一の標準を使うように強制するものではないが，なんらかの基準を．

米国空軍で，さらに上回る調達．
インストレーション何百となるし，機器も何万と世界中に広がっている．

その米国空軍 2004 で大規模の調達．MS から．調達の段階にで XP のセキュ
リティ設定を要件として購入した．それによってのみかえりは後ほど．

契約の中に要件の実例．

当時の CIO ジョン・ギリガン．

そのせきゅりてぃの強化基準で，二つのメリットを享受．
１．セキュリティそのものが強化．
２．脆弱性の部分が軽減．

さらに，重要なことはコスト削減につながった．
空軍のコンピュータ．1万をくだらない．それぞれが複数の経験があるなら，
いっせいに機器を替える大変さはわかると思う．

一定の基準の設定を強制とすることで，維持コストが軽減できた．

今までは，米国政府の話．民間の話へ．

Sox, HIPAA, GLB
Sox: 説明責任を高める，企業改革法である．

HIPAA は，メディカルレコードのセキュリティとプライバシーを確保するため
の法律．

GLB: 議員の名前にちなんでつけられた．HIPAA の金融版．金融機関の個人の
情報とプライバシーの確保の法律．

EDUCAUSE 大学および単科大学があつまったNGO．非営利団体．
日本においてもそうだろう．大学のセキュリティの確保は最も難しい問題．

ベンチマークの作成 How．
CIS は 2000 年に設立．
1960,70 年代の車の団体をモデルとした．
メーカーはユーザが圧力をかけなければ安全な商品は作らないと思う．
ソフトウェアベンダー側の言い訳，態度のコメントをした．同じコメントを車
の製造業者は言っていた．

安全な商品はコスト．それを払いたがる人はいない．
安全な商品を作りたいと思わないところは無いと思うが，実行するところは少
ない．

ユーザのコミュニティを作ることで声を一つにできると考えている．
しかし，これを行うためには，専門技術が不可欠．

CIS は何百というメンバー，専門家がいて，それぞれの知識を...

最初に仮説の話をした．
つまり，セキュアなシステムをどのように確保し，守っているのかというのは
知っている非tがたくさんいる．

そうした専門知識を持つ人は知識を共有したがっているということがわかった．
そこで，その知識を使用させてもらうというのが課題だった．
そのプロセスにかかわった人たちをリストにした．一部であり，全会員組織は
Web で見ろ．

多くの会員組織は米国．しかし，米国外からも増えている．最後の RCMP,
Comm HQ は米国以外からの例．

企業のメンバーも全部が技術系の会社ではない．
セキュリティが確保された信頼できないと立ち行かない企業が並んでいる．

ベンダーはコンピュータビジネスで活躍している企業が増えてきている．
こうした会社に対しては，金銭的な貢献をしているので，特別な扱い．
自分達の製品の中に盛り込んでいるということ．
ベンチマークに対して，それぞれの会社のシステムが計測され，評価されてい
るかをチェックしている．

このリストにはないが，Microsoft, Sun, ORACLE なども重要な位置づけ．

我々の組織が独立系になっているのは重要．設立当初から戦略的なパートナシッ
プ：ISAC，Institute Audi.. Account

エリアの選択．
脆弱性が高いだろう OS からスタート．
次にマーケットシェアの高いプロダクト．ハッカーのねらい目はインストール
率が高いものが狙われやすい．
サーバの使用率は Solaris が最も高かったので，Solaris から．次に
Windows, 次に Linux．
次にルータ．CISCO, Juniper, Apache

プロセスそのものは単純．
選択したら，知識を利用して，設定可能な設定制御のベンチマークでベストな
ものを割り付けていく．
CIS ではなく，専門家は世界中に散らばっている．

ネットワーク部分が終わったところで， FIrst Draft ．結果の同意事項とし
て，共通項をまとめたもの．そして，様々なステップを経てコンセンサスに到
達した．

CIS の 20 ちょっとのメンバーがいる．
α版をもって，メールでやりとり．
β版は CIS メンバー全員にリリース．
様々なレスポンス．まだまだ不十分だなど．

(続く)