Two Key challenges in securing cyber-space: people and technology (2)

(「湯沢WS 一日目(1) 2005/10/06」の続き)

次が最も重要なステップ．
測定することの重要性を話したが，コンプライアンスそのもの，準拠している
かどうかを測定できなければ意味が無い．

ベンチマークに対して，ソフトウェアツールを開発した．
非侵略方の，変更をかけるものではない．単に，ベンチマークに照らし合わせ
てどのポジションかがわかるツールになっている．

米国の大学．Solaris を利用していた．Sun Solaris のベンチマークに参画．
セキュリティが確保されていると思っていた．そこで，測定したところ，10展
万点中 3 展だった．脅威あるシステムであった．

ベンチマーク，ツールはダウンロードできる．一つ変更された．各ベンチマー
クごとに作っていたが，変更される予定．

全面的な協力企業リスト： Microsoft, Sun, Cisco, Juniper, Oracle, IBM,
...

ベンチマークで何が使用可能なのか．
スコアリングツールの一覧．
今後の第二四半期にリリースされるもの一覧．

今後は，アプリケーション領域．現在は ORACLE．
次の領域は，アプリケーション．その次は少し奇妙かも．
いわゆるスマートマシンをターゲットにしている．
インターネットを通したこうした機器への攻撃がすでに始まっている．

コンピュータを買うのは，OS を使いたいからではなく，問題を解決したいか
ら．ということで，セキュリティを確保したOSの上でアプリケーション．その
ような開発が出来ないかということに取り組んでいる．

SCADA と呼ばれる監視制御，制御システム．

こうした，公共機関，医療機関では，MS などに移っている．
スコアリングツールは日々改良しているが，次世代のスコアリングツールが出
たばかり．OVAL(Mity 社)を使用した，XCCDF 向けツールを開発したところ．
GUI, CUI 両方で使用可能．また，ダッシュボード版もある．それは後ほど．

作成例．ネットワークの設定がどれだけ確保されているかすぐにわかるように
なっている．

ダッシュボード機能：興味深い機能．このツール設計，CIO, COO を対象とし
て作成した．自社のシステムのセキュリティ状況が簡単にわかるように．つま
り，車のダッシュボード並みにわかりやすくしたいというのが．

製造の仕方がわからなくても車は使用できる．

ここで強調しておきたい重要な機能．
スコアリングツールは人を非難するためではなく，人を惑わせるために作った
のではない．つまり，どれだけ改善されてきたかということを数字で見るため
のツールである．

各企業の中で，ブラス志向，今 6 だから次は 7 になろうという考え方．

チェルトフ．

インターネットの世界では，日本やアメリカが同であるという問題ではなく，
グローバルな問題であることは認識している．インターネットセキュリティに
かかわる人間を広くしていくことがポイント．

そのためには．．．
まず，Web サイトを見て，何ができるか，吸収できる知識がないかと見てほし
い．サーバーセキュリティに直接かかわる人でなければ，そういう人にどうい
うことをしているかを聞いてみてほしい．

もし，大型な購買を検討している場合，出荷されていることをベンダーへの要
件として掲げてほしい．

専門家としてかかわる方は，そうした，技術機関の活動に積極的にかかわって
いただきたい．

技術担当の人間: John Banghart - ...@

有能な人が集まれば集まるほど改善されていく．

さいしょで，三つの課題の話をした．そのうち二つ．最初は何ができるか．
第二点がどれだけやれば十分か．

少なくとも，セキュリティの設定のコンセンサスの話で，二つはカバーできた．

第三点は誰が信用できるか．まず，医療分野でグローバルで発展させたいとい
う場合，教育を徹底させたい．証明書を確立していくことが必要．

内科医も外科医も一定期間の教育を受け，．．．

サイバーセキュリティの世界ではそこまで確立できていない．
通常の方法では不十分．
・経験．
・面接
・照会先

たとえば，医者に行って，その医者の専門知識がどれくらいかをわれわれは判
断できない．と同じように，サイバー・セキュリティにおいても同じ．そのた
め，証明書が必要．

ISACA: CISA& CISM
ISC2: CISSP
ComTIA: Security+
SANS: GIAC

すべてとはいわないが，最初の3は 5 の基準を網羅している．
まず，新しい国際基準に準拠．
ジョブタスク分析に基づいている．その専門的な実際にどんな仕事をしている
か，ということ．ベキ論ではない．
第二点：厳しい，独立したテスト．
第三点：実景権，実績を求めている．試験に合格したというだけでは通らない．

第四点：定期的な更新が必要．5年前にとっても，その間何もしなければプロ
として失格．

第5点：プロとして，倫理的な基準を持っている．証明を剥奪されるというこ
ともある．

もう一つ強調したい．
証明書を持っているからと言って，その人が完全であるということを保証する
ものではない．しかし，認可を受けた後で，専門領域を高め，力をつけること
も課題となる．

こちらのスライドは Web サイト，参考．
特に ISACA のサイトを見たこと無ければ，是非．COBIT も．

下から三番目 NIST はいろいろな豊かなサイト．
CIS のサイトも是非．

ご清聴ありがとうございました．

Q. ツールは日本語環境で実行できるか？

A. 二つの部分で分けて答えます．
まずは，ありがとうございます．
技術的な部分：日本語で使えない理由はない．が，実際に見ていただくものは
英語のみ．日本の方に使いやすいようにということで，日本の人にも協力いた
だきたい．Integrity の目的として，著作権が発生している．
英語がなかなかわかりにくいという方のように翻訳版ができるようなら，協力
をありがとうございます．重要な質問をありがとうございました．

Q. 有益な講演をありがとうございます．コンセンサスやベンチマークのツー
ルなどの更新頻度を教えてください．日々，脆弱性などが発生しているので，
どのようなサイクルで更新されているのでしょうか．

A. 答えに直接入る前に背景．国際スタンダードにノット邸内．なるべく迅速
に対応していきたいという理由がある．すべてのベンチマークは古いベンチマー
クであってもないよりは良い．定期的にアップデートするというサイクルが決
定されているわけではなく，必要に応じてアップデートしている．
１．対象ソフトの新しいバージョンが出た場合．
２．現状のベンチマークではカバーしきれない重要な脆弱性が発覚した場合．
一つの脆弱性が見つかっただけで毎回毎回アップデートする必要は無いと考え
ている．通常の場合は，修正パッチを発行するのはベンダー．しかし，我々が
計測するのは，パッチそのものが現状にあったものになっているかどうか．そ
の意味において，スコアリングツールを走らせてほしい．

Q. ユーザの方が持っている要求の一つはセキュアになり，判断となることも
必要だが，セキュリティアップデートが発行されたときに自分達のアプリケー
ションソフトウェアが動くのかどうかが重要．そのため，それが検証できるま
ではパッチを当てないということもある．パッチがどのように影響を与えるか
というようなものを分析するような取り組みは行っているか？

A. 答えは No. だが，重要な質問なので意図を確認したい．
タイトなセキュリティを確保するとアプリケーションが動かなくなることもあ
る．．アプリケーションを動かそうとするとport に穴を開けなければならな
いこともある．
我々のベンチマークは脆弱性がどこにあるのかをみるもので，sensivity
analysis をやるようなものではない．

今，ツールにおいて，ベンチマークにおいて何をするかというと，アプリケー
ションを走らせると家に帰っていいよということを実現しようとしている．
今出来ないのはリスクがあるからだということは理解していると思う．

短期的なアプローチであるが．長期的にはアプリケーションにもっと圧力をか
けていくということである．このアプローチがが直接の答えになるのではない
のはわかっている．

ですから，一番簡単に答えるとするならば，そのリスクを承知しながら管理者
としてパッチを当てるかどうかを判断しなければならない．

我々ももっと努力しなければならない．

以上