スケジュールをこじあけ,今日と明日の2日間の参加です。今日は「Security Day」と「トラブルシュートを想定したネットワーク監視」。以下の内容には私のフィルタがかかってますのでその点に注意して読んでください。
◆ 基調講演「変化するセキュリティ管理の実情」山口英氏
1年ぶりの山口節。笑いを取りつつも重い話をポンポンと投げかけてくるところはあいかわらずです。以下,メモ起こし。
個人情報保護法:
最初に経産省がISO17799(?)ベースのかなり厳しいガイドラインを出してきたため,他の省庁も質の低いものを出すわけにはいかなくなった。産業界はこれを政府が本気の印と受け止め,戦々恐々としている。
台風の教訓:
PCが水浸しになりデータが飛んだところが役所や中小企業に多かった。事業継続性計画(BCP)が重要。
情報保証:
データ入力ミスによる過請求や請求漏れ。情報の内容を誰がどうやって保証するのか。
ユビキタスコンピューティングの暗黒面:
ノートPCによる個人情報などの持ち出し。盗難されたりなくしたり。デジカメ,カメラ付き携帯などで安易に重要な情報をコピー、持ち運び。
対策:
透明な鞄、ポケットのない制服、メモリ系デバイスの無効化、USBの口をふさぐ。社内ネットワークの階層化:通常活動エリアと特別作業エリア。個人情報は特別作業エリアで。
VoIP:
従来の電話ほどの信頼性はないが、利用者はそれを期待する。電話回線の配電盤は一般社員がアクセスできないところにあるが、イーサネットの口は誰でもアクセスできるところに無造作に空いているので盗聴し放題。
家電が踏み台に:
とうとうそういう時代になってきた。
PDCAサイクル:
Plan, Do, Check, Actの繰り返し。
◆ パネル「情報家電のセキュリティ」
ネットワークに繋がれるようになった家電の課題についてのディスカッション。家電メーカーにも参加を呼びかけたが断られたそうで,IPA(セキュリティ), MS(PCでの経験者), NTTコム(ネットワーク), NHK(報道)の方々による議論。
家電となるとユーザーに複雑な設定を強要するのは難しい。
セキュリティホールをどうやって塞ぐか⇒ネットワークでダウンロード。
家電のライフサイクルはPCよりはるかに長いので、サポートがたいへん。
などなど。パネラーの皆さんも自ら言っていましたが、数年前PCの世界で行われた議論を家電の世界でなぞっている感じ。
途中のディスカッションで、情報家電はどうしても(セキュリティの)設定が必要なものなんだから、そこは啓蒙していくべきという意見が出たのに対し、パネラーからはゼロコンフィグでないと売れないし、といった反応。PCの世界でそうしてきたツケを、いまMSが厖大なお金を投資して払っているんじゃないかなあと今になって思ったり。
そば屋でランチ。まあまあ。
サイバー犯罪に対する警察の取り組みについて、いろいろな統計や事例など。あとフィッシングの解説と対策について。内容としてはやや一般向けな印象で少し退屈でした。
ただ、最後に警察の重要な活動内容として啓蒙があるということを、車社会との比較で話していた時に、モータリゼーションの初期、交通事故の死者数が増えていたのが交通安全運動や講習会などの啓蒙活動によりだんだん減らすことができた、コンピュータの世界でも同じような啓蒙活動によって犯罪を減らしていきたい、と言っていたのが、前半のパネルディスカッションでパネラーが売れないからゼロコンフィグは必須だと言っていたのと対照的で、まずはそれからだよなと少し反省したり。
ここでSecurity Dayを抜けてチュートリアルへ。内容はBig Brotherとその拡張機能を使った企業内ネットワークの監視方法についてでした。
前半は,私がNagiosで既にやっている監視作業をBig Brotherでやるにはどうするのかといった感じだったので、ちょっと失敗したかなと思いましたが,後半の拡張機能を使った監視についての話はなかなかためになりました。
Big Brotherの設定について詳しく説明されましたが,設定ファイルの記述法はけっこう癖が強くて講師の方も「この辺わかりにくいんですよねぇ」とお茶を濁しており,Nagiosのほうが洗練されている感じ。前半の基本的な監視の部分ではBBに出来てNagiosに出来ないことは無さそうでしたし、ホストのグループ化や警告の通知相手の選択など,Nagios では体系化されている部分をBBでは設定ファイルの書き方を工夫して運用面で頑張っているような印象を受けました。
一方で、後半の拡張機能の話は、Windowsの監視やPCのリソース管理、RRDToolとの連携など、やりたかった事が目白押し状態。Nagios はまだ標準機能+αぐらいしか使いこなせていないので,同様な拡張が探せばあるのかもしれませんが,日本ではなかなか情報が少ないのと,BBでのやり方を知ってしまったのでいっそのこと寝返ろうかなと思ったり。でもあの設定ファイルはちょっとなあ。
あと、Nagiosには標準でユーザーと認証の概念があって、ある(Nagios上の)ユーザーには、このホスト(グループ)の状況だけを見せるといったことが出来るのですが,BBにはそういった仕組みがあるのかどうかちょっと気になりました。
で、またSecurity Dayに戻ってBoFに参加。最初の方には間に合わず、太田さんの個人情報保護法にかんするプレゼンの途中から。
個人情報保護法には5000件以上の情報を扱う業者という縛りがいちおうあるが、これは、過去半年間のピーク値で5000件しかも同じ人の情報でも2つのレコードがあれば2件とカウントされるということなので,正直いって全ての企業はこの要件を満たしてしまうだろうという脅し:-)の後、結局は個人情報保護標準=機密情報保護標準+オプトイン/オプトアウトであるので、機密情報に関する管理体制がしっかりしていれば今から準備しても施行に間に合うといった、救いなんだか微妙な慰め。うちの会社はと考えると冷や汗がたらり。
次は出版業界の人から2004年の出版業界の動向についての解説。去年に引き続きかなり興味深い内容でした。
ここでスペシャルゲストとして、利用者の個人情報登録義務化問題で先月物議をかもしていた、はてなの近藤社長が飛び入り(?)参加。当時のはてな側からみた経緯の説明がありました。弁護士とは相談したが、結構直前になってからバタバタと決めたこと。一通り弁明を聞いた上での個人的な感想としては、言いたいことはわかったけど、同情はできないといったところ。
日記の削除については苦慮されているようで、削除依頼があると社員どうしで討論して削除するかどうか1件1件決めているそうです。それに関してその内容やはてなが削除すべきと判断した経緯などを公開しようと考えているということでした。これに対して会場から、実際に削除されてしまった後では、削除の判断が正しかったかどうか検証することができないので、それは単なる言い訳にしかならないと言った厳しい意見が。個人的には、リアルタイムで追いかけている人たちの誤解を解くメリットと、後から聞いてきた人に誤解を受けるデメリットを秤にかけて、メリットのほうを取るという選択肢はありだと思うのですが。
最後は高木さんによる「適法な脆弱性発見とは」というテーマでのお話。脆弱性の報告先ができた今では、実際に試さずとも疑いがある時点で報告窓口に報告してしまえばよいでしょうとかいった内容でした。
テーマとは直接関係ない話だったので流しましたが、SQLインジェクションの話で,パスワードにシングルクォートを使うと云々という話がその場では理解できませんでした。後から思い至ったのですが、もしかしてSQLをバックエンドにしてパスワード管理する場合、平文でデータベースに登録するのが標準的なんでしょうか。cryptoかけるなり、base64でエンコードするなりしてから保存するのが当然だと思ってたんですが、あそこで会場から笑いが起こる理由がそれ以外に思い浮かびません。APOPの悪影響?
BoFが終わるころには8時半を回っていたので、先にチェックインしてから夕食に出ることに。時間が遅かったので貸し出し用モデムは既になくネット難民に。夕食は同僚と焼き鳥屋。下調べもなく入った店だったのですが、さつま五代、霧島、富乃宝山、大魔王などどこかで聞いたことのある名前のお酒がずらっと並んでいて、味付けもそこはかとなく懐かしい感じでなかなかのヒットでした。
ホテルに帰って、この雑記書いて、仕事して、3時ごろ就寝。
今日は仕事がらみのチュートリアル2件。
OpenLDAPと、大規模システムにおけるその補助ツール(と言っていいのか?)UltraPossumのお話。LDAPの概要、負荷分散とフォールトトレランス、UltraPossumを使ったシステム構築といった内容でした。
既知の問題として、日本語の文字列ではインデックス生成のアルゴリズムに問題があって、生成したインデックスが空間の一部に集中して
あいまい検索が遅いという問題があると言うことでしたが、文字列のハッシュを取ってその先頭4バイトをインデックスとすれば解決するんじゃないのかな? と思ったり。
HTTPを使ったファイル共有システム(偏った視点)のお話。WebDAVの歴史、仕組み、実装、問題点など。UNIX(apache)ではhttpdの実効ユーザーがオーナーになってしまうと言うのは盲点でした。解決策としてmod_suid2の利用が挙げられていましたが、後で調べてみると、このモジュールを使うにはhttpdをroot権限で動かす必要があるらしいです。ファイルの実際のオーナーはnobodyとかで、内部的にACL相当の処理を実装しているのかと思っていたのですが、ぜんぜん違いました。ってモジュールの名前見ればわかりますね。ともあれ、WebDAVのためにroot権限でhttpdを動かすのにはちょっと躊躇してしまいます。なんか考えよう。
やっぱいくら暇がないといってもこういう場にはある程度の頻度で参加しないと駄目ですね。
加入しているCATVのデジタル放送が1日から本運用開始しました。フジ729(?)には当然のごとく加入。冷静に考えると来年の3月までは入る必要なかったような気もしますが、気にしない。
地上波デジタルも始まったので、設定してから一通り見てみました。アナログとの比較ではくっきりしているが、ちょっと白めといった感じ。うちのデジタル映像機器はすべからく似たような傾向なのですが、そういう物なんでしょうか。あと、電波がまだ弱いせいか、一部の放送局ではブロックノイズでまくりで、ちょっと見るに耐えない状況でした。コピーガードがうざったいので、アナログ放送があるうちは見ないと思いますが。
たまたま目の前で店に入った男が注文カウンターに向かわずにそのまま入り口近くの席につく。別に店が込んでいるわけではなく、男が座っている席を含め、周りに客は一人もいない。違和感を覚えたがさして気にすることもなく注文して朝食をとる。
朝食を終え、トレーを持ってゴミ箱へと向かうとちょうど中年女性と鉢合わせ。順番を譲って何気なくその女を観察すると、食べ終わったモーニングセットのごみを捨てているのに、ファーストフードのお土産袋を手に持っている。朝食を残したんだろうか。
自分のごみを捨てて出口に向かうと、先ほどの男がいきなり席を立って私の後に付いてくる。『こいつ、オレのストーカーか?』ととんちんかんな誤解をする。袋を持った女、私、不審な男、の順で店を出る。
自分の車に乗り込んでふと外を見ると、不審な男が袋を持って出た女の乗った車に近づき、運転席の窓をノックしている。女は窓を開け、男となにやら話し始める。何も気付かなかった振りをして車を出す。
そういえば、女がゴミ箱に向かってきた方向は、男が座っていた席と同じではなかったか。女が持っていた袋には何が入っていたのか。男の最後の行動がなければ気付くこともなかったのに。などとつらつらと考えるが、それも日常に薄められていく。
「報道特捜プロジェクト」というテレビ番組で見たのですが、銀行のカードが偽造されて勝手に預金を引き落とされるという被害が増えているそうです。予定を変更したそうなので、再放送なのかな。
番組の中では、被害のパターンとして、
という2種類が挙げられていました。前者の問題に対しては、金融機関に対して、今自分が使っているカードには暗証番号が記録されていないかどうか確認して、記録されているのなら交換してもらうか、交換できないと言われたら口座を解約するしかないでしょう。
それより番組を見ていてびっくりしたのは、銀行側はカードの利用規約にある、偽造カードが利用されても責任はとらないという項目(!)を盾に、後者の方法による被害者に対して損害の賠償に応じないばかりか、対策すらとろうとしていないという点でした。
2番目の問題の本質はおそらくセキュリティに関心のある技術者なら誰でも知っている、いわゆる「平文パスワード問題」です。つまり、銀行とATMを結ぶネットワーク上を平文の口座番号・暗証番号が流れるため、回線上に盗聴器を仕掛ければ、簡単にそれらの情報が盗めてしまうというものです。対策も(技術的には)簡単で、ATMと本支店の間の通信内容をきちんとした方式で暗号化してしまえば済む話です。が、途中にあった銀行協会の人間のコメントは「犯人が検挙されておらず、犯行手口の詳細が良くわかっていないため、対策が立てられない」だそうで、うっそで〜。正直にATMのシステム更新には莫大なお金がかかるのでと言ったらどう? って感じです。
ところで、番組に出演しておられた被害者の方は、カードや通帳を盗まれたこともなく、暗証番号のメモも取っていなかったそうです。さらに、その人は関東在住の人なのに、偽造カードによってお金が引き落とされたのは仙台で、なおかつ使われたカードは被害者とはまったく関係のない女性が、空き巣の被害にあって盗まれたものだったそうです。
ここまで状況が揃っていながら、銀行側が強気でいられるのは、前に書いた免責条項があるのと、被害者側は暗証番号を盗まれなかったことを完全には証明できるわけがないと考えているからでしょう。一方で、状況から見て銀行側にも、銀行側の責任により暗証番号が盗まれなかったことを証明するのは難しく、さらに言ってしまえば、盗聴器が仕掛けられた事により暗証番号が盗まれたという状況証拠をそろえるほうが簡単なのではないかと思いました。素人考えですが、その辺を攻めて、客観的に見て銀行の落ち度により暗証番号が盗まれた可能性が高いという結論に持っていければ、契約を無効としたり、顧客情報に関して不適切な処理を行ったとして責任を取らせることもできるような気がします。
具体的には、銀行側に
等の情報開示を求めるとか、第3者に、上記ATM、銀行本支店間のネットワーク、銀行本支店において、盗聴器を仕掛けられた、あるいは盗聴器を外すための工事をしたような痕跡が残っていないかどうかを調べてもらうとかするのかな。通信方式を聞いてみるのは、被害にあっていなくてもやってみて、銀行にプレッシャーをかけるのも良い手かもしれません。対応が不誠実なら解約したり。
そういえば昔、コードレスフォンの通話内容が簡単に盗聴可能であることがばれて、「スクランブル対応」とか変な売り文句の電話機が流行ったことがありましたね。
- nishi [この番組、私も見ました(細切れだけど・・・) 銀行の対応方法は腹立たしいね。 大金は現金で隠し持てってことですかね。..]