2006年05月25日 10時16分 公開
特集/連載

Webアプリケーションファイアウォールの可能性――ファイアウォールの第一人者に聞く(後編)Interview

「コンピュータセキュリティ業界の宣伝方法はダイエット食品業界のそれと非常によく似ている」――マーカス・J・レイナム氏インタビューの後編。

[TechTarget]
プロキシファイアウォールの発明者、マーカス・J・レイナム氏

 「ソフトウェアのセキュリティをどうやって実現するのかということを考えた場合、すべての答えは、アプリケーションをコーディングする前に、それをデザインする必要があるということ、ソフトウェアを出荷する前に、問題を理解する必要があるということに帰着します」――プロキシファイアウォールの発明者、マーカス・J・レイナム氏へのインタビュー後編。前編で現行セキュリティソリューションの問題点を指摘した同氏が、Webアプリケーションファイアウォールについて、また、アプリケーションのセキュリティについて語る。

―― Webアプリケーションファイアウォールという新たなカテゴリーが生まれようとしています。企業はそれを必要としているのでしょうか。

レイナム Webアプリケーションファイアウォールは、アプリケーション認識型プロキシという思想の回帰であり、当を得た考え方だと思います。アプリケーション認識型プロキシはわたしが考え出したアイデアです。その考え方を説明しますと、2つのネットワーク間でアプリケーションのプロトコルを調停し、その調停プロセスにおいてプロトコルの修正確認を行うとともに、何が危険な動作であるか分かっていれば、その動作を禁止したり、ポリシーによって有効/無効にしたりするというものです。今日出回っているWebアプリケーションファイアウォールのほとんどは、そこまで細かい処理をしてはいないと思います。これらのファイアウォールの多くは、Code Red(ウイルスの一種)がどのようなものであるかは認識しており、また、異なるURLをホワイトリストおよびブラックリストに分類することができると思います。そういったことができるというのは素晴らしいことです。

 しかし本当に必要なのは、ネットワークへの出入りが許可されるデータは正しい構造になっていると断言できるようにすることです。「正しい構造」とは何を意味するのかを正確に定義することができれば、マルウェアはその定義から除外され、それによって非常に多くの問題が解決されます。しかしこういったことは、まだ行われていないように思います。なぜなら、そういったレベルのコンテンツチェックの対象となるアプリケーションを作成するには、正しいプロトコルとはどういったものなのかを規定する必要があり、しかもこれらのプロトコルは時々刻々と修正されているのです。

 Webアプリケーション開発の前提の1つに、ビジネスに必要な独自の新プロトコルを1時間以内で作成できるということがあります。これでは、そのプロトコルの正しい挙動とはどういうものなのかを推測できるわけがありません。

 はっきり言えば、コンピュータセキュリティ業界はダイエット食品業界に非常によく似ています。ダイエット食品業界のベンダーは皆、同じ前提に立って宣伝しています。「わたしたちの言う通りにすれば、毎日1ガロン(約4リットル)のBen & Jerryのアイスクリームを食べても太りません」というわけです。これをセキュリティ分野に置き換えてみれば、ファイアウォールや侵入防御システム、アンチウイルスシステム、デスクトップファイアウォールなどを備えていれば、不適切なデザインのソフトを使って危険な行為をしても安全だ、とベンダーたちは言っているのです。

―― 次の戦場はアプリケーションのセキュリティの分野ですか。

レイナム これは非常に重要な分野であり、われわれが以前から声を大にしてアピールしているのもそのためです。ソフトウェアのセキュリティをどうやって実現するのかということを考えた場合、すべての答えは、アプリケーションをコーディングする前に、それをデザインする必要があるということ、ソフトウェアを出荷する前に、問題を理解する必要があるということに帰着します。ソフトウェアは、成熟したプロフェッショナルが取り組む技術分野になる必要があるのです。ソフトウェアの役割を理解していない上司にばかげた締め切りを言い渡されて、Joltコーラを流し込みながら充血した目でアプリケーションの短期開発に精を出すしか能がないプログラマーに任せるような仕事ではないのです。

―― あなたはフォーティファイソフトウェアの取締役ですね。アプリケーションのセキュリティをテストするための新タイプの自動化ツールについて説明してください。

レイナム フォーティファイのツールの機能の1つに、アプリケーション全体を検査し、システム内のコンポーネントおよびデータの利用状況を追跡し、危険な利用方法が存在する個所について警告を発したり、よくある間違いを犯していると思われる部分について警告を発したりする機能があります。いわば、プログラマーの肩越しに、もう1組の目が監視しているようなものです。開発チームがフォーティファイのツールを利用すると、彼らのセキュリティ意識が非常に高くなります。「なんてことだ、われわれのソフトウェアはセキュリティホールだらけじゃないか」というわけです。そして彼らは修正に取り掛かるのです。これは、こういった問題がシステム的に常態化することがないようにデザインを改善する方法について考えるきっかけになります。しかし残念ながら、現実には、ソフトウェア開発業界はその点を取り違えてきたのです。そして長い間、それによって莫大な利益を上げてきたため、大きな転換を促すのが非常に困難なのです。

―― 希望はないのですか。

レイナム 現在は、まだコンピューティングの歴史の初期の段階にすぎません。コンピューティングが始まってから50年くらいしかたっていないのです。ほかの科学分野を見れば分かるように、現実が受け入れられるまでには、だれもが永久機関を作り出そうとする時期を経なければならないのです。現在、コンピューティング分野で起きているのも、基本的にそういうことだと思います。アプリケーションのセキュリティが非常に重要であるという現実は、まだ受け入れられていないのです。

本稿著者のマーカス・J・レイナム氏は、セキュリティシステムのデザインとインプリメンテーションの分野で世界的に著名な専門家で、テナブルセキュリティのセキュリティ責任者を務める。プロキシファイアウォールの発明者として、また最初の商用ファイアウォール製品の実装者として認められている。1980年代末以来、DEC SEAL、TISファイアウォールツールキット、Gauntletファイアウォール、NFRの侵入検知システムNetwork Flight Recorderなど数々の画期的なセキュリティ製品のデザインを手掛けた。同氏は、開発者からNFRの創業者/CEOに至るまで、セキュリティ製品ビジネスのあらゆるレベルの業務に携わってきた。多数のフォーチュン500企業および連邦政府機関のコンサルタントを務めた経験もある。

ITmedia マーケティング新着記事

クラウドファンディングを活用して広告出稿 MOTION GALLERYと電通が「AD MISSON」を提供開始
自己資金は乏しくても共感性が高く社会貢献の見込めるプロジェクトが情報発信できるため...

news017.jpg

「A/Bテスト」ツール 売れ筋TOP10(2021年10月)
今週は、「A/Bテスト」ツールの売れ筋TOP10を紹介します。

news030.jpg

コンテンツSEOでやらかしてしまいがちな3つの勘違い
ITmedia マーケティングで2021年3月に連載して多くの反響をいただいた「勘違いだらけのEC...