「コンピュータセキュリティ業界の宣伝方法はダイエット食品業界のそれと非常によく似ている」――マーカス・J・レイナム氏インタビューの後編。
「ソフトウェアのセキュリティをどうやって実現するのかということを考えた場合、すべての答えは、アプリケーションをコーディングする前に、それをデザインする必要があるということ、ソフトウェアを出荷する前に、問題を理解する必要があるということに帰着します」――プロキシファイアウォールの発明者、マーカス・J・レイナム氏へのインタビュー後編。前編で現行セキュリティソリューションの問題点を指摘した同氏が、Webアプリケーションファイアウォールについて、また、アプリケーションのセキュリティについて語る。
―― Webアプリケーションファイアウォールという新たなカテゴリーが生まれようとしています。企業はそれを必要としているのでしょうか。
レイナム Webアプリケーションファイアウォールは、アプリケーション認識型プロキシという思想の回帰であり、当を得た考え方だと思います。アプリケーション認識型プロキシはわたしが考え出したアイデアです。その考え方を説明しますと、2つのネットワーク間でアプリケーションのプロトコルを調停し、その調停プロセスにおいてプロトコルの修正確認を行うとともに、何が危険な動作であるか分かっていれば、その動作を禁止したり、ポリシーによって有効/無効にしたりするというものです。今日出回っているWebアプリケーションファイアウォールのほとんどは、そこまで細かい処理をしてはいないと思います。これらのファイアウォールの多くは、Code Red(ウイルスの一種)がどのようなものであるかは認識しており、また、異なるURLをホワイトリストおよびブラックリストに分類することができると思います。そういったことができるというのは素晴らしいことです。
しかし本当に必要なのは、ネットワークへの出入りが許可されるデータは正しい構造になっていると断言できるようにすることです。「正しい構造」とは何を意味するのかを正確に定義することができれば、マルウェアはその定義から除外され、それによって非常に多くの問題が解決されます。しかしこういったことは、まだ行われていないように思います。なぜなら、そういったレベルのコンテンツチェックの対象となるアプリケーションを作成するには、正しいプロトコルとはどういったものなのかを規定する必要があり、しかもこれらのプロトコルは時々刻々と修正されているのです。
Webアプリケーション開発の前提の1つに、ビジネスに必要な独自の新プロトコルを1時間以内で作成できるということがあります。これでは、そのプロトコルの正しい挙動とはどういうものなのかを推測できるわけがありません。
はっきり言えば、コンピュータセキュリティ業界はダイエット食品業界に非常によく似ています。ダイエット食品業界のベンダーは皆、同じ前提に立って宣伝しています。「わたしたちの言う通りにすれば、毎日1ガロン(約4リットル)のBen & Jerryのアイスクリームを食べても太りません」というわけです。これをセキュリティ分野に置き換えてみれば、ファイアウォールや侵入防御システム、アンチウイルスシステム、デスクトップファイアウォールなどを備えていれば、不適切なデザインのソフトを使って危険な行為をしても安全だ、とベンダーたちは言っているのです。
―― 次の戦場はアプリケーションのセキュリティの分野ですか。
レイナム これは非常に重要な分野であり、われわれが以前から声を大にしてアピールしているのもそのためです。ソフトウェアのセキュリティをどうやって実現するのかということを考えた場合、すべての答えは、アプリケーションをコーディングする前に、それをデザインする必要があるということ、ソフトウェアを出荷する前に、問題を理解する必要があるということに帰着します。ソフトウェアは、成熟したプロフェッショナルが取り組む技術分野になる必要があるのです。ソフトウェアの役割を理解していない上司にばかげた締め切りを言い渡されて、Joltコーラを流し込みながら充血した目でアプリケーションの短期開発に精を出すしか能がないプログラマーに任せるような仕事ではないのです。
―― あなたはフォーティファイソフトウェアの取締役ですね。アプリケーションのセキュリティをテストするための新タイプの自動化ツールについて説明してください。
レイナム フォーティファイのツールの機能の1つに、アプリケーション全体を検査し、システム内のコンポーネントおよびデータの利用状況を追跡し、危険な利用方法が存在する個所について警告を発したり、よくある間違いを犯していると思われる部分について警告を発したりする機能があります。いわば、プログラマーの肩越しに、もう1組の目が監視しているようなものです。開発チームがフォーティファイのツールを利用すると、彼らのセキュリティ意識が非常に高くなります。「なんてことだ、われわれのソフトウェアはセキュリティホールだらけじゃないか」というわけです。そして彼らは修正に取り掛かるのです。これは、こういった問題がシステム的に常態化することがないようにデザインを改善する方法について考えるきっかけになります。しかし残念ながら、現実には、ソフトウェア開発業界はその点を取り違えてきたのです。そして長い間、それによって莫大な利益を上げてきたため、大きな転換を促すのが非常に困難なのです。
―― 希望はないのですか。
レイナム 現在は、まだコンピューティングの歴史の初期の段階にすぎません。コンピューティングが始まってから50年くらいしかたっていないのです。ほかの科学分野を見れば分かるように、現実が受け入れられるまでには、だれもが永久機関を作り出そうとする時期を経なければならないのです。現在、コンピューティング分野で起きているのも、基本的にそういうことだと思います。アプリケーションのセキュリティが非常に重要であるという現実は、まだ受け入れられていないのです。
本稿著者のマーカス・J・レイナム氏は、セキュリティシステムのデザインとインプリメンテーションの分野で世界的に著名な専門家で、テナブルセキュリティのセキュリティ責任者を務める。プロキシファイアウォールの発明者として、また最初の商用ファイアウォール製品の実装者として認められている。1980年代末以来、DEC SEAL、TISファイアウォールツールキット、Gauntletファイアウォール、NFRの侵入検知システムNetwork Flight Recorderなど数々の画期的なセキュリティ製品のデザインを手掛けた。同氏は、開発者からNFRの創業者/CEOに至るまで、セキュリティ製品ビジネスのあらゆるレベルの業務に携わってきた。多数のフォーチュン500企業および連邦政府機関のコンサルタントを務めた経験もある。
Copyright © ITmedia, Inc. All Rights Reserved.
ランサムウェア攻撃は、生成AIを活用してますます巧妙化している。このような中で有効なのが、ゼロトラストセキュリティの原則に基づいた防御の戦略だ。本資料では、その戦略を5つのステップで解説する。
多くのセキュリティ担当者は、日々進化するサイバー脅威と複雑化するIT環境のはざまで対応を迫られている。本資料ではその現状を、ITおよびセキュリティのプロフェッショナルへの調査で明らかにし、打開策を考察する。
フィッシング攻撃は日々高度化し、特に生成AIの活用による偽装技術の向上や攻撃手法の巧妙化が進んでいる。本資料では、フィッシング攻撃のトレンドや事例を紹介するとともに、防御のベストプラクティスについて考察する。
従来のセキュリティ製品は、境界やエンドポイントの保護に重点を置いており、ネットワークレイヤーの保護は難しい。ハッカーはこの“ギャップ”を悪用するため、ネットワークトラフィックに潜む異常をリアルタイムに検知することが重要だ。
大企業のIT部門を対象に行ったセキュリティ対策に関する調査によると、未知の脅威への検知対策を行っているものの、その対策に不安を感じている企業は少なくないという。大企業はどのようなセキュリティの課題を抱えているのか。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
プロキシファイアウォールの発明者、マーカス・J・レイナム氏
