以下の内容はhttp://blog.f-secure.jp/archives/cat_10020818.htmlより取得しました。


OWASP World Tour Tokyo

 みなさん、こんにちは。Rakuten-CERTの福本です。
 先日、東京工業大学 蔵前会館にてOWASP World Tour Tokyoが開催されました。このOWASPの本格的なトレーニングイベントはなんと無償で提供され、有志のボランティアによって運営されました。サテライト会場も含め総勢700名を超える参加者が集まり、これだけのイベントがスポンサー無しで実施できたということが、いまのOWASP Japanのセキュリティコミュニティの強さを示しているのかなと思います。今回のトレーニング内容についてですが、各所での様々なOWASPのプロジェクトの活用例が充実しており、会場からは、このケーススタディを参考にして自社で同じような取り組みをやってみたいね、という声が多く聞かれました。参加出来なかった方も、こちらからトレーニング資料を見ることが出来ますので興味があればぜひ参考に!

331F5AC9-BA47-4B00-8868-CB774C5EA203IMGP0548IMGP0541
会場の様子。すごい熱気。

 そして、トレーニング会場をご提供頂いた東京工業大学の田中教授からのウェルカムスピーチの中で、なんとこの日、東京工業大学がOWASP Academic Supporterの申請をしたという発表は本当にサプライズでしたね!横にいたチャプターリーダーの岡田さんのリアクションも大きかったですねw

IMG_6600
セキュリティ人材育成に取り組んでいらっしゃる田中教授のスピーチの様子。

 世の中的にセキュリティ人材の採用競争が激化する中、セキュリティ人材育成はインターネット社会の健全な発展のためにも非常に大事な要素なので、今後の東京工業大学とOWASPとのコラボレーションに大いに期待しています!

Rakuten Global CISO Summit

 みなさん、こんにちは。Rakuten-CERTの福本です。
 先日、楽天初のRakuten Global CISO Summitを開催しました。今回はそのイベントの共有をしたいと思います。実は昨年、楽天グループ全社においてCISOの任命を義務づける新たなポリシーを策定し、本社CISO及び子会社CISOを数十名任命しました。これは楽天グループの重要なディレクションで、セキュリティガバナンスの強化は経営課題であり、そして僕らのセキュリティが次のステージに向かっていることを意味しています。そして、今回、全てのCISOが集まり、Rakuten Group CISO communityをスタートさせることが出来ました。このイベントを通じて楽天グループ全体のセキュリティにとっての大事な一歩が踏み出せたのかなと思います。
summit_logoDSC_8251DSC_8249fukumoto

 2日間の盛り沢山のセッションで構成されたCISOサミットですが、豪華なゲストスピーカーにもご登壇頂きました。OWASPでも有名なTobias GondromさんとJerry Hoffさんからは大変参考になる最新のセキュリティトピックやセキュリティマネジメントに関するお話を頂き、また、3人でパネルディスカッションも出来て、とても刺激的なセッションになりました。また、各社CISOからの最新の取り組みやチャレンジを共有してもらったり、セキュリティ改善のアクションアイテムを決めるワークショップを実施したり、CISO向けのセキュリティトレーニングセッションを提供したり、大変実りの多いイベントになったと思います。
 
P2090288P2090241booth3workshop

 最後に、CISOという仕事には相当な覚悟がいるかなと思います。No upside, nobody will do it for you, your responsibility. その覚悟を背負って、組織のセキュリティのためにリーダーシップを発揮するということは並大抵な事ではないと思います。何を大義名分にしてCISO業務を邁進するか。本気でセキュリティをやる上で、そこは大事なポイントだと思います。

THE FIGHT AGAINST CYBERCRIME

 みなさん、こんにちは。Rakuten-CERTの福本です。
ちょっと前の話です。今年6月の韓国でのFISRTカンファレンスで、とある方と情報交換をしてある気づきを得たのですが、今日はその話をしたいと思います。

 近年、僕らはインターネットセキュリティ対策に関する業務よりも、サイバー犯罪対応の業務のウェイトの方が多くなっているという事実を真剣に考えないといけません。実際、楽天でもその傾向が顕著に出ています。昨年末の沖縄のCyber3 Conferenceでインターポールの中谷さんも仰ってましたが、犯罪がフィジカルからインターネットに大きくシフトしています。中谷さんいわく、イギリスの(物理的な)銀行強盗は1992年に800件ほどあったそうですが、2014年には88件に減少したとのことです。一方で金融被害は飛躍的に増えていると。命をかけて刃物や拳銃で銀行を襲うよりも、国をまたいだインターネット経由の犯罪行為(不正送金マルウェアとか)の方が犯罪者としてはより安全なわけですから。

 楽天も、これまでの常識を遥かに超える数、いわゆるリスト型アカウントハッキングによる不正ログイン試行を観測しており、そのため楽天では数年前にサイバー犯罪対策室を設置し、不正ログイン試行や不正利用モニタリング、そして警察への対応を強化していて、サイバー犯罪の犯人逮捕にも惜しみない協力をしています。サイバー犯罪担当の警察官の研修受け入れについても、来年も積極的に実施する予定です。これまでは犯人逮捕というアクションはあまり力を入れてこなかったのですが、今は事情が全く逆です。警察側もサイバー犯罪は無視する事が出来ないものとなりかなり力が入っています。では、犯罪の温床を叩く意味について、2014年11月の中継サーバー業者の逮捕後の楽天での不正ログイン試行の状況を見てみましょう。(すいません、実数は非公開で・・)

login

 実際、不正業者の逮捕後は攻撃は激減しました。

 インターネットサービス企業において、セキュリティ技術や対策プロセス、人材育成と教育、という基本的なアプローチだけではもはや守りきれなく、事後対応能力も高めなくてはなりません。(注:プロアクティブセキュリティはきちんとやるのは大前提で)CSIRTの活動を通じた外部組織とのインシデント対応力だけではなく、犯人を追いつめて犯罪行為を牽制する力も必要です。何もしなければ犯罪し放題ですから。ですので、渉外対応やスレットインテリジェンス、Fraud分析あたりはこれから重要なキーワードになると思います。ちなみにSGR2016ではそのあたりのお話をさせて頂きました。

 また、最近では楽天を装った偽サイトは6000件、楽天を装ったフィッシングメールもかなり増えています。これらは別に新しい攻撃というわけではなく昔からあるユーザーを狙った金銭目的のサイバー犯罪ですが、激しさを増しているところに違いがあります。既にやっているユーザーへの啓発や注意喚起だけでは限界があり、大事なユーザーをどう守っていくか、それが今後のインターネットサービスの発展にとって重要な事であり、また業界全体で取り組む必要がある大きな課題なのかなと思います。さらに言うとこれがIoTの発展に伴ってサイバー犯罪は大きな問題となるはずで(特にランサムウェアはお金になりそうでやばい)、犯罪者にやりたい放題されないよう、インターネットの向こう側にいる犯罪者と戦っていかないといけないと、僕は思うのです。   

未来のチカラ

 みなさん、こんにちは。Rakuten-CERTの福本です。
 世界的にセキュリティ人材が不足と言われている昨今、需給バランスの改善にはセキュリティ人材教育プログラムの充実、セキュリティ対策プロセスの標準化がますます重要になってくるかと思います。そんな背景もあり、楽天は昨年、産学連携のひとつのきっかけ作りとして東工大とセキュリティキャンプでの集中合宿を実施したのですが、そのセキュリティイベントは今年から東工大大学院の特別専門学修プログラムのコア科目であるサイバーセキュリティ攻撃・防御第二となりました。

  楽天株式会社は、オフィシャルに東工大のサイバーセキュリティ特別専門学修プログラムに協力しています。
 

123
こちらは会場の様子。某合宿会場にて、授業にも熱が入る。

4
夜も教授部屋に集まって、ヒントをもらいながらハンズオントレーニングの課題を解く学生たち。

 今年はWebサイトへの攻撃メカニズムを理解するためのハンズオントレーニングがメインでしたが、来年はセキュアコーディングなどディフェンス側のトレーニングコンテンツも充実出来ればと思います。(そしてその先はインシデント分析、ハンドリングまで将来的に拡張したい)最後合宿が終わって、多くの学生さんから楽しかったと言ってもらえてほんとうれしかったですし、また東工大の担当教員の方々からも多大なご支援を頂き、本当にありがとうございました。まだスタートしたばかりですが、継続することによっていつかこの活動がインターネットセキュリティを支える力となることを願っています。







インターネットに安全地帯はあるのか?

みなさん、こんにちは。Rakuten-CERTの福本です。
 この度、2015年4月7日、8日に新経済サミットが開催されることになりましたが、今回、サイバーセキュリティのセッションで、なんと、あのエフセキュアブログでもお馴染みミッコ・ヒッポネンが登壇することが決まりました!

topic_1Mikko_Hypponen
インターネットに安全地帯はあるのか? ミッコ・ヒッポネン(F-Secure  チーフ・リサーチ・オフィサー)

高度情報通信ネットワーク社会において、サイバーセキュリティはもはや欠かせない重要なキーファクターとなり、政府機関も民間もセキュリティ体制、対策の強化が急ピッチで進んでいるかと思います。僕は13年以上、楽天でサイバーセキュリティを担当していますが、サイバー攻撃・犯罪の手口はここ数年で著しく巧妙なものとなり、それは映画の世界みたいな話ではまったくなく、まぎれもなく現実世界の話であり、そんな中、僕たちは安全なモノづくりだけではなく、日頃からセキュリティ監視・分析も行い様々な攻撃に対する対応をしています。いま世の中的に更なるセキュリティ対策強化が求められるこの状況で、今回、ミッコがどのような話をしてくれるのか、僕たちにどのようなインプットを与えてくれるのか、非常に楽しみにしています!僕ももちろん当日は会場にいる予定です。興味のある方はぜひ参加されてはいかがでしょうか。 


OWASP AppSec APAC Japan ウェブを、確かなものに。

 みなさん、こんにちは。Rakuten-CERTの福本です。
 これまでエフセキュアブログでOWASP AppSecについて何度か記事を書かせて頂きましたが、とうとう日本での開催がまもなくとなりました!OWASP AppSecでは鉄板ネタのCISOトレーニング、OWASP AppSensor、OWASP TOP10など、日本のスピーカーからもテッキーなネタがたくさんあり、見どころ満載なプログラムとなっています!数多くのセキュリティベストプラクティスを学べる絶好の機会なのでお見逃しなく。

 近年のサイバー犯罪は極めて深刻な状況であり、それに対抗するためにはソフトウェアの安全性を向上させていくことは極めて重要な意味を持ちます。教育者、ディベロッパー、セキュリティエンジニアなど多くのプレイヤーの方々の力を結集して、ウェブを、確かなものにしていけるよう、楽天もこのOWASPの活動を全力で支援します。僕もセッションMC、ボランティアスタッフとしてカンファレンスのお手伝いさせていただく予定です。みなさん、ぜひ会場で会いしましょう!


Have fun.

OWASP

OWASP AppSec APAC in Japan

 みなさんこんにちは。Rakuten-CERTの福本です。
 朗報です。前回のOWASP JAPAN Local Chapter MeetingのパネルディスカッションでOWASP AppSecについて話題が取り上げられていましたが、なんと、あのOWASP AppSecがとうとう来年日本で開催されることで正式に決定しました!!日本では初開催になります!

AppSec

 
OWASP AppSecは世界の最先端のセキュリティのベストプラクティスを学べる絶好の機会であり、そして、日本のセキュリティ技術を世界に発信出来る良いチャンスでもあると思っています。そういった場を作ることがOWASP Japanを立ち上げた際の僕たちのひとつの目標だったのですが、こんなに早く実現出来てちょっと驚きです。それもOWASP JapanのLocal Chapter Meetingに毎回大勢の方が参加してくれて、日本のニーズがOWASP関係者に伝わったのが大きかったのかなと思っています。(ちなみに、前回のAppSec APACで岡田さんがOWASP Japanの活動を広報していましたが、多くのOWASP関係者がその参加者数に驚いていましたw)
 さて、Organization Supporterの楽天としてもさらに気合が入るわけですが、来年このイベントの成功させるために、OWASPボードメンバーの力を結集して全力で取り組みたいと思いますので、みなさまの応援とご協力のほどよろしくお願いいたします!そして一緒にAppSec Japanを盛り上げましょう!

OWASP Japan 2nd Chapter Meeting

 みなさんこんにちは。Rakuten-CERTの福本です。

 第2回 OWASP Japan Chapter Meetingが6月27日(水)に開催されます!本イベント は、セミナーや持ち込みのライトニングトークの形で行われる、Webセキュリティに関心のある方が集う、楽しくカジュアルな勉強会です。イベント参加希望の方は、こちらからご登録をお願いします!!

今回はRakuten-CERTのリサーチャーから、近年注目されているMobile Securityについてデモを含めたプレゼンテーションもあります。お楽しみに!

have fun.

OWASP AppSec APAC 2012

 みなさんこんにちは。Rakuten-CERTの福本です。
 先日、OWASP AppSec APAC 2012に参加してきました!楽天ではエンジニアのスキル向上のため、海外カンファレンスに参加してトレーニングを受けるという権利があるのですが、なんとその権利は全社員エンジニアに与えられています!!トレーニングにそこまで投資してもらえるのはエンジニアとしては大変ありがたいことで、会社からの期待に応えるべく今回はシドニーに行って来ました。(笑)

DSC_0070DSC_0068
#パネルディスカッションにはWhiteHat SecurityCTOJeremiah Grossmanも。あのCSS history hackを見つけた。


 
一応、今回のカンファレンスはOWASPGlobalイベントなのですが、参加者は100人もいなかったでしょうか。(日本人は僕たち3名だけ)でも、こじんまりした感じでコミュニケーションも取りやすかったのでけっこう良かったです(笑)

 セッションの内容についてですが、引き続き
security auditingをいかに効果的に、効率的にやっていくか、という話が多かったように思います。Black box testingでは見つけられる脆弱性やスケーラビリティにも限界があるので、ソースコードを診断に利用するアプローチが進んでいて、守り側としては今後もソースコードにアクセス出来る利点を最大に活かしていこうという流れは加速して行きそうです。実際、楽天も社内の診断ではGray box testingに変えつつあります。診断していてどうも挙動がおかしいな?と思ったとき、いろいろ動きを試してみるよりもソース見た方が手っ取り早いので。他にもクラウド型のソースコード診断の話や、モバイルアプリケーションのセキュリティの話など、いろいろ参考になりました。あと、今回のAppSecの参加者はpen testerの方が多かったような気がします。Pen testerが参考になるネタも結構あったからでしょうか。

 社内にずっといると視野が狭くなりがちなので、自分達の対策を客観的に捉え、新しい方向性を考えるうえで、こういう機会は大事にしたいですね。

 

おまけ:

せっかく来たのでカンファレンス最終日にロブスターをいただきました!w
DSC_0076DSC_0082DSC_0085 

Identity Theftのトレンド

 みなさんこんにちは、Rakuten-CERTの福本です。今日は、Identity Theftについて。

 警視庁のサイバー犯罪対策のHPで、「平成23年中の不正アクセス行為の発生状況等の公表について」という資料が公開されていますが、その別紙に(おそらくどこかで不正に入手した)アカウントリストを使った不正ログイン攻撃についての記載があります。

ID

 おそらくなのですが、どこかのサイトで漏洩したID/パスワードのリストが流通していて、攻撃者は他のサイトでも不正に使えないか試しているようです。実際、僕たちのサービスも、どこかで情報漏洩のインシデントが発生すると不正ログイン試行の件数が急に跳ね上がったりします。これは攻撃者が最初に、対象サイトでログイン可能なアカウントリストを作成するために不正ログイン試行をしているようで、そしてリスト作成後に違うIPアドレスからログインしてこっそり不正を試みるわけです。(ちなみに楽天では独自開発した検知ロジックがあって、不正と判定されたらパスワードが初期化されます)

 さて、侵入率が6.7%という数値をどうみるか。これはかなりの成功率だと思うので、攻撃者側の経済合理性を想像すると不正ログインによる被害は今後増えていくのではないかと思っています。他社で漏れてしまったID/パスワードが自社の脅威となる状況なので、新たな対策を考えなければならないですね。

OWASP Japan 1st Chapter Meeting

 みなさんこんにちは。Rakuten-CERTの福本です。

 この度、日本のWebアプリケーションセキュリティのために有志が集まってOWASP Japanが立ち上がり、待望の第1回のLocal Chapter Meetingが開催されることになりました!!楽天もOWASPのメンバーシップにOrganization Supporterとして加入をし、微力ながらOWASP Japanの活動をお手伝いさせて頂いております。

 今回のスピーカーはかなりの豪華メンバーですよ!そして、予想をはるかに超える勢いですぐに満席になってしまいました。多くの人がOWASP Japanを待ち望んでいたんですね、きっと。


 当日、みなさんと会場でお会い出来るのを楽しみにしています(笑)
 また、今回、満席で参加出来ない方はすいません。。このイベントは定期的に開催するので、また次回の機会に!あと、セキュリティエンジニアの方だけでなく、ディベロッパーの方も大歓迎ですよー。

セキュリティ・キャンプ

 みなさんこんにちは、Rakuten-CERTの福本です。

 今日、セキュリティ・キャンプ実施協議会の設立総会に参加してきました!

 近年、インターネットセキュリティの重要性はますます増していて、ユーザー企業においてもセキュリティエンジニアの採用は非常に困難な状況になっています。ですので、IPAさんのセキュリティ&プログラミングキャンプはもっと頑張って欲しいなあと思っていたのですが、今年から産官学オールジャパンで若年層のセキュリティ人材育成を強化するということなので、微力ながら楽天株式会社も協賛企業としてご支援させて頂くことにしました。

僕たちはセキュリティエンジニアを目指す人たちを応援しています!!



 ちなみに、協賛企業の一覧を見ると我々と同様のユーザ企業の名前がちらほら見当たります。個人的には、今まさにユーザ企業ではセキュリティエンジニアを雇用し、アウトソースせずに自社のリソースでセキュリティをやり始めようとしているのかなと思います。ユーザ企業でのセキュリティエンジニアのポジションはもうじき一般的なものになるでしょう。そして、現場も良く知っているセキュリティエンジニアの価値はさらに高まると思っています。

いつかは現場持っている僕たちユーザ企業の方がセキュリティ詳しいくらいにしたいですね!

OWASP AppSec Conference

 みなさんこんにちは。Rakuten-CERTの福本です。Rakuten-CERTでは最新のセキュリティ情報をインプットすべく、様々なセキュリティカンファレンスに積極的に参加する機会を設けているのですが、今回はOWASP AppSec USA Conferenceにうちのメンバーを2名派遣してきました。

owasp1owasp2

こちらは会場の様子。

 OWASP AppSecはWebセキュリティに特化したカンファレンスで、僕たちのようなWebサイト側で働くセキュリティエンジニアにとっては、かなりフィットした内容になっているのかなと思います。そして、AppSecのハンズオントレーニングもかなり興味深いものが多いです。ちなみにうちのメンバーは以下のコースを受講して、多くのインプットを持って帰って来ました。

・Building Secure Ajax and Web 2.0 Applications (Dave Wichers / Aspect Security)
・Designing, Building, and Testing Secure Applications on Mobile Devices (Dan Cornell / Denim Group)

 Aspect SecurityといえばWebGoatを中心的にやっているところですね。この前者のコースはテキストが200ページ近くあってかなりのボリュームなのですが、基本的なチェックポイントが体系的に整理されていて大変参考になるものでした。そして、Rakuten-CERTでは今後の強化ポイントとして、smartphoneアプリの診断テクニックをリサーチしているのですが、後者のトレーニングもチェックの網羅性を高めるうえで極めて良いインプットになったのかなと思います。他にもtalkの方では、Ghosts of XSS Past, Present and Futureでの、ここ数年でXSS対策がContextごとに細かなケアーが必要になって来ている話が興味深かったり(やっぱり、新しい攻撃手法にキャッチアップし続けて対策方法にFBし続けるのが大事だなあって・・)、Gray, the New Black: Gray-Box Web Penetration Testingでの、同じスキルで競い合っても攻撃者側の方が時間的に有利なので、防御側はソースコードにアクセス出来る利点を活かして効率的に脆弱性発見し修正しましょうという話しも興味深く、特にこのネタは会場でも盛んに議論され注目度も高まっているようでした。
こちらtalkの方の資料は一般公開されているので、興味があれば読んでみてはいかがでしょうか。

 

 ちなみにですが、AppSecってあまり知られてないみたいで日本からの参加者はたった3名だったそうです(うち楽天が2名)。ちょっと意外に思ったのはディベロッパーが多いということですね。29%もいます。あと、学生は6%だそうです。その中には12歳のハッカー?もいて、ちょっと驚きもありましたが(笑)

bad
http://owasp.blogspot.com/2011/09/owasp-appsec-usa-2011-wrap-up.htmlから

それと、AppSec CTFっていうイベントもあったのですが、こちらは十分な情報収集が出来なかったので次回の機会に・・・

目指すは「Rakuten CTF」

 みなさんこんにちは。Rakuten-CERTの福本です。
 最近、様々なインシデント事例があってセキュリティ関係者は大忙しみたいですね(苦笑)そんな状況でもあるので、ここ最近は多くの企業でセキュリティのニーズも増しているのかなと思うのですが、GovInfoSecurity.comの記事によると米国のセキュリティ人材の失業率はなんと0%とのことです。これは驚きの結果ですね。セキュリティエンジニアを採用するのは非常に困難な状況なのかもしれません。実際うちも採用は大変です・・。

 最近、ユーザ企業側でのセキュリティ体制の整備についてちょっと調べていたのですが、やはり下記の一覧のように、ここ数年で多くの企業でCSOが任命され、企業内CSIRTの整備も進んでいるようでした。


CSO

 この中でも個人的にはフェイスブックの取り組みは気になっているところで、彼らはかなりの腕利きのハッカーを採用してたり、Security Bug Bounty Programもやってたりします。(ちなみにこの記事によると、早速多数のセキュリティ研究者から脆弱性の報告があったようで$40,000を支払ったようです)これらはユーザ企業側のセキュリティの取り組み方が変化してきていることを示していると思っていて、彼らの今後の動向は要チェックです。


 本題に戻りますが、この先多くのユーザ企業が自社のセキュリティ対策を整備していくためには、これまでより多くのセキュリティエンジニアが必要になると思うので、セキュリティの人材育成がますます重要になってくると思っています。はっきり言って今でもセキュリティの分野は人材不足です。そのためにも、セキュリティ&プログラミングキャンプのような人材育成支援の取り組みはもっとやった方がいいと思うし、そして日本でもCTFへの積極的支援があってもいいのかなとも思っています。例えば、お隣韓国のKISA(韓国インターネットセキュリティ庁)のCODEGATEの取り組みのように。これは僕の主観なのですが、韓国はここ数年、このような国策によってセキュリティエンジニアのレベルはかなり向上したように思えます。


 やっぱり技術者を育てるためは高い目標とライバルと競い合う場は必要だと思うし、CTFはそのためも必要な場だと思うので、来年あたり楽天セキュリティサミット(楽天グループだけのローカルセキュリティカンファレンス)の一部をオープンな形にして、Rakuten CTFが出来ないかなって思っています。またひとつ、僕の目標が出来ましたね。

DKIMの普及を願ってます!

 この度、楽天株式会社は、メール送信ドメイン認証技術「DKIM(DomainKeys Identified Mail)」を普及させるために、「Japan DKIM Working Group(dkim.jp)」に参加しました。

 DKIMは2007年にRFC 4871として承認されたわけですが、この技術が世の中に浸透したらメールによるフィッシング犯罪、または標的型攻撃の防止にも大いに効果があると思っています。ちなみに、迷惑メールについては現在国内で受信されるメールの約7割とのことで、その多くが「なりすましメール」と言われているそうです。多いですよね。。

 自律・分散・協調を基本とするインターネットでは、「協調」するところが重要であり難しいところでもあると思うのですが、これだけ迷惑メールが横行して、そして悪用にも使われている状況なので、今回のDKIM普及の取り組みによって、みんなが協力し合って不正行為に対抗していることを大いに期待しています!

安心・安全なインターネット社会のために。

PacSecに協賛しました!

 楽天はこの度、PacSec 2010に協賛しました!
 僕たちRakuten-CERTのセキュリティエンジニアにとって、PacSecはとても重要な情報源であると位置づけています。国内でこれだけのハイレベルな技術情報をインプット出来るカンファレンスというのは本当に貴重で、このようなイベントが日本でも開催されるのは非常にありがたいことだと思っています。CanSecだと出張費が結構かかるので、なかなか行けないですからね。。

 さて、今年期待したいネタついてですが、スマートフォンアプリの脆弱性診断に関わる話題でしょうか。特にObjective-Cで開発したiPhoneアプリのバイナリ診断は、僕たちの課題だったりします。


スピーカーの公開も始まったので、皆さん要チェックですよ!!

ホワイトハッカーを仲間につけろ

 何やらTwitterのXSSワームがいろいろ話題になっていましたが、F-Secure ミッコ・ヒッポネンさんの「ハッカーを味方につけろ」にてひとつ気になる所がありました。

(snip)
 私が助言するとすれば、Twitterは自分達のシステム内にある、重要なセキュリティ脆弱性を新たに発見する目的で、報奨制度を設けるべきだろう。

  たぶん、こうしたオンラインハッカーの中には、楽しみのために新たなシステム破壊ワームを書くよりは、金儲けの方に興味を持つ人達もいるだろう。
(snip)

 確かに報奨制度は脆弱性の悪用を防ぐためのひとつの手段かも知れません。ですが、脆弱性を見つけて報奨金がもらえるとなると、むしろ攻撃者の不正アクセス行為を助長させ、結果的にはリスクが増えるのではないかと思います。それと、Webサイト運用側にとっては不正アクセス行為(の可能性と検知されるアクティビティ)が増える可能性が考えられ、これをやると監視の方もひと苦労でしょう。。あくまで仮説ですが。

 個人的には報奨制度ではなく、企業内でセキュリティエンジニアを雇用、育成し、安全なソフトウェア開発のために検証工程に脆弱性チェックというプロセスを組み込む方がいいのではないかと思います。(もし、既に組み込まれているとしたら、そのプロセスを強化するということで)

 もちろん、その作業はインターネットセキュリティの専門会社にアウトソースするという選択肢もあります。ですが、可能ならセキュリティエンジニアを雇用した方が経済合理性があるのではないかと思っています。楽天ではアウトソースと自社のセキュリティエンジニアの組み合わせでセキュリティ業務をしていますが、実績としては、やはり自社の作業比率を上げた方がコスト面やリードタイムなどメリットが大きいです。

 そして、Webサイト運営の現場では様々なセキュリティの業務があり、脆弱性チェック以外でもセキュリティエンジニアを必要としていて、彼らの活躍の場は沢山あると思っています。
Rakuten-CERTの業務の一例:あんしん・あんぜんなWebサイト運営のために


 この先、インターネットサービス企業が生き残るためには、インターネットセキュリティの技術は必須になると思っています。お客様の情報は守った上でのサービスですから。楽天ではそのベースとなるセキュリティ技術、そして体制をさらに強化しているところです。僕たちはもっともっと優秀なセキュリティエンジニアを必要としています。そして、セキュリティエンジニアの方々にはもっともっとユーザ企業側でも活躍して欲しいなあと思います。
やってみると結構、面白いですよ。

have fun.




以上の内容はhttp://blog.f-secure.jp/archives/cat_10020818.htmlより取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます

不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14