こんにちは、セキュリティエンジニアの河村です。
今回は白揚社出版の「情報セキュリティの敗北史」の書評をお届けします。
情報セキュリティの敗北史:アンドリュー・スチュワート 著 小林啓倫 訳(白揚社)
▼書籍情報はこちらです。
本の概要
本書は、情報セキュリティに関する出来事を、コンピューターの黎明期である1940年代から現在に至るまで、時系列に沿って解説しています。現代のホットなテーマも、過去に遡ってその文脈を理解することで、より深く本質を捉えることができると感じました。また、情報セキュリティの経済学など、通常の教科書ではあまり詳しく取り扱われないテーマにも触れられており、非常に興味深い内容となっています。
章ごとの概要
以下に、本書の各章で特に注目したい内容をピックアップしてご紹介します。
1 情報セキュリティの「新次元」
第二次世界大戦前後のコンピューター黎明期、ENIACなどのエピソードから始まります。この時代のコンピューターにはネットワークは存在しませんでしたが、情報の閲覧に権限設定があったり、「タイムシェアリング型」という形で、原始的な情報セキュリティが存在していたことがわかります。
2 研究者たちの期待、成功、失敗
主に1970年代までの基礎研究について述べられています。1970年に提出された「ウェア・レポート」では、
大規模なソフトウェアシステムにおいては、エラーや異常が完全に無いことを検証するのは事実上不可能
情報セキュリティの敗北史(P.28)
攻撃者がそのような抜け穴を計画的に探し、利用することも考えられる
情報セキュリティの敗北史(P.28)
といった、脆弱性とクラッキングについての洞察が記されており、その先見性には驚かされます。この時代、これらは理論レベルでの研究に留まっていましたが、国家秘密として扱われるなど、その戦略的重要性はすでに認識されていました。
また、1974年にはサルツァーとシュローダーが情報セキュリティの三要素「CIA(機密性、完全性、可用性)」や「フェイルセーフなデフォルト」などを提唱しています。
3 インターネットとウェブの誕生、不吉な予兆
冷戦期に、国家レベルで通信の可用性を確保するため、人間の脳の構造をヒントに、パケットを用いた原始的な通信手段がランド研究所のポール・バランによって1960年代に「分散化とパケットスイッチング」として提唱されました。これが基となり、ARPANETが形成されました。ARPANETの発展に伴い、@を用いたメールシステムが導入され、RFCやTCP/IPなどネットワークの基礎が築かれました。
このように、ARPANETは発展し、やがて現在のインターネットへと進化していきます。しかし、1983年にはフレッド・コーエンによって世界初のコンピュータウイルスが作成され(P.62)、1990年にはロバート・T・モリスがインターネットに甚大な被害をもたらすウイルスを作成・拡散し、史上初めてインターネット関連の有罪判決を受けることとなります(P.66)。
UNIXやC言語も1970年前後に開発されました(P.70)。
1990年前後にブラウザが一般化し、情報セキュリティの重要性が急速に高まりました。ネットワーク脆弱性スキャナSATANが開発されましたが、これは攻撃にも利用できるため、賛否両論が巻き起こりました(P.82)。
4 ドットコム・ブームと魅力的なフィードバック・ループ
1990年代、インターネットの普及に伴い、インターネット関連株が過剰に上昇するドットコム・ブームが巻き起こりました。
この急速な発展に伴い、JavaやActiveXなどのモバイルコード技術が普及しましたが、これらには多くの脆弱性が発見されました。また、サーバサイドの脆弱性として、SQLインジェクションなどのコマンドインジェクションが問題視されました。SSLプロトコルも登場しましたが、根本的な解決には至りませんでした。
アンダーグラウンドマガジン「Phrack」の共同編集者の一人であるハッカー「Route」は、90年代に活躍し、TCP/IPプロトコルスイートを攻撃しました(P.96)。彼が広めた「SYNフラッド攻撃」は、プロトコルのセキュリティ上の弱点を示すものでした(P.98)。
こうした背景から、イーベイやヤフーなどの大手企業はセキュリティ確保が困難になり、セキュリティの重要性が増大したものの、多くの企業にとってそれは難題でした。ここで成長したのが情報セキュリティ産業です。しかし、企業が提案したスキャナーやファイアウォールには多くの問題がありました。例えば、ファイアウォールによる偽陽性の検知が顧客のセキュリティ意識に悪影響を与えることがありました。
また、ハッカーに対する一種の崇拝的感情が生じ、フィードバック・ループが形成されたのもこの時期です。エクスプロイトを投稿する文化ができ、脆弱性に関する知見が共有される一方で、スクリプトキディ(技術的に未熟なハッカー)の増加という問題も浮上しました(P.116)。こうしてセキュリティ業界とハッカーが共に成長する一種の共生関係が生まれました(P.117)。
この時期、ハッカーとセキュリティ業界の原動力として「恐怖」が非常に強力であることが明らかになりました(FUD: fear, uncertainty, doubt)。この動向に否定的な意見もあり、マーカス・J・レイナムは「ハッキングがクール」という考え方を「コンピュータセキュリティにおける最も馬鹿げた考えの一つだ」と述べています(P.121)。
5 ソフトウェアセキュリティと「苦痛なハムスターホイール」
ドットコムブームの間に生まれたフィードバック・ループにより、企業がパッチを適用しなければならない新たな脆弱性の数は増える一方でした。「ペネトレイト・アンド・パッチ(脆弱性を見つけてパッチを当てる)」という方法論では、企業は進展せず、常にパッチの適用が求められる状況が続き、ある専門家はこれを「苦痛なハムスターホイール」と呼びました(P.124)。
1998年頃には、基盤となるOSが強固なセキュリティサポートを提供していない場合、Webサーバーやアプリケーションがセキュリティを実現できるという考え方が誤っていることが認識され始めました(P.125)。
この頃、ほとんどセキュリティサポートを提供していなかったWindows OSは2000年代初頭に大規模な攻撃を受けました。2001年のCode Redや同年のNimdaなどの大規模攻撃は、企業にマイクロソフト製品の使用を再考させるきっかけとなりました(P.128-129)。
こうした中、2002年にビル・ゲイツが全社宛てに送信したメールをきっかけに、マイクロソフト社は「新しい機能の追加に注力する」から「設計段階からセキュアであり、デフォルトでセキュアであること」へと基本哲学を変更し、結果的に大成功を収めました(P.132-134)。
こうした対策がなされた後も、Slammer、Blaster、Welchia、SoBig、Sasserなどの大規模インターネットワームが発生し、暗い未来を予感させるものでした(P.139)。経済的損失の大きさや、少人数で作成できる点から、感染したコンピュータのネットワークが国家レベルの攻撃に利用されることが明白になりました。
マイクロソフトはパッチ適用に関して、毎月第二火曜日にサービスパックとしてまとめて提供するようになりました(P.146)。しかし、ハッカーはパッチをリバースエンジニアリングして脆弱性を特定し、これが新たな攻撃のきっかけとなることもありました(P.146)。
2004年、マイクロソフトは「セキュリティ開発ライフサイクル(SDL)」の運用を開始しました(P.148)。このアプローチは、セキュリティを実装する際のベストプラクティスとして広く採用され、アドビやシスコにも影響を与えました(P.149)。
一方、オラクルは異なるアプローチを取った結果、マイクロソフトは成功し、オラクルは失敗したと言えます(P.153)。フィル・ヴェナブルズは「必要なのはセキュリティ製品ではなく、セキュアな製品」だと指摘しました(P.155)。この方法論を徹底したアップルも、iPhone 5s以降に搭載されたセキュリティチップ「Secure Enclave」で成功を収めました(P.156)。このチップは、セキュリティ特化のハードウェアをメインプロセッサから独立させ、スマートフォンの盗難リスクに対する優れた対策となりました。
各社がセキュリティに注力する中、ハッカーにとって脆弱性を攻撃するコストは増大し、ターゲットは次第に人間の脳へと移行していきました。
6 ユーザブルセキュリティ、経済学、心理学
1999年、プリンストン大学のエドワード・フェルテンは「豚のダンスとセキュリティのどちらかを選ぶよう迫られたら、ユーザーは常に豚のダンスを選ぶだろう」と述べました(P.160)。一般的に、ユーザーのセキュリティ意識は低いものとされてきました。
セキュリティは最も弱い部分に合わせて全体の強度が決まるため、強固なセキュリティシステムも、管理者の弱点により全体が脆弱になります。
「ユーザブルセキュリティ」の研究は1999年には始まっており(P.162)、優れた暗号化プログラムがあっても、ユーザーインターフェースの設計が悪ければ、目的を達成できないというユースケースが示されています。ユーザーは通常、セキュリティに関心がなく、セキュリティに関する設定において、ユーザーに判断させないことが望ましいとされました。これは2005年のSOUPS(Symposium on Usable Privacy and Security)での研究発表で明らかにされました(P.165)。
フィッシングは2003年に新しいタイプの攻撃として言及され、2005年頃から注目を浴びるようになりました。(P.167)
ファイアウォールによって多くの攻撃はブロックされるようになりましたが、メールはファイアウォールを通過するため、ハッカーはこれを利用しました。
パスワードは1961年にMITで開発された「互換タイムシェアリングシステム」で初めて使用されました(P.173)。パスワードは本来シンプルなセキュリティ機構ですが、ユーザーの心理的問題から複雑化し、さまざまな問題が発生しています。
グラフィカルパスワードや生体認証などの代替技術は、パスワードよりも優れた認証手段を目指していますが、使いやすさの面でまだ完全な代替にはなっていません。
ケンブリッジ大学のセキュリティ工学教授ロス・アンダーソンは情報経済学への扉を開きました(P.183)。2001年には「なぜ情報セキュリティの実現は困難なのか—経済学の視点から」が発表されました。
心理学の観点では、フィッシングやソーシャルエンジニアリングを行っていたハッカーは、セキュリティ研究者を大きくリードしていました。
経済学的には、情報セキュリティを高めることが必ずしもプラスであるとは限りません。過剰なセキュリティを達成するためのコストが、セキュリティリスクの期待値を上回る場合もあります(P.197)。情報セキュリティの分野では、このようなコストとリスクのバランスが考慮されていないことが多いです。
7 脆弱性の開示、報酬金、市場
2000年代初頭には、ゼロデイ脆弱性を公表することが必要だというコンセンサスがありました(P.206)。しかし、脆弱性をソフトウェア企業やハッカーが際限なく探し出し、一種の「デススパイラル」に陥っているとも言えます(P.208)。
ゼロデイ脆弱性の公表の是非は、パッチが存在する脆弱性を悪用するハッカーが大勢いるのと、パッチが存在しない脆弱性を悪用するハッカーが少数いるのとで、どちらがより悪質かという問題です(P.213)。これは「ディスクロージャ」の問題です。
かつての脆弱性を完全に公表するフルディスクロージャから、責任ある開示「レスポンシブル・ディスクロージャ」へと徐々に変化しました(P.216)。
ゼロデイ脆弱性は攻撃にも防御にも利用されます。NSA(アメリカ国家安全保障局)は2014年に公表されたHeartbleed脆弱性を、少なくとも2年前からゼロデイ脆弱性として攻撃に利用していたと非難を受けています(P.220)。NSAには、米国の敵国への攻撃と国内のコンピュータセキュリティの確保の二つの使命が与えられていました。
2010年代に入り、多くの企業がバグ報奨金制度を導入しました。これにより、研究者は報酬を得るために、企業にとって有益な脆弱性を探すインセンティブが働きます。
こうした硬直した時代に、ハッカーはアピールのための「スタントハッキング」を発明しました(P.233)。これは、自動車や航空機、医療機器など日常に使用される機器に対するハッキングを行い、その結果を公表するものです。これにより、セキュリティの脆弱性が一般人にとって恐ろしい脅威であるという認識が広まりましたが、実際にはハッカーたちが自己利益のために誇張し、歪曲した幻想と言えます。
8 データ漏洩、国家によるハッキング、認知的閉鎖
ここでは、情報セキュリティの3つの汚名について述べます。
一つ目は「データ漏洩」です(P.238)。データ漏洩により流出した金融取引や既往歴などの個人情報は、ブラックマーケットで売買され、犯罪者によって成りすまし犯罪などに利用されます。この種の攻撃では、被害を受けた企業と利用者の両方に多大な負担がかかります。
二つ目は「国家によるハッキングがもたらす害」です(P.250)。中国61398部隊によるオーロラ攻撃をきっかけに、APT(Advanced Persistent Threat)という言葉が生まれました。中国と同様、ロシアもハッキング能力向上に多大な資源を投入しており、「ファンシーベア」はロシアの軍事諜報機関GRUと関連する大規模ハッキンググループです。彼らは大統領選挙時にヒラリー・クリントンのホームページに侵入し、改ざんするなど積極的に政治的主張を行いました。中国、ロシア、米国が到達したハッキング能力は、個人では到底到達できない領域です。
三つ目の汚名は「情報セキュリティ分野における『認知的閉鎖』によって生じる機会費用」です(P.264)。閉鎖的なコミュニティ内で構築された虚偽の現実(エコーチェンバー)が、情報セキュリティ分野でも見られるという問題です。1983年にUNIXの共同開発者ケン・トンプソンは、「マスコミやテレビ、映画が、破壊者を『天才的な若者達』と呼び、ヒーロー視する」ことが、「極めて危険な状況を生みつつある」と警鐘を鳴らしていました(P.266)。バグ報奨金制度などを通じて、この傾向はさらに顕著になったと言えます。
9 情報セキュリティの厄介な本質
セキュリティに関する主張には反証可能性がないという問題があります(P.276)。効果のないアドバイスを反証することが難しく、NISTの「組織と情報システムのためのセキュリティおよびプライバシー管理策」などは500ページを超える膨大な量です。その結果、混乱と非効率が生じ、情報セキュリティを専門とする企業ですら、自社のセキュリティ維持が困難になっています。
セキュリティ標準の共通目標は、情報セキュリティの特定の側面において、複雑さを軽減し、より管理しやすくすることです(P.281)。情報セキュリティ分野では、統計の乱用が長年問題となっています(P.284)。恣意的に操作された統計を用いて、実態よりも悪く見せる逆インセンティブが存在します。
コンピュータセキュリティの根本的なジレンマとして、セキュリティを望む人々が、セキュリティを評価・改善するための判断能力に欠けていることが挙げられます(P.294)。
情報セキュリティにおける攻守のバランスは、今後の課題となっています。現在、攻撃する方が簡単であり、守る方が困難という状況が続いています。
「多層防御」は、層が多ければ多いほど良いという考え方が一般的ですが、これがかえって複雑性を増し、セキュリティに悪影響を及ぼすこともあります。
本を読んで
本書を読み進める中で、現在問題となっているさまざまなセキュリティ上の課題も、実は突然現れたものではなく、長い歴史の中で徐々に形成されてきたことがよくわかりました。情報セキュリティの問題は、その時々の技術や社会の動向と密接に関連しており、時系列を追うことで、問題がどのように発展し、どのように解決されてきたかを理解する手がかりとなります。
また、本書を通じて気づいたのは、情報セキュリティの教科書の多くが、依然として情報セキュリティ分野に閉じた視点で書かれていることです。経済学や心理学など、他分野の視点を取り入れることが、より実践的で効果的なセキュリティ対策を構築するために重要であると感じました。現代のセキュリティ問題は、技術的な側面だけでなく、ユーザー行動や組織の経済的動機といった多様な要因が絡んでおり、これを無視することはできません。
先日起きたKADOKAWAやニコニコ動画に対する攻撃も、本書で提唱されている「情報セキュリティの3つの汚点」から解釈することができます。データ漏洩、国家によるハッキング、そして認知的閉鎖といった問題は、現代のセキュリティリスクの根本的な要因として依然として存在しており、これらを理解し、対策を講じることが求められています。
本書は、やや難解な部分もありますが、情報社会の未来を見据えたキャリアを積みたい人にとっては、非常に価値のある内容です。情報セキュリティの歴史的背景や、技術的な進展だけでなく、経済学や心理学といった多様な視点が取り入れられており、現代のあらゆる情報社会での活動に活かせる内容でした。読んで損をすることは決してありませんので、ぜひ手に取ってみてください。