セキュリティはシステム構成から――忘れられた原則
構成中心セキュリティは、セキュリティ・アーキテクチャ、あるいは、予防的セキュリティとも呼ばれている。名称はともあれ、コンピュータ・システムの設計と実装レベルからセキュリティを確保する方法である。カナダのコンサルティング会社Starfish Systemsの社長Dan Razzellは、この方法について次のように説明している。「システムは、ある目的の下で構築されます。仮に、そのシステムの目的を正確に規定することができれば、必要な機能をすべて持ち、不要な機能は全く持たないシステムができるでしょう。不要な機能こそ、脆弱性の巣窟だからです。一般に、不要な物を持たないというだけで、多くのセキュリティ問題が解消します。構成の仕方によって安全性を確実に高めることができるのです」
マサチューセッツ工科大学の名誉教授であり、何百人もの学生たちを育てたコンピュータ界の先達Jerry Saltzerも同じ意見だ。「最良実践はシステム設計段階で適用すべきです。これにより、一般に、実装・構成・運用段階でのセキュリティ・レベルは自然に高くなります。その次は、実装担当者。最小特権の原則といったセキュリティの基本原則や、驚き最小の原則といった人間工学の基本原則に基づいてシステムを構成するのです」
このほか関連するセキュリティ原則として、セキュリティの大御所Bruce Schneierが設立したCounterpaneで製品管理を担当するToby Weir-Jonesは、脆弱点の閉じこめや多重防護などを挙げている。
システム構成の5原則
パデュー大学CERIAS(Center of Education and Research in Information Assurance and Security)の研究員Keith Watsonは、こうした原理を、より具体的に、システムの設計と構成における5原則にまとめている。
- 所与の目的に従って構築し、その実現に必要最小限のものだけを盛り込むこと
- 格納中のデータについて、その可用性と整合性を保つこと
- 移動中のデータについて、その機密と整合性を保つこと
- 不要なリソースは、すべて無効にすること
- 必要なリソースへのアクセスを制限し記録すること
管理者は、この原則に基づいてシステムを設計し構成することでセキュリティを改善できるだけでなく、利用者の求めに対応する時間的余裕も得られる。その上、セキュリティ・アーキテクチャを考慮しておけば、セキュリティ破綻後に行う多大なコストと労力を要するシステム再構築を避けられることが多いとRazzellは指摘する。
さらに、Watsonは「最初から安全で復元力の高いシステムを目指せば、その後に必要となる事後対策は少なくなる」と言う。セキュリティの事後対策は予定されたものではなく泥縄式の対応であるため、通常、脅威の発生後直ちに実施することはできない。また、各ソフトウェアにパッチをバランスよく適用するのは難しい。こうした点を考慮すると、作業時間が少しでも削減できるのは、ほとんどのシステム管理者にとって歓迎すべきことだろう。
後手のセキュリティ対策が多い理由
セキュリティ・アーキテクチャよりも泥縄式の対策に関心が集まるのは何故だろうか。Saltzerは、この問いに憮然として答えた。「利用者にとって選択肢はほとんどありません。ベンダーから提供されるシステムは穴だらけで、それも利用者にはどうすることもできないものばかりです」。利用者にできることといえば、脆弱性が発見され、それに応じてベンダーがパッチを発行するのを待つことだけなのだ。
Watsonは、自身の経験から、企業の体質にも問題があるという。「多くの企業では、セキュリティはIT部門だけの問題だと考えられています。本当は、上層部の参加と支援が必要なのですが。それに、技術部門以外の利用者にはセキュリティ意識がほとんどありません。彼らは研修を受けておらず、多くの人は技術的に対応できる状態にありません。一方、IT部門も長期的な観点からセキュリティに取り組まないため、眼前の火事を消火することしかできません」
しかし、企業に、もっと長期的な観点から取り組めというのは無理なようだ。Weir-Jonesによれば、「構成レベルからセキュリティ対策を施せば、顧客からの信頼、セキュリティ担当者の疲弊、部内者の脅威などの点で改善が見込め」るが、これらは「無形であり、定量的に」述べるのが難しいからだ。
Razzellは、さらに、IT市場自体の特性も指摘する。ウィルス対策プログラムなど、事後対策ツールの市場には秩序がなく、顧客に対する啓蒙つまり「責任ある営業姿勢」が見られないため、利用者が長期的なセキュリティ・ソリューションを考えさせられることがないのだという。
しかし、Razzellによれば、最大の問題は、コンピュータがトースターや洗濯機のように便利で使い捨て可能な家庭用品として扱われていることだという。「家電のように(コンピュータを)自宅に持ち帰り設置して終わりという考え方が生まれたのは、何故なのでしょうか」
「ボールペンやライターのように3年で使い捨てるつもりでなければ、こうした発想は生まれません。しかし、(コンピュータは)自動車や山小屋のようなもの。事務所のように長期的な投資なのです。3年ごとにオフィスを使い捨てたくはないでしょう」
セキュリティと利便性――避け得ぬジレンマか
おそらく、セキュリティ・アーキテクチャを看過する最大の理由は、利用者の利便性に釣り合ったセキュリティという認識だろう。ほとんどの人がそう考えており、この2つが衝突すると、ほぼ確実に利便性が優先される。「セキュリティを最優先にするという企業には、まずお目にかかったことがありません」とWeir-Jonesは言う。
セキュリティを優先しないというのは、長期的必要性よりも短期的な必要性への対応を選ぶということだ。利用者の利便性が顧客満足に直結すると思われる私企業においてはあり得べき選択だが、この姿勢はフリーソフトウェア・プロジェクトにも見られる。デスクトップを使いやすくする――多くの場合Windows風にする――ことを求められるため、多くのGNU/Linuxディストリビューションにおいて基本的なセキュリティが徐々に損なわれている。
しかし、専門家はこの対立を不可避とは見ていない。Saltzerは、OS XはWindowsよりもセキュリティが高いが利便性も高いと言う。Watsonも次のように述べる。「利便性と安全性は二律背反の関係にはありません。利用者が意識しないようなセキュリティ・システムを構築することは可能です」
一例として、Trusted Solarisシステムを挙げる。Watsonは、このシステム上でエミュレータを使ってWindowsを走らせたことがある。これは管理者にとっては安全な環境であり、利用者にとっては使い慣れたインタフェースを備えている。Skypeを使う際は暗号化されるが、利用者が暗号システムを意識することはない。確かに、安全性と利便性を同時に実現するのは容易なことではない。しかし、こうした実例が示すように、世上言われているような解決不能の二項対立ではないのである。
セキュリティに対する考え方を改める
セキュリティの専門家の中には、セキュリティを専門家が扱うべき分野として考える者もいる。その一人Saltzerによれば、問題は、いかにしてセキュリティ意識を高めるかではない。「本当の問題は、いかにして利用者が愚かなことをしないようにするかということです。このように問題を捉えれば、本質的に安全なシステムを設計することが、実装担当者や利用者に注意を促すことよりも効果的だということが明確になります」
他のセキュリティ専門家は、教育の効果をもっと楽観的に見ている。たとえば、Razzellは、Center for Internet Securityベンチマークの実施はシステム強化と利用者のセキュリティ意識向上に有用だと言う。また、機能としていろいろなレベルの安全性を備えたコンピュータを用意する、あるいは、利用者が自分で新しいシステムをインストールし仕組みがわかるようにするなどというのもよいだろうと言う。
Weir-Jonesは、企業レベルでセキュリティ意識を高めるには実効性のある明確なセキュリティ・ポリシーが必要だと指摘する。ポリシーは原理「必要なものだけを構築せよ」で始め、頻繁なテストは管理者の仕事だと考えるような企業文化で支えていく。ポリシーをお飾りにしないためだ。
セキュリティ・ポリシーには「上司への報告に関する明示規定」を含め、専門知識を持つ者には管理者の承認を待たずに問題を直ちに改修する権限を与える。また、システム管理者が非難や更迭を恐れて問題の報告をためらうことのないように、「他者を非難する風潮」を排除すべきだ。Weir-Jonesは、セキュリティ管理に関する標準ISO 17799や情報セキュリティ管理システムの標準ISO 27001を参考にすることから始めるのがよいだろうと言う。
専門家の間にはさまざまな意見があるが、コンピュータ産業とその利用者が構成レベルからのセキュリティ対策に目を向け、それを利便性と両立する形で実装する方法はいくらでもあるという点では、すべての専門家が一致している。「コンピュータ・システムを安全に構築し運用することは完全に可能です。業界における最良実践と消費者が甘んじている状態との間には大きな隔たりがあります。それを生んでいるのは、問題意識の欠如に他なりません」(Razzell)
Bruce Byfield、コンピュータ・ジャーナリスト。NewsForge、Linux.com、IT Manager’s Journalの常連。
NewsForge.com 原文
