米国セキュリティ事情(Computer Security Instituteに参加して)

 

1.米国セキュリティ事情(ワシントンDC)

去る11月12日から19日まで、コンピュータ・セキュリティ関連の会議および展示会がありましたので、それに参加して来ましたので、何回かに渡って書いてみます。

94年11月12日(土)晴 〜 13日(日)晴

ワシントンDCは初めての訪問でどんな陽気かかも分からなかったが、東京の11月の陽気とほとんど変わらず11時間も飛行機に乗ってきた人間にとっては非常にありがたかった。

早速ホテルから飛び出し、銃の乱射があったホワイト・ハウスに行ってみた。あのような事件があれば、相当厳しい警護があり、ホワイト・ハウスの観光など不可能だと思うのが我々日本人の発想であるが、ホワイト・ハウスへは月曜日から土曜日までの12時までであれば、入館が認められていた。ただ、残念ながら、行った時には12時を過ぎており中に入る事は出来なかったが、次回はぜひ中に入ってみようと思った。(ホワイト・ハウスの主はAPECでフィリッピンを訪問中であるので、不在ではあったが・・・)

日曜日は小型のバスを2台連ねた「ツアーモービル」と言う観光バスに乗って主要観光名所巡りを行ってみた。但し、観光バスと言っても日本の様に観光名所までガイドさんが案内をしてくれるのではなく、バスは適当な間隔(15分程度)で運行しており、バスの中にはガイドさん(と言っても、男性のガイドさんもいます)が周りのビルなどの案内をしてくれ、いくつかの停留所で止まると自分の好きな所で降りて、その近くを勝手に見歩いて見終わったら、停留所で待っていればバスがくるので、それに乗って次に見たい所に行けばよい。1日9ドルであり、何度乗り降りしても構わない仕組みになっている。

連邦議会議事堂、キャピトルに行ってみた。入り口で簡単な荷物検査(空港のと同じ様なもの)をして問題がなければ、勝手にどこに行っても良い。キャピトルに入るのに、名前、住所、国籍など一切聞かれたり、記入したりする必要もない。そんなにオープンな世界であった。

16日には、更にFBIに行ってみた。やはり入り口で荷物検査があったが、それ以上のものはやはり何もなかった。約1時間のツアーであるが、FBIの担当者がそれぞれの所でやっている内容や押収した銃器類(ピストル、ライフル、機関銃なんでもありでした)が5、6千ある所などもガラス越しに見る事ができた。圧巻は最後に実際に銃の実射を見せてくれる。紙に書いた人型を実際に3種類程の銃で撃って見せてくれた。

非常にオープンな世界がワシントンDCでは体験する事ができた。今日もニュースで市警察で銃を撃って立てこもったとの報道があったが、実際に行って感じた事は、少し違っていた。物騒な町というのが、米国の大都会と言う印象が強いが、大きな通りでは、夜の9時を過ぎた時間にもジョギングをやっている人が見受けられた。場所によっては決して安全ではないのかも知れないが、少なくても訪問する前の印象よりかなり安全な感じがしたし、去年会ったオハイオ州からきた米国人もそんなに物騒ではなかったと言っていた。(実際に体験する事も大切なセキュリティ情報なのかも知れない。)

 

2.米国セキュリティ事情(機器展示)

コンピュータ・セキュリティ・インスティテュートの21回目の「会議&展示会」ですが、ここで注目すべきものの1つに「展示会」があります。今年は、ワシントン・ヒルトン&タワーズの約4万5千平方フィート(約4千平方メートル)の広さに100社以上の企業・団体が出展しました。多分、これだけの数のセキュリティ関連企業がハードウェア、ソフトウェア、書籍、コンサルテーション・サービスなどの紹介をしているケースは他にはないのではないでしょうか?のは、この意味でもコンピュータ・セキュリティ関係の情報を収集するにも最適なものと言えるでしょう。

13日の日曜日の夕方(4時から8時まで)から展示が始まりますが、そこはアメリカの事。初日は「ビアーフェスト」と言う事で、多くの展示企業のブースには、ビールとおつまみが並び展示物の説明を聞きながら、あるいは再会を喜びながらの歓談となります。

(展示時間: 13日 4時〜8時、

       14日 10時〜7時、

       15日 10時〜6時)

昨年の傾向と比べますと、ハードウェアの展示が多少少なくなった様な気がします。その分ソフトウェア、ほとんどがウインドウズ対応ですが、多くなっており、それもメインフレーム系は殆ど姿を消し、UNIX、LAN対応のものが多く出展されていました。特にインターネット等を前提としたデータの暗号化などを高速で処理するようなソフト(1、2万円程度)のデモが結構ありました。ハードウェアで処理をしなくてもソフトウェアで十分高速で処理できる様になった事も影響していると思われます。また、かなりの企業がハッカーの被害(詳細は別途アップしますが)を何らかの形で受けており、それらをいかに軽減するための方策として暗号化も必然のツールとして利用するものとして考えられているものと思われます。

ハードウェアとして、これは日本でも結構使えそうだと思ったものの1つに、「フロッピー・プロテクト」がありました。これは、フロッピードライブにフロッピーに鍵とケーブルが接続されている様なもので、机の足などにケーブルの一端を固定し、ドライブに挿入したものの鍵を掛けてしまえば、そのケーブルを切断しない限り、パソコンをそこから移動する事は不可能になります。特にノート型などの持ち運びが簡単に出来てしまうようなPCの場合には非常に有効ではないかと思われます。また、それが入っているとフロッピーを挿入できませんので、クリーン環境を維持するためにも便利かも知れません。

日本でも結構ノートPCの盗難がかなりあるとの話もあり、値段も2500円程度であり、重要データを利用しているPCユーザにとっては、必然の道具になりそうな気がしています。

 

3.米国セキュリティ事情(General Sessions)

ワシントンDCは、「パワーブレックファースト」で始まるとか・・・

CSIコンファレンスでは、朝食として、パンとコーヒー、紅茶等を用意してくれているので、7時半前にはコンファレンス会場に出向き、8時までにパンとコーヒーで朝食を済ませます。(ちなみに、食事に関しては、朝食は、月曜日から金曜日まで、昼食は月曜・火曜日、月曜日の夜はWelcome Party で立食形式の食事がつきます。)

7時半からは2名のCSIメンバーがDJを行うと言ったものもあります。8時からは月曜日から水曜日までの3日間、ジェネラル・セッションがあります。毎日「Conference update」 と言う両面刷りの用紙が発行され、GeneralSession の内容が紹介されます。

今回は、

月曜日:英国のウイルス対応会社会長 Dr.Solomon

コンピュータ・ウイルス、特に暗号化を行うウイルスに関して

火曜日:データセキュリティや暗号化の専門家 Mr. Zimmerman

暗号化とプライバシー(クリッパーチップに関連する話題)

水曜日:州の司法省所属 Mr.Lucich

ハイテク犯罪(主にハッカー関連)への状況

がありました。

月曜日のスピーチは、ウイルスがどんどん悪質化しており、暗号化を行うウイルスが主流になりつつあり、ウイルス対応ソフトの作成側でも非常に多くの労力を割いてウイルス対応ソフトを作成している訳ですが、博士のスピーチでは白い帽子と黒い帽子を利用してその様子をおもしろ、おかしく話をしており、1時間が非常に短く感じられました。

火曜日の話では、米国政府が推進しようとしているクリッパーチップの問題点を鋭くついたスピーチでした。

最後の水曜日の話は、前日夜の「Meet the Enemy(ハッカーとの接近遭遇)」(後述)との話と関連するもので、非常に興味のあるものでした。ハッカーが結構裕福な家庭の少年だったりするケースが多い様であったり、また実際に乗り込んだハッカーの部屋の写真には、非常に生々しさがあった事が印象に残っています。

 

4.米国セキュリティ事情(Conference 1)

コンファレンスは、12、13日のプレ・コンファレンスと14〜16日の本来のコンファレンス、17、18日のポスト・コンファレンスの3つに大きく分かれています。

プレ・コンファレンスとポスト・コンファレンスでは、2日間に渡るものと、1日のものがあります。

プレ・コンファレンスは出席していないのでその様子があまり良く分かりませんが、ポスト・コンファレンスとそれ程大きな違いはないのではないかと思われます。

2日間のプレ・コンファレンス

  ・ Building and Using A Security Self-Assessment Test

  ・ Developing Computer Security Policies and Procedures

1日のプレ・コンファレンス

  ・ An Intorduction to the CISSP Examination and Common Body of

    Knowledge (注 CISSP: Certified Information Systems Security

    Professional)

  ・ Telecommunications Security

  ・ Managing the Ethical Computing Environment: Where Law and

    Technology Leave Off

以上の様なものがプレ・コンファレンスではありました。

本来のコンファレンスは、12のカテゴリーからなっており、それぞれのカテゴリーは、全部で10のセッションがあります。(月曜・火曜日は4セッション、水曜日は午前中で2セッション。但し、2つのセッションを合わせて1つになっているものもあります。)

今年のカテゴリーは以下の様になっていました。

  Introduction To Computer Security

  The Next Step

  Management/Awareness

  Network Security

  Telecommunications

  Business Continuity Planning

  Client/Server

  Government/Legal

  Tools & Techniques

  Audit & Risk Assessment

  Open Systems

  Product Specific

さすがにメインフレーム系のものが殆ど姿を消しており、去年より更にその傾向が強くなっています。

 

5.米国セキュリティ事情(Conference 2)

ポスト・コンファレンスもやはり2日のコースと1日のコースがありました。

2日間のポスト・コンファレンス
  ・ LAN Security

  ・ Planning an EDP Disaster Recovery Program

  ・ MVS Security (IBMのメインフレームのセキュリティ)

  ・ Introductory UNIX Program

  ・ Advanced UNIX Program

1日のポスト・コンファレンス
  ・ Internet@security.com: Security Issues for
    Commercial Users of the Internet

  ・ Introduction to UNIX Security

  ・ Advanced UNIX Program

などとなっています。

全てのプログラムに出席できる訳ではありませんので、どれかを選択しなければなりません。今年は Advanced UNIX Program を選択しました。(去年は Introductory UNIX Programでした。 初日は「UNIXセキュリティ」アスキー出版の著者の1人でもあるSpaffordが、2日目にはNYの地域電話会社のUNIX担当者が自社のワークステーションにハッカーが侵入した様子を事細かく、説明していましたが、今年もこの2人はポスト・セミナーでの講師を勤めていました。)

今年はAdvanced UNIX Programでしたが、内容としては

 ・ An Introduction to UNIX Network Security

 ・ Viruses, Trojan Horses and Other Vermin on UNIX Systems

 ・ UNIX in Open Networks - An Overview of the Security and Control Issues

 ・ Kerveros: An Implementation Case Study

 ・ Securing In-bound Dial-in and Telnet Access to Your UNIX Environment

 ・ UNIX Disaster Recovery (講師の都合で中止になってしまった。)

なんて話がありました。

かなり具体的な話もありました。パスワードなどの決め方については実際に自分でも色々書いたりしていますので、それ程の凄さを感じませんでしたが、実際のコマンドを並べてウイルスやトロイの木馬を作れるなどの話はやはり相当なものでした。

上級コースの名前の通り、少しレベルが高かった気がします。それほど実際にUNIXをネットワーク上で利用していない事も影響していますが、まだまだUNIXとUNIX Networkについての不勉強が理解を妨げているのではないかと思いました。

 

6.米国セキュリティ事情(ハッカーとの接近遭遇:1)

今回のコンファレンスで一番エキサイティングしたものは、火曜日の夜に、「Birds of a Feather」( 午後7時〜9時 )の1つとして行われました。

Birds of a Feather

  ・ Meet the Enemy --- a tele-conference with infamous hackers

  ・ CISSP exam open discussion

  ・ Information security practice in university installations

  ・ Panel discussion on GSSP

の4つが行われましたが、勿論最初の「Meet the Enemy」での出来事です。

コーディネーターが、最初に多少の解説を行った後、実際に電話をしてハッカーを呼出しました。会場には約80名程の人数の人達が集まっていました。用意された椅子には座りきれない程の人数が集まり、前や後ろの空いている場所に直接腰を下ろしている人が数多くいました。

最初にハッカーの名前、勿論、ハンドル名ですが、名乗らせていましたが、全部で5名程のハッカーが「テレ・コンファレンス」に参加してきましたが、1人は英国から、もう1人はスコットランドから参加していると話しています。質問を自由に集まったメンバーがするという方法で始まりました。

最初の人の質問、

当社の電話がどうもフリーカー(Phreaker)に利用されていると思われ、大体月間100コール程度が利用されている様なのだが・・・・、何か防御の 方法はないだろうか? あなた方を雇って防止できないだろうか?

あまりレベルの高いフリーカーではないよ! リクルートするにはそれほど安くはないよ・・・・

結構、ハッカーを雇う事を真剣に考えている企業もあるようですが、それに対して賛否両論があるようです。その様な事をする事は結局ハッカーの違法行為を益々助長する事になると言う意見が一方にあり、「毒を持って毒を制す」、(少し違うかな?)という考えもあるようです。

それから、コンピュータ・セキュリティ(ネットワーク・セキュリティも含めて)関係の人が集まっていますが、こんなに電話やコンピュータへのハッキングやフリッキングが行われているのかと言うのが実際にこの質問を最初に聞いて感じた事です。昨年はNYの地域電話会社のワークステーションがハッキングされた事件(1990年だったと思います)が、やはり実際にコンファレンスの1つとして話がされていましたので、ハッキングも特別なものではなくなっている気がします。(この後、更に凄い内容がありました。)

 

7.米国セキュリティ事情(ハッカーとの接近遭遇:2)

話をしている最中に電話会社のオペレータが割り込んできた。ハッカー「私の名前はXXXX、システムサポートの人間です。・・・・ 何かうまく行っていない様だが・・・。 ちょっと操作してみて! なんてやりとりをしていたが、オペレータの操作はあまり慣れていないようだ。ちょっとこちらでやってみようか? 最初にXXを入力して、エンター・・・、ユーザIDは? OK! パスワードは、XXXXです。OK、XXXXだね。・・・・

なんて会話をしながらものの見事にユーザID/パスワードを聞き出してしまった。

これを聞いていた会場のCSIメンバーの全員が、ハッカーの話術の素晴らしさに思わず拍手をしていました。

質問も続きます。

 80%のシステムに侵入する事ができるとの事だが、不可能なシステムって どの様なものがあるんだい?

 ・・・・・・・・

ハッカーをやめる時は、どんな時? 捕まった時、リクルートされた時? ・・・・・・・・・・・

ハッキングした時に得られた情報を競合他社に売り渡した事はない?

(ハッカー)ノーコメント

この話は、結構問題になるようであるが、一部のハッカーは実際競合他社にハッキングして得られた情報を売り渡しているとの報告もあります。

私の会社は化学関係の会社であるが、・・・・・

(ハッカー)ふーーん、なんて言う会社?

思わず、会場と質問をしたメンバーから爆笑が起こりました。

まだまだ色々質問はありましたが、これらのやり取りを聞いていて、素晴らしい体験が出来たと思いました。こんなレベルの高いハッカーが当然インターネットなどが繋がれば、日本のネットワークへも当然侵入してくる事は十分に考えられる事と思われます。

 

8.米国セキュリティ事情(ハッカーとの接近遭遇:3)

Meet the Enemyのコーディネータには、コンファレンスでも何度か会いましたので、日本に来る予定はないか?

もし呼んだら来る気はある? なんて質問をしてみました。

少し以前に日本には来た事があるようですが、今の所来日する予定はないようです。

日本でもこんなハッカーとの遭遇をしてみたいと感じるのは、僕だけでしょうか? もちろん、英語での「テレ・コンファレンス」になりますが、質問は前もって集めておいて、英語にして行うとか、ハッカーの回答は、同時通訳等を利用すれば十分可能でしょう。

日本では、コンピュータ・セキュリティなどはまだまだ遠い先の話と思っている人が大部分ではないかと思いますが、今回のCSIコンファレンスに参加して感じた事の最大のものは、もう日本でもそれ程遠くない時期(2、3年位と考えています)に、現在の米国の状況とそれ程変わらない状況になるのではないでしょうか?

現在の日本ではセキュリティお金を掛けるなんて、全くないと言っていい状況ではないでしょうか? そのため、セキュリティ関係に強い専門家がなかなか育っていないのが現状ではないかと思っています。システム関係の専門家を育てるのは、そんなに簡単ではない事は言うまでもありません。

今回のCSIのコンファレンスに出席した日本人は、残念ながら5名程度で、4名全ての人に会って少し話をさせて頂きました。(その内、1人は友人で、参加を誘った人でしたのでが)

また、私を除いて全ての人は、初めての参加でした。来年はもっと多くの人が参加して欲しいなぁ? と思いました。

今回も全く個人として旅行をしましたが、全部の費用(交通費、ホテル代、コンファレンス参加費など)を合わせても1週間でそれ程の費用ではありませんでした。来年もワシントンDCで開催されますので、また参加しようかと考えています。希望者があれば、ぜひ一緒に行きましょう! 日本では決して味わう事のできない事柄が沢山あります。