Joint Workshop on Security 2008, Tokyo

25,26日の講演会は一般参加可能だったので出席してみた。25日はボットネット対策について、26日は危機への備えについてが印象に残ったのでまとめておこうと思う。

26日はITセキュリティの専門家だけではなく地震津波の災害の研究者の講演もあった。講演の内容も面白かったが、問題解決の方法として、本質的に似ている分野から知恵を借りようというこという姿勢も興味深いと感じた。

資料はこちら http://www.nca.gr.jp/jws2008/

ボットネット

  • わが国のボット対策について 有村浩一(テレコム・アイザック・ジャパン)

ボットネットの対策として、対症療法ではあるが、各PCのボットを潰していくという取り組みをCyber Clean Centerとして行っている。ハニーポットによりボットに感染しているPCのIPアドレスを収集し、ISP経由でユーザーに対策方法のメールを送る。効果が出始めている(新たに出現するボットの数は減少傾向)。

  • Webを介して感染するマルウェアの実態調査 松木隆宏(株式会社ラック サイバーリスク総合研究所)

ボットネットの犯罪利用が活発となり、アンダーグラウンドビジネスとして成り立ってしまっている。ボットネットのレンタルなど。対策としては、webサーバー側でのセキュリティ対策とクライアント側でのソフトウェアのアップデートが重要。

  • Technical and Social Approaches Against Botnets Stephen Gill(Team Cymru, US)

ボットネットとの戦いにおいて、もぐらたたき状態ではない状態を目指している。根本的な対策が必要。ボットネットとの戦いは犯罪との戦いであり、技術的制裁よりも社会的制裁のほうが長期的な影響を及ぼすことができるのではないか。社会的な制裁はすなわち法的な措置。警察などと協力して他の犯罪と同様に社会的な対応が必要。

危機への備え

  • 人はなぜ危機に備えないのか -災害に備えない人の心理を探る- 群馬大学大学院工学研究科 教授 片田敏考

自分は被害にあわない、自分だけは大丈夫と思ってしまう心理特性を「正常化の偏見」という。セキュリティ対策においても同じと考えられる。自分にとって都合が悪い情報を無視したり、過小評価してしまう(交通事故に合う確率と宝くじに当たる確率は同じ)。そしてさらに、そのような自分を正当化する理由を探してしまう(認知的不協和)。備えていない人は、備えないという意思決定をしたわけではなく、意思決定そのものをしていないだけ。この状態を打開するためには、「脅し」の教育ではなく「理解」の教育をする必要がある。なぜセキュリティ対策を行う必要があるのか、どのように対処すべきかを理解してもらう。「脅し」の効果は長続きしないが、「なるほど」の効果は長続きする。「備えあれば患い無し」というのは当たり前と思うかもしれないが、この言葉は元々は三段論法になっていて「安きに居りて危うきを思う 思えば則ち備え有り 備え有れば患い無し」である。

  • Examing Cooperative Strategies through Cyber Exercises Ernest W. Drew(NUARI, US)

組織においてサイバー攻撃の演習を行う際には、意思決定レベルの練習も必要である。そのために経営者レベルの人も演習に参加してもらうべきである。組織内での報告・外部への公表などの演習も必要。