Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
2015年6月24日

セキュリティのおはなし~考え方は二通り~

セキュリティの考え方には二通りあります。ハミングヘッズが推しているのは「ホワイトリスト型」。欧米では主流ですが、日本では「異端」であり「最先端」でもあります。
16
ハミングヘッズ公式 @HummingHEADS

1:たまにはセキュリティのお話をしてみます。 ハミングヘッズが強く推奨しているのが「ホワイトリスト型」のセキュリティの考え方です。それは今までのセキュリティが目指していた「ブラックリスト型」とまったく真逆の考え方です。(続く)

2015-06-24 09:14:56
ハミングヘッズ公式 @HummingHEADS

2:文字通りブラックリスト型は悪いウイルスを見つけて捕まえるもの、ホワイトリスト型はよいプログラムだけ許可するもの。これだけ聞くと、得られる結果は同じではないか、と思ってしまうかもしれません。(続く)

2015-06-24 09:16:45
ハミングヘッズ公式 @HummingHEADS

3:ところがどっこい。世の中のプログラムすべてに白黒をつけられればどちらを使ってもよいのですが、実は問題になるウイルスのほとんどがどっちにも属さないプログラム。つまり「悪いことをするケド、悪いことをすると認知されていない」プログラムなんです。(続く)

2015-06-24 09:35:14
ハミングヘッズ公式 @HummingHEADS

4:で、こういう「悪いことするケド、悪いことをすると認知されてないプログラム」…長いので「未知のウイルス」って呼んじゃいますが…未知のウイルスがワーッとあなたのパソコンに攻め込んできたとしましょう。(続く)

2015-06-24 09:37:40
ハミングヘッズ公式 @HummingHEADS

5:ブラックリスト型が飽くまで「悪い」と登録されたプログラムだけを殲滅するので、未知のウイルスを「悪い」と認識できません。つまりやっつけることができません。(続く)

2015-06-24 09:39:36
ハミングヘッズ公式 @HummingHEADS

6:ホワイトリスト型の場合「OK」のプログラムだけを動かします。「未知のウイルス」は「OK」として登録されていないため、止めることができます。つまり食い止めることができるのです。(続く)

2015-06-24 09:41:30
ハミングヘッズ公式 @HummingHEADS

7:ブラックリスト型なんて名前聞いたことがない? 「ウイルスを見つける」技術はすべてブラックリスト型です。なんか横文字とか難しい言葉で、パターンマッチ、ヒューリスティック、ふるまい検知、挙動分析、サンドボックスとか言ってますが(続く)

2015-06-24 09:44:53
ハミングヘッズ公式 @HummingHEADS

8:結局は「悪い」と判断する基準が必要で、ウイルスからしたら悪いと判断できる基準をすり抜けちゃえばいいだけなので、ぜーんぶ同じようなものです。みなさま、ウイルス対策製品を選ぶときは、十分にお気を付けください。#サイバー攻撃 #ウイルス #情報漏えい #個人情報保護

2015-06-24 09:49:05

コメント

ナスカ(Nazka-U) @Chiether 2015年6月24日
「悪いと認識できない」のであれば。誰がホワイトリストを定めるのか。 まあ一部企業では「選定部署」があって「導入許可一覧」とかあったりします。 そのおかげでテキストエディタが一切許可されなかった(sakuraエディタすら)という現場もありました。 開発? vimですよ。
3
ナスカ(Nazka-U) @Chiether 2015年6月24日
いかん。vimとかいうとema○sあたりの人たちが怒るな。 ええと。 vi○とe○acsですよ。
2
きゃっつ(Kats)⊿ @grayengineer 2015年6月24日
ホワイトリスト方式にするとフリーウェアとか自作ソフトとか動かない環境になったり、ドライバのアップデートが拒否されたりしかねない気がするけど。シロウトは使うアプリが限られているからいいかもしれないけど、開発用に使っている人には向かないんじゃないかな
0
竹箒清掃中 @takebouki_kirei 2015年6月24日
こういうのは結局ハイブリッドに落ち着く気がする
0
想 詩拓@文芸サークル『文机』 @sou_sitaku 2015年6月24日
決まったソフトしか使わない業務用端末ならともかく、汎用PCでホワイトリストはちょっと……。気軽にリスト足していけるならいいんだけど、運用上そうはならないよね。
3
パンダは肉食獣 @j_inbar 2015年6月25日
開発者とか、セキュリティの専門家じゃなくて、広報の人間が分ったつもりとかで書いていそう。正直、これを会社のアカウントで出すのは情報セキュリティの会社としてはちょっと信用が・・・。まぁ、過去のとかのtweetを見るにセキュリティ会社(セキュリティをやれるとは言っていない)可能性もなきにしもあらずだけど。
3
パンダは肉食獣 @j_inbar 2015年6月25日
突っ込みどころとしては、そのホワイトリストに乗っているプログラムの脆弱性が攻撃されるという事が抜けてて。
4
パンダは肉食獣 @j_inbar 2015年6月25日
あと、当たり前だけど「未知ウイルス」だろうが大抵は大本のウイルスの亜種。と言うか、その亜種が日に何万とか自動生成されるのがほとんど。なので、少数の定義でかなり大多数のウイルスが危険と認識可能。ましてや、>・・・ふるまい検知、挙動分析、サンドボックス とかは動的分析/検出の話だろうが。全然話しているレベルが違う。
2
パンダは肉食獣 @j_inbar 2015年6月25日
ちなみに、プログラムの脆弱性をつかれるのは良くある事で、その中には普通の人は普段どこで使っているかも認識されてないものも多い。 そして、問題になるのは**何**を持って、今動かそうとしているプログラムがホワイトリストのモノなのかを判別するのか?だが、これはかなり面倒な話。
3
パンダは肉食獣 @j_inbar 2015年6月25日
なにせ、近頃のプログラムは毎週なりバグ修正したりupdateしたりも普通だし。こうなると、プログラムに対する署名とかで確認をとかあるだろうが、署名だと既にどっかが漏らした署名を悪意ある人たちが利用して、判別を誤魔化すという事が現にある。
3
パンダは肉食獣 @j_inbar 2015年6月25日
なんつうか、真面目にセキュリティに関する知識も無いくせに無茶苦茶な話し過ぎ。または、自分たちの提案のために適当な事を言い過ぎ。  security vendorじゃなくても、ここまで適当に言われると社会にとって害悪なんですけど。
2
パンダは肉食獣 @j_inbar 2015年6月25日
あまりにも胡散臭いから、ちょっとググったら、「ハミングヘッズ株式会社 代表取締役大江尚之 過去に社長だったエス・ビー・ビー 北朝鮮を訪れた際に親善勲章を授与 政治団体の名義貸し エス・ビー・ビー会社元社長ら逮捕」と
1
パンダは肉食獣 @j_inbar 2015年6月25日
念のため、ホワイトリスト方式がダメな訳ではありませんよ。それはブラックリスト方式がダメな訳でも無いのと同様に。
6
想 詩拓@文芸サークル『文机』 @sou_sitaku 2015年6月25日
j_inbar 「プログラムの脆弱性を攻撃する」っていうのはプログラムの仕事ではないのですか? だからホワイトリスト方式の場合は、プログラムの脆弱性を攻撃するプログラムは許可されてないから動かないのでは。
0
パンダは肉食獣 @j_inbar 2015年6月25日
sou_sitaku 色々なモノがありますが、例えば一番分りやすい所では、Excelのデータなどもデータそのものは無害ですが、Excelで開くことによって、Excelから有害な振る舞いをさせる事もできます。他にも有名所ではPDFを読むときに使われる Adobe Acrobat Readerなども、PDFの中に攻撃の手続きが仕組まれていて、そのデータを開いてしまうことで問題を起こしたりがありました。
3
想 詩拓@文芸サークル『文机』 @sou_sitaku 2015年6月25日
j_inbar ああ、なるほど。アプリケーションではなくファイルを送り込む手口ですね。
0
パンダは肉食獣 @j_inbar 2015年6月25日
sou_sitaku 他にも、IEやOpera、SafariにChrome、FirefoxなどのWeb browserなども、時に深刻な脆弱性が報告されて緊急のUpdateなどもあります。また、そもそもとして、現在のコンピュータ利用環境では、一見して動いているモノ以外に非常に多くのプログラムが動いていて、さらにそれらが時に連携する事で私たちにサービスを提供しています。
2
パンダは肉食獣 @j_inbar 2015年6月25日
sou_sitaku そのため、一個一個は変な利用が難しそうな安全そうなプログラムでも、それらの組合わせ方により攻撃をスルーすることが単純なホワイトリスト方式のみでは欠点としても上げられます。特に、ホワイトリストがなんらかの理由で知られたり推測可能な場合には、泥棒に暗証番号を教えるのに等しい無力化になるでしょう。
1
パンダは肉食獣 @j_inbar 2015年6月25日
sou_sitaku またホワイトリスト方式の場合、最悪そのホワイトリストに載っているかの確認の部分が知られてしまうと、一気に攻撃に弱くなり、さらにもしもその部分が騙せるならば元から悪意あるウイルスを誤魔化して普通に実行させる事が出来てしまいます。
1
エリ・エリ・レマ・サンバディトゥナイ @mtoaki 2015年6月25日
まずdeny allしてallowで必要なものだけ許可していくってこと?
0
パンダは肉食獣 @j_inbar 2015年6月25日
繰り返しですが、ホワイトリスト方式がダメな訳でもブラックリスト方式がダメな訳でもありません。そもそも論として、完璧な方法はありません。そして、それ以前の現実問題として、普通にニュースなんかで取り上げられる情報流失の大多数の案件は人為的なミスが主です。そして、それが起きてしまうのもセキュリティというモノが利便性を犠牲にするという特性のためで、分っていてもセキュリティよりも利便性が選択された時です。
9
初瀬 神楽 @Kagura_d34272 2015年6月25日
ヒューリスティックとブラックリストってかなり違うと思うけどねぇ
0