Black Hat Japan 2006 Briefings、スピーカー紹介〜Paul Bohm(ポール・ボーム)〜 | ScanNetSecurity
2025.12.13(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

Black Hat Japan 2006 Briefings、スピーカー紹介〜Paul Bohm(ポール・ボーム)〜

本日より開催しているBlack Hat Japan 2006では、セキュアなコードの書き方についてもセッションがある。今回は、来日するスピーカーの内、「セキュアなコードを書くための科学と芸術性」というタイトルで話すPaul Bohm(ポール・ボーム)氏を紹介したい。

特集
16 views
本日より開催しているBlack Hat Japan 2006では、セキュアなコードの書き方についてもセッションがある。今回は、来日するスピーカーの内、「セキュアなコードを書くための科学と芸術性」というタイトルで話すPaul Bohm(ポール・ボーム)氏を紹介したい。

Bohm氏は、1998年よりTESO Securityの設立メンバーに加わりコード解読に多くの時間を費やしてきた。2003年よりウィーン大学にて、効率の良い量子暗号プロトコルの開発と実装に携わる。現在はSEC Consultのセキュリティコンサルタントとして、脆弱性防衛とセキュアなソフトウェアに興味を持っている。

Bohm氏は今回のBlack Hat Japan 2006でのセッションでは、プログラマーがいつも同じ間違いを犯す理由について深く検討し、よくあるバグソースの領域を押さえ込む戦略について解説を行うという。このセッションの英語のタイトルは「Taming Bugs」なのに気がついたかもしれないが、バグを避けるだけではセキュアなコードを書くことにはならず、プログラミングとはコードとテクニックと同様に、人間系の課題も重要だというところに言及する。例えばこれは、もし1000人のプログラマーに同じタスクと同じツールを与えたならば、でき上がったプログラムはほぼ同様に同じインプットによって簡単に破壊されることを意味している。定番の問題となったクロス・サイト・スクリプティングやSQLなどのインジェクションに関する問題、さらにパス・ノーマライズやパス・トラバーサルなども含めて話されるという。

「ソフトウェアは、セキュリティに関して言えば心臓にあたるものだ。どんな対策を使ったとしても、あなた自作のソフトウェアに穴があるということになれば、それはセキュリティの課題を抱えていることになる」「ある種のセキュリティに重大な影響のあるようなプログラミングでは、ミスは常におこるものだ。こうしたバグを一つずつ発見し修正していくというのは、これからもずっと攻撃者の後手にまわり続けていくのと同じだ。よくできたセキュリティというのは、コントロールを掌握することであり、同じようなバグが何度も発生するのを避けるために、コーディングの環境と実行環境の両方に対策を適切に配置していくことだ。できることならば、誰でもバグフィックスはたった一度に抑えたいところではないかな?」と語るBohm氏のセッションでは、最もシビアで広範囲に及ぶセキュリティ脆弱性に対する様々な防御のアプローチ方法を検討する。また成功している戦略に共通していることも併せて見ていく。こうした所見に基づいて、私たちが今日面している固有のセキュリティ問題に対して免疫を与えるようなソフトウェア開発のセキュリティパターンが紹介される。

【1】 専門・研究領域は?
脆弱性に関するリサーチ、セキュアソフトウェア開発、量子暗号。

【2】 最近のセキュリティのトレンドに関する意見は?
最近の一部のCSOたちは、自社ネットワークから過度なセキュリティ・アプライアンスを取り除くことで、ネットワークセキュリティを保とうとし始めている。おそらく今後このようなケースはもっと増えてくるだろう。というのは、アプライアンスに機能性を付加するというメリットは、もはや複雑性が増すことによるリスクを上回らなくなってきているからだ。

多くのセキュリティ・アプライアンスとセキュリティ・ソフトウェアは、過去にリモートで悪用できるセキュリティ上のバグが存在したことがあり、もしアプライアンスがさらに複雑化する方向に進化していけば、セキュリティ・ソフトウェアのエクスプロイットがさらに多く出現するのを目の当たりにするだろう。ネットワークを守る代わりに、こうした複雑化するアプライアンスはセキュリティに対して間違った安心感を与えるだけで、下層に潜んでいる問題を解決するというインセンティブもなくしてしまう。

もう一方の対照的な傾向としては、ソフトウェア開発とクォリティ・マネジメント(ハイレベルの制御フレームワークとソフトウェア・エンジニアリングに集中したセキュリティ・パターンの両方の分野)におけるセキュリティ重視のプロセスと方法論に注目し始めている。

【3】 日本で興味のあることは?
それはもう、たくさんあるよ。日本が良質で効果的なプロセスにおいて、リーダーとして自ら築いてきたものは信じ難いほどのものがある。多くのヨーロッパ企業はまだ自覚していないようだが、良いプロセスというのは本質的な価値があるものだと思う。それにインターネットや友達を通して聞いている日本の文化も大好きだよ。Black Hat Japanの後は、最低でも1週間は各地を旅行してみるつもりだ。

10月5、6日に東京・新宿の京王プラザホテルで開催中の「Black Hat Japan 2006 Briefings」について、Scan編集部では昨年に続き読者レポーターを選出、セッションについての独自レポートを掲載予定です。お楽しみに。

Black Hat Japan 2006 Briefings
http://www.blackhat.com/html/bh-japan-06/bh-jp-06-jp-index.html
《ScanNetSecurity》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×