Black Hat Japan 2006 Briefings、スピーカー紹介〜Paul Bohm(ポール・ボーム)〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.22(火)

Black Hat Japan 2006 Briefings、スピーカー紹介〜Paul Bohm(ポール・ボーム)〜

特集 特集

本日より開催しているBlack Hat Japan 2006では、セキュアなコードの書き方についてもセッションがある。今回は、来日するスピーカーの内、「セキュアなコードを書くための科学と芸術性」というタイトルで話すPaul Bohm(ポール・ボーム)氏を紹介したい。

Bohm氏は、1998年よりTESO Securityの設立メンバーに加わりコード解読に多くの時間を費やしてきた。2003年よりウィーン大学にて、効率の良い量子暗号プロトコルの開発と実装に携わる。現在はSEC Consultのセキュリティコンサルタントとして、脆弱性防衛とセキュアなソフトウェアに興味を持っている。

Bohm氏は今回のBlack Hat Japan 2006でのセッションでは、プログラマーがいつも同じ間違いを犯す理由について深く検討し、よくあるバグソースの領域を押さえ込む戦略について解説を行うという。このセッションの英語のタイトルは「Taming Bugs」なのに気がついたかもしれないが、バグを避けるだけではセキュアなコードを書くことにはならず、プログラミングとはコードとテクニックと同様に、人間系の課題も重要だというところに言及する。例えばこれは、もし1000人のプログラマーに同じタスクと同じツールを与えたならば、でき上がったプログラムはほぼ同様に同じインプットによって簡単に破壊されることを意味している。定番の問題となったクロス・サイト・スクリプティングやSQLなどのインジェクションに関する問題、さらにパス・ノーマライズやパス・トラバーサルなども含めて話されるという。

「ソフトウェアは、セキュリティに関して言えば心臓にあたるものだ。どんな対策を使ったとしても、あなた自作のソフトウェアに穴があるということになれば、それはセキュリティの課題を抱えていることになる」「ある種のセキュリティに重大な影響のあるようなプログラミングでは、ミスは常におこるものだ。こうしたバグを一つずつ発見し修正していくというのは、これからもずっと攻撃者の後手にまわり続けていくのと同じだ。よくできたセキュリティというのは、コントロールを掌握することであり、同じようなバグが何度も発生するのを避けるために、コーディングの環境と実行環境の両方に対策を適切に配置していくことだ。できることならば、誰でもバグフィックスはたった一度に抑えたいところではないかな?」と語るBohm氏のセッションでは、最もシビアで広範囲に及ぶセキュリティ脆弱性に対する様々な防御のアプローチ方法を検討する。また成功している戦略に共通していることも併せて見ていく。こうした所見に基づいて、私たちが今日面している固有のセキュリティ問題に対して免疫を与えるようなソフトウェア開発のセキュリティパターンが紹介される。

【1】 専門・研究領域は?
脆弱性に関するリサーチ、セキュアソフトウェア開発、量子暗号。

【2】 最近のセキュリティのトレンドに関する意見は?
最近の一部のCSOたちは、自社ネットワークから過度なセキュリティ・アプライアンスを取り除くことで、ネットワークセキュリティを保とうとし始めている。おそらく今後このようなケースはもっと増えてくるだろう。というのは、アプライアンスに機能性を付加するというメリットは、もはや複雑性が増すことによるリスクを上回らなくなってきているからだ。

多くのセキュリティ・アプライアンスとセキュリティ・ソフトウェアは、過去にリモートで悪用できるセキュリティ上のバグが存在したことがあり、もしアプライアンスがさらに複雑化する方向に進化していけば、セキュリティ・ソフトウェアのエクスプロイットがさらに多く出現するのを目の当たりにするだろう。ネットワークを守る代わりに、こうした複雑化するアプライアンスはセキュリティに対して間違った安心感を与えるだけで、下層に潜んでいる問題を解決するというインセンティブもなくしてしまう。

もう一方の対照的な傾向としては、ソフトウェア開発とクォリティ・マネジメント(ハイレベルの制御フレームワークとソフトウェア・エンジニアリングに集中したセキュリティ・パターンの両方の分野)におけるセキュリティ重視のプロセスと方法論に注目し始めている。

【3】 日本で興味のあることは?
それはもう、たくさんあるよ。日本が良質で効果的なプロセスにおいて、リーダーとして自ら築いてきたものは信じ難いほどのものがある。多くのヨーロッパ企業はまだ自覚していないようだが、良いプロセスというのは本質的な価値があるものだと思う。それにインターネットや友達を通して聞いている日本の文化も大好きだよ。Black Hat Japanの後は、最低でも1週間は各地を旅行してみるつもりだ。

10月5、6日に東京・新宿の京王プラザホテルで開催中の「Black Hat Japan 2006 Briefings」について、Scan編集部では昨年に続き読者レポーターを選出、セッションについての独自レポートを掲載予定です。お楽しみに。

Black Hat Japan 2006 Briefings
http://www.blackhat.com/html/bh-japan-06/bh-jp-06-jp-index.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×