Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

リサーチャーには情報が必要

サイバーセキュリティのリサーチャーといっても様々な定義がありますが、情報という意味では分析に足りる情報がなければ、判断も変わってくると思うので、下記の記事には共感を覚えました。

www.darkreading.com

 

より良いサイバーセキュリティ研究はより多くのデータ共有を必要とする

情報セキュリティの経済学に関するワークショップの研究者は、サイバーセキュリティデータを共有することによるコスト削減を強調し、侵害、攻撃、および事件に関する情報へのアクセスの拡大を推進しています。
サイバーセキュリティの傾向を特定するには、攻撃者の戦術、セキュリティインシデント、および侵害に関する優れたデータが重要ですが、学術研究者でもデータセットは公表されていないことが多く、情報セキュリティの経済学に関する年次ワークショップ(WEIS)会議。

965件の論文のこれまでのサンプリングで、タルサ大学の研究者グループは、自分のデータセットを作成して公開したのは6%のみであることがわかりました。同じグループによるWEISカンファレンスで発表された論文によると、それでもそのようなデータの価値はその後の研究努力のためのコスト節約においてちょうど663百万ドルを超える。

「そこには多くの価値があります」と、著者の一人でタルサ大学のTandy School of Computer Scienceのサイバーセキュリティ准教授であるTyler Mooreは述べています。「サイバーセキュリティの研究データセットは、他の研究者がデータを利用できるようにすることで多くの価値を生み出します。

データは、サイバーセキュリティにおけるさまざまな取り組みの鍵となります。機械学習システムのトレーニングから脅威の検出、侵害規制によって実際に防御が強化されるかどうかの分析に至るまで、研究者やセキュリティの専門家はますます優れたデータセットを必要としています。

WEIS 2019会議の共同議長であり、ボストン大学キャロル経営大学院の准教授であるSam Ransbotham氏によると、研究者間でもデータの共有はそれほど頻繁には行われません。

誰もがこれらのデータセットを使いたいのですが、誰もそれらを作成して公開したいとは思いません」と彼は言います。「企業は自分たちがしたすばらしいことをすべて見せたいのですが、セキュリティデータを要求しています。それが問題です。」

(Dark Reading記事より引用)

 

◆キタきつねの所感

研究者レベルの話ですので、私の様なフリーなリサーチャーとは違った悩みかも知れません。この考え方を突き詰めていくと、共有のデータという考え方に行きついていくと思うのですが、自分の折角の研究データを他人に公開するなんて・・という意見はわかる気がします。また、公開するデータがホワイトハッカーだけでなく、グレーやブラックなハッカーにも共有されるかも知れない、という懸念もつきまとう訳ですので、データを公開するという事が進んでないのは、案外そうした懸念も影響していると言えるかも知れません。

 

私の記事では、ある程度情報ソースを公開していますが、全てをブログで公開するのは危険だと思う事も多々あります。

例えばEC-CUBEの漏洩事件を調べている際にも改めて感じましたが、もうちょっと足を踏み出してしまうと、ホワイトのつもりの自分がブラック側に転んでしまう、まさにダースベーダー的な状況が近くにある場合もあります。調査のやり方(詳細)を公開すると危ないな・・と思う事は結構あります。とは言え、忖度する事は重要ではありますが、そればかりしていると重要な事を落としてしまうかも知れないので、私の記事では可能な範囲で情報を開示できたらなと思います。

 

情報公開不足について、私がよく追いかけている漏洩事件の場合に当てはめてみると、漏洩事件を発生させた企業・組織は、情報公開が不足していると思います。

例えばSQLインジェクションだったとしても事件の公式リリース、つまり自分のステークホルダーへの情報公開が、「第三者不正アクセスを受けての・・・」といった抽象的な表現で終わる事が非常に多いのは、株主や社会に対する責任と言う意味で問題ではないでしょうか。(それに対して、マスコミの追及が甘いのもどうかと思う時がありますが・・・)

また、同じ攻撃が他のサイトにも起こっているかも知れないという視点に立てば、攻撃の概要だけでも公開する事によって、他社(サイト)がSQLインジェクション対策が十分なのか見直そうとするきっかけにもなり得るのですが、残念ながら、そうした日本の社会意識が醸成されているとは思えません。

 

結果として、「第三者不正アクセス」という分かる様で何を言っているか分からない表現のリリースが乱発する(事件が多発する)のかなと愚考します。

 

 

・・・という訳で、私の記事に推測ばかりが多くて、もしかしたら誤報あるいは間違った結論が多いのは、インプットする情報に問題が(一部)あるのだと思います。(多分)

 

f:id:foxcafelate:20190615111753p:plain

 

更新履歴

  • 2019年6月15日AM(予約投稿)