Archive for the ‘セキュリティ’ Category

短時間で消えるメッセージ

Friday, March 22nd, 2013

ティーンエイジャーを中心に、コミュニケーションのありかたが変わりつつある。受信メッセージが、10秒程度しか表示されないで、その後は跡形もなく消え去るアプリが広がっている。RSA Innovation Sandboxで、Wickr (ウィッカー) という、San Francisco (カリフォルニア州) に拠点を置くベンチャー企業が、この技術を紹介した (下の写真、出展はいずれもVentureClef)。

g312_wickr_01

メッセージ送受信の方法

Wickrは友人同士でコミュニケーションするアプリを開発している。このアプリはWickrという名前で、アプリを起動して、友人からのメッセージを読む (下のスクリーンショット)。左側画面は受信メッセージを表示しており、メッセージには鍵のアイコンがついており、ここにタッチしてメッセージを開く。開いたメッセージにはタイマーが表示され、カウントダウンでゼロになると、メッセージが消滅する。左側画面の最下段は、受信したメッセージを開いている様子である。このメッセージは、15秒後に消滅するように設定されており、右上に消滅までのタイマーが示され、あと4秒で消えることが分かる。メッセージが消滅すると、Expiredと表記され、メッセージが消えたことを示している。右側画面はメッセージを作成している様子である。テキストを入力した後に、メッセージ表示時間を設定する。ここでは15秒と設定している。

g312_wickr_02

Wickrのメッセージには写真、ビデオ、ファイルなどを添付して送信することができる。Wickrはクラウドと連携しており、クラウド上のファイルを添付して送信する。下のスクリーンショット左側画面がその様子で、Box、Dropbox、Google Driveからファイルを選択する。右側画面は、Google Driveを選択したところで、格納されているファイルが表示されている。ここからファイルを選択し、メッセージに添付して送信する。送信したファイルは、同様に、時間が指定されており、時間が過ぎると自動でファイルが消滅する仕組みとなっている。

g312_wickr_03

Wickrはメッセージを送信する際は、データの暗号化を行う。サーバには暗号化されたメッセージが一定期間保存されるが、その後は削除される。利用者のデバイスでは、上述の通り、受信メッセージは指定時間の後に消滅される。Wickrは友人間でコミュニケーションを行うだけでなく、業務で社内データを安全に送信する利用法も模索されている。今後、医療機関などでの利用が始まると期待されている。

g312_wickr_04

いまどきのコミュニケーション

短時間で消滅するメッセージを考案したのは、Pacific Palisades (カリフォルニア州) に拠点を置くSnapchat (スナップチャット) というベンチャー企業である。利用者は写真を撮影し、メッセージを添えて、友人に送信する。受信者がメッセージを開くと、10秒以内にそのメッセージは消える。Snapchatは、交信記録が残らない通信手段として、利用されている。ティーンエージャーを中心に利用が広まり、新しいモードの通信手段として話題を集めている。友人からメッセージを受信すると、メール・ボックスに表示される (上の写真左側)。受信したメールにタッチすると、メッセージが開き、タッチし続けて写真を閲覧する (同右側)。メッセージは予め指定された時間だけ表示される。時間は1秒から10秒の間である。画面から指を離すとメッセージは見えなくなり、指定時間を過ぎるとメッセージは消去される。

Snapchatに対抗して、FacebookはPoke (ポーク) というアプリをリリースした。Pokeはすぐに消えるメッセージで、利用者は送信画面でメッセージを入力 (下のスクリーンショット左側) し、友人に送信する。写真やビデオを撮影して、メッセージに添付することもできる。メッセージを受信すると、青色の吹き出しで表示される(同右側)。メッセージを閲覧するためには、この吹き出しを指で押さえる。メッセージは最長10秒間だけ表示され、その後は消滅する。

g312_wickr_05

なぜこの方式のメッセージが流行るのか

Snapchatは、当初は、きわどい写真を送受信する目的で使われていたが、次第に利用方法が変わり、普段のコミュニケーションで利用され始めた。ソーシャル・ネットワークでは、送信したデータが保存されるため、利用者は他人から見られることを前提に、気取ったかたちで会話する。SnapchatやPokeでは、記録が残らないため、ありのままの姿でのコミュニケーションが可能となった。Snapchatで本音で意見交換をしても、就職の妨げにはならないし、両親から叱られることもない。高校生を中心に爆発的に利用が広がり、今では、幅広い層で使われている。Wickrの共同創設者であるNico Sellは、RSA Innovation Sandboxのステージで、Wickrは、個人情報がインターネットに永遠に記録されるのを防ぐ、と開発思想を説明した。Wickrは、上述の通り、これをビジネスに応用する試みを始め、社内データを安全に共有するツールとして提案している。企業でもこの方式が受け入れられるのか、トライアルが始まったところである。

仮想化技術を応用した次世代ファイアーウォール

Friday, March 15th, 2013

RSA Innovation Sandboxで注目を集めた企業にBromium (ブロミアム) がある。BromiumはCupertino (カリフォルニア州) に拠点を置くベンチャー企業で、企業向けに、次世代のファイアーウォール技術を提供している。同社ブースでは即席のセミナーが始まり、多くの参加者が詰めかけた (下の写真、出展:VentureClef)。

g311_bromium_01

仮想化技術で攻撃を封じ込める

Bromiumが提供するソフトウェアはvSentry (ブイ・セントリー) と呼ばれ、利用者のパソコンにマイクロ仮想化領域を生成して、マルウェアからの攻撃を防ぐ。利用者がウェブサイトにアクセスした際は、この操作をマイクロ仮想化領域で実行する。悪意あるサイトにアクセスした際は、サイトからの攻撃を仮想化領域に留め、システム全体に被害が及ばない構造である。Bromiumは、Hardware Assisted Virtualizationという方式で、パソコン上に仮想化領域を生成する。この方式はCPUに組み込まれているハードウェア機能 (Intel VT-xなど) を使って、高速に仮想化処理を実行する。Bromiumは、MicrovisorというコンポーネントをWindowsにインストールし、マイクロ仮想化領域を生成する。マイクロ仮想化領域は、通常の仮想化技術のように事前にプロビジョニングしておく必要はなく、必要に応じて高速で生成される。

g311_bromium_02

利用者はブラウザーでウェブサイトにアクセスする際に、ホワイトリストで指定されたサイトは、通常通り、Windows上で処理される (上のグラフィックスの水色の領域、出展:Bromium)。一方、これ以外のサイトにアクセスする際は、Microvisorがマイクロ仮想化領域を生成し、処理はこの領域で実行される (同赤色の領域)。マイクロ仮想化領域は、実行しているタスクの挙動をモニターし、制限されている命令を実行すると、CPU VM_EXIT命令を発行し、タスクを停止し、制御をMicrovisorに返す。マイクロ仮想化領域では、タスクが必要とするコンピュータ資源だけを割り当てる構成となっている。

仮想化技術をファイアーウォールに応用

Bromiumの共同創設者は、オープンソース仮想化技術を開発してきたSimon Crosby (サイモン・クロスビー) である。Crosbyは、オープンソース仮想化技術であるXen (ゼン) をサポートする企業である XenSourceを設立し、後に、Citrixが買収した。Xenは、サーバ仮想化技術で幅広く利用されているソフトウェアである。Crosbyは、今回は、仮想化技術をファイアーウォール向けに応用した製品を開発した。ネットワーク・トラフィックの特徴から攻撃を見つけ出すという、従来方式のファイアーウォールがうまく機能しない中、仮想化技術を応用したファイアーウォールに期待が寄せられている。

闇クラウドを見つけ出す技術

Friday, March 15th, 2013

RSA Innovation Sandboxでは、セキュリティ技術のイノベーションが紹介された。Skyhigh Networks (スカイハイ・ネットワークス) はCupertino (カリフォルニア州) に拠点を置くベンチャー企業で、企業内で不正に使用されているクラウド・サービスを管理する機能を提供している。

g310_skyhigh_networks_01

無許可クラウドの検知と管理

企業がクラウドに支出する費用は2015年には729億ドルとなり、年間伸び率は27.2%で、ITサービスのクラウドへの移行が加速している。これと並行して、Shadow IT (シャドーIT) が大きな問題となっている。Shadow ITとは、IT部門の許可を受けないで、社員が独自に使用しているクラウドを指す。Shadow ITは、業務効率化に寄与しているものもあるが、セキュリティ面で危険性をはらんでいる。Skyhigh Networksは、社内で利用されているクラウドの実態を把握するための機能を提供している。Skyhighのブースにおいて (上の写真、出展はいずれもVentureClef)、 エンジニアリング担当副社長であるSekhar Sarukkaiから、Skyhigh Networksのデモを見ながら機能説明を受けた。

下の写真はSkyhigh Networksのダッシュボードで、社内で利用されているクラウドについて、統計情報を表示している。画面上段には、社内で利用されているクラウドの数が表示され、全部で294のクラウドが利用されていることが分かる。その中で69が危険性をはらんでいるクラウドであると警告している。中段のグラフはクラウドへのアクセス数の推移を示しており、リスクの度合いをグラフの色で表示している。グラフ上の赤丸は、問題となるイベントを示しており、アイコンをクリックすると詳細情報が表示される。下段は、利用されているクラウドをアクセス回数の多い順に表示している。

g310_skyhigh_networks_02

危険なクラウドとは、マルチ・テナントで運用されているサービスや、データを暗号化しないで保管しているサイトなどで、社内データ流出の危険性がある。Skyhigh Networksは、これらのクラウドについて、リスクが大であると評価し、IT管理者に注意を喚起する。また、Skyhigh Networksは、社員のクラウド操作を監視し、データ送信量が急増するなど、不審なオペレーションにフラッグを立て警告する。Skyhigh Networksは、Ciscoなどで利用されており、社内データ流出につながるクラウドの運用を停止したり、社員の不審な挙動の検出などに利用されている。Skyhigh Networksは、クラウドの影の部分に光を当て、企業データ保全に努めている。

パスワードでの情報保護は限界に達したのか

Thursday, March 7th, 2013

Googleは、2013年1月、セキュリティに関する研究結果を公表した。このレポートは「Authentication at Scale」というタイトルで、ユーザ認証技術についての評価報告である。Googleはこのレポートで、「パスワードとクッキーで利用者を守ることはできない」と結論付け、新たな技術の導入を検討していることを明らかにした。

g309_yubico_01

ユーザ認証にハードウェア・キーを利用

Googleが評価している技術の一つがYubiKey (ユビキー) という製品である。この製品は、Palo Alto (カリフォルニア州) に拠点を置く、Yubico (ユビカ) というベンチャー企業により開発されている。YubicoはRSA Conferenceに同社の最新技術を出展していた。Yubicoのブースにおいて (上の写真、出展はすべてVentureClef)、John Salterから、製品デモを交えて、最新製品の説明を受けた。下の写真がYubicoが提供しているYubiKeyで、ハードウェア・トークンとして機能する。利用者はYubiKeyをパソコンのUSBドライブに差し込んで使用する。YubiKeyはワンタイム・パスワードを生成する装置で、ウェブサイトへのログインなどで使用する。利用者はウェブサイトのログインで、パスワードの入力を行う代わりに、YubiKeyにタッチしてワンタイム・パスワードを生成する。

g309_yubico_02

YubiKeyは三つのタイプがあり、写真中央がYukiKey Standard、左側がその小型版のYubiKey Nano、右側がUSBに加えNFC (Near Field Communication) インターフェイスを備えているYubiKey NEOである。

g309_yubico_03

上の写真は、パソコンのUSBポートに、YubiKey Standardを挿入して利用している様子である。パソコンではブラウザーを起動し、ウェブサイトにログインするところである。IDとパスワードを入力する代わりに、YubiKey Standardが生成するワンタイム・パスワードを利用する。カーソルをパスワード入力枠に合わせ、YubiKey Standardの表面 (金色の円盤の部分) にタッチすると、パスワードが自動的に入力される。下のスクリーンショットがその様子で、パスワード入力枠にYubiKey Standardが生成した、ワンタイム・パスワードが入力されたところである。パスワードは、一瞬だけ表示され、文字はドットに置き換わり、非表示のモードとなる。これでウェブサイトへのログインが完了する。

g309_yubico_04

上述のYubiKey NEOは、USBとNFCインターフェイスを持つ製品である。YubiKey NEOをNFC機能を搭載しているスマートフォンやタブレットにかざすと、同様に、ワンタイム・パスワードを生成する。下のスクリーンショットは、YubiKey NEOをNexus 7にかざして、パスワードを入力し、ウェブサイトにアクセスした様子である。 これはYubiKeyのデモサイトで、認証が完了すると、Congratulations!のメッセージが表示される。このように、YubiKeyは、自動車のキーのように、デスクトップやスマホ・タブレットから、ウェブサイトにアクセスする際に利用する。

g309_yubico_05

パスワードが破られる事件が相次いだ

2012年は著名人のパスワードが破られる事件が頻発した年となった。雑誌Wiredの記者であるMat Honanは、2012年8月に、パスワードを盗まれ被害にあったことをWiredの記事で明らかにし、もはやパスワードは機能していないと主張している。Honanによると、Apple、Twitter、Gmailのパスワードが盗まれ、iPhone、iPad、MacBookに保存していた、メール、住所録、子供の写真など、全てのファイルが消去された。Honanは、「デジタル・ライフのすべてを失った」と述べている。Honanのパスワードを盗んだ手口はSocialing (ソーシャリング) と呼ばれている。Socialingとは、クラッカーがサポート・センターに電話して、利用者のパスワードをリセットする手口である。Honanのケースでは、Appleのパスワードがリセットされた。クラッカーは、Honanの住所とクレジットカード番号下四桁で、Appleサポート・センターに電話し、簡単にパスワードのリセットに成功した。消費者の住所とクレジットカード番号はウェブサイトで違法に購入できる。数か月後には、New York TimesのDavid PogueのAppleパスワードが盗まれた。PogueのケースではSecurity Questions (秘密の質問) が悪用された。Pogueの秘密の質問は1) 最初に買った自動車、2) 好みの車種、3) 2000年1月1日に何処にいた、である。クラッカーはGoogle検索エンジンで、Pogueの最初の車はCorollaで、Priusを高く評価していることを見つけ出した。2000年1月1日は、ミレニアムを祝って、多くの人はパーティー会場にいた。これでハッカーはパスワードをリセットすることに成功した。

パスワードを安全に運用するために、パスワード構成文字列を強化し、同じパスワードを別のサイトで使用すべきでないと言われても、人間の記憶能力には限界がある。パスワードを強化しても、Socialingの手口やウェブサイトに流出している個人情報を悪用して、パスワードがリセットされる。パスワードという方式そのものが限界に達し、Yubicoのような物理的なキーが注目され始めた。デバイスを紛失した際に、どう対応するかなど、解決すべき問題を含んでいるが、YubiKeyを使ってみて、認証技術の方向が見えてきたように感じた。

日本市場を意識したBYODソリューション

Saturday, March 2nd, 2013

セキュリティに関する最大のカンファレンスであるRSA Conferenceが、今週、San Franciscoで開催された。近年、ベンチャー・キャピタルはセキュリティ企業に重点的に投資を行っており、イノベーティブな技術が数多く登場した。

g308_remotium_01

スマホ・タブレットで安全に業務遂行

カンファレンスでは、Innovation Sandbox (イノベーション・サンドボックス) と題して、最新のセキュリティ技術が紹介された。予備審査を通過した10社が、ステージで技術を披露し、審査員が内容を判定する形式で実施された。会場ではベンチャー・キャピタルが有望企業と面談し、その場で投資の決定が行われるなど、熱気のこもったイベントとなった。その中で、今年の最優秀賞を獲得したのは、Remotium (リモーティアム) という新興企業である。同社のCEOであるSinan Erenが、会場中央のステージの上で、製品のポイントを印象的にアピールした(上の写真、出展:VentureClef)。

RemotiumはSan Mateo (カリフォルニア州) に拠点を置くベンチャー企業で、企業内に持ち込まれるタブレットやスマートフォン向けにセキュリティ機能を開発している。社員はスマートフォンやタブレットにRemotiumというアプリをインストールして利用する。下の写真 (出展:VentureClef) は、iPhone 5でRemotiumを起動したところで、Remotium配下で稼働しているアプリが表示されている。ここには、メール、ブラウザー、Evernoteなどが登録されており、社員はこれらのアプリを使って業務を行う。これらのアプリは、iPhone 5にインストールされ、デバイスで稼働しているのではなく、Remotiumのサーバで稼働している。アプリの実行結果がVisual Elementsとして、iPhone 5にストリーミングされる。デバイス側にはデータが残らないため、iPhone 5から企業データに安全にアクセスすることができる。

g308_remotium_02

後日、ErenがRemotiumのデモを交えて、機能を紹介してくれた。実際にiPhone 5でRemotiumを起動し、Boxアプリを使ってみた。Boxアプリをオープンすると、Boxに保存されているフォルダーとファイルが表示された。この中でPDFファイルにタッチすると、プレゼンテーション形式のスライドが表示された。操作感覚は、iPhone 5でネイティブ・アプリを操作しているようで、違和感は全くなかった。ただ、大容量ファイル操作では、Verizonの通信状況が悪く、ぎこちない面もあった。下の写真 (出展:Remotium) はDropboxを起動 (左側) して、保存しているフォルダーとファイルを閲覧 (右側) している様子である。iPhone 5にはデータは保存されず、社員はスマートフォンやタブレットから、安全に企業データを閲覧できる。

g308_remotium_03

Remotiumのシステム構造

Remotiumはサーバ側にアプリをインストールして稼働させる。Appleのケースでは、Volume Purchase Programの規定に準拠して、アプリを纏めて購入し、デバイスに配信する。サーバ側でアプリは、Virtual Instanceとして、Linux上で稼働する。サーバからは、前述の通り、アプリ実行結果がデバイスにストリーミングされる。これはSonyが買収したGaikai (ガイカイ) という技術に似ている。Gaikaiはサーバ側でゲームが実行され、実行結果がデバイスにストリーミングされ、利用者はこれをインタラクティブに操作する。これと同様に、Remotiumサーバでのアプリ実行結果が、映画のようにデバイスにストリーミングされ、利用者はデバイスでこれをインタラクティブに操作する。下の写真 (出展:VentureClef) は、コンソールからRemotiumで利用できるアプリを定義している様子である。IT管理者は業務で利用するアプリとして、Adobe PlayerやDropboxなどを登録している。アプリのアイコンがコンソールに示されており、IT管理者はアイコン上の登録ボタンをクリックするだけで登録処理が完了する。登録されたアプリはRemotiumのサーバで稼働する。アプリはVirtual Instanceとして稼働するため、アプリへの改造などは不要である。

g308_remotium_04

ネットワーク通信速度がカギを握る

Remotiumはアプリの実行結果をデバイスにストリーミングする構造で、回線速度は3G以上が必要である。Erenは、「Remotiumは、開発当初から、通信ネットワークが高速である日本市場を意識している」と述べ、「Remotiumは日本市場との相性がいい」と説明した。Remotiumは、Amazon上に構築されており、アメリカ、ヨーロッパ、日本のAmazonでシステムを展開している。Erenは、システム展開方式についても言及した。「現在はRemotiumはクラウド・サービスとして展開しているが、今後は、ハードウェアとソフトウェアを統合したアプライアンスとして提供する」と説明した。企業はRemotiumアプライアンスを自社に設置して、安全にBYODソリューションを展開できる。Erenはアメリカ政府とセキュリティ技術の研究を行い、スマートフォンやタブレットの脆弱性を一番理解している人物である。如何にデバイスのシステムを堅牢に設計しても、必ずデバイスに侵入する手法が登場する。企業データを安全に扱うためには、デバイス側にデータを残さないことである、というのがErenの信条である。Remotiumはそれを体現した構造となっている。