叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

パパのアタマはシカクい

この30年、 IT の進化は凄まじいと思います。

しかし、IT は進化しても会社や組織に於ける「情報の共有化」は、そこまで進んでいないと感じている人が多いと思います。

IT は情報の共有化を促進する強力なツールのはずです。ツールを効果的に活用できていないのは、ツールの使いやすさとかの問題ではなく、使う人の問題だと思います。

「貴重な情報」を他者に共有するのは、 労力を要します。労力を費やしてまで情報を共有するのは、利害関係を超えた Win-Win の関係を築ける期待があるからです。

でも、お互いが Win-Win を望んでいなければ、情報の共有化は進展しません。情報共有が進まない理由は、人間の頭のなかが、Win-Win より Win-Lose(勝ちと負け) だからではないでしょうか!?

よく 「AI(人工知能)は、人間を超えることができるのか?」というテーマが議論のネタになります。AIは本能がなく、常にWin-Winな情報の共有をはかるはずです。本能が情報の共有を妨げる人間より、AIはずっと優位な立場にあると思います。

一方、情報セキュリティ分野では、比較的情報の共有化が進んでいると感じます。きっと、サイバー攻撃を行う実行者は、あらゆる組織に於いて共通の敵だからだと思います。戦争に例えるなら、地球上の国と国はあらゆるところで、紛争がおきてますが、もし、宇宙人が地球に攻めてきたら、国と国は一致団結だろうという理屈です。

ソフトウェアの脆弱性情報をグローバルに共有する取り組みとして知られているのが、CVE(共通脆弱性識別子 ) という識別子です。

CVEは、ソフトウェアの脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。

CVEの目的はソフトウェアの脆弱性に対する標準化された命名と識別子を作成することです。報告されたソフトウェアの脆弱性ごとに CVE ID と呼ばれる一意の識別子が提供されます。この ID は、接頭辞「CVE-」で、その後に年、そして一意の番号で構成されます (例:CVE-2023-12345)。脆弱性に関する追加情報や更新が提供された場合でも、ID は一定のままで変更はされません。CVE により、脆弱性情報を共有する各組織は、同じ情報セキュリティの課題について対応していることを確認できます。

2023年は、FortiOS 及び FortiProxy に関してヒープベースのバッファーオーバーフロー(下図)の脆弱性がちょっとした話題になりました。こちらは、CVE-2023-25610 という CVE ID がつけられています。

バッファーオーバーフロー

下記のサンプルC言語は、固定のバッファーサイズを割り当てしてますが、argv[1]に入る文字列がサイズを超えるとバッファーオーバーフローになります。

#define BUFSIZE 256
int main(int argc, char **argv) {
char *buf;
buf = (char *)malloc(sizeof(char)*BUFSIZE);
strcpy(buf, argv[1]);
}

組織間でセキュリティ情報を共有し、サイバー攻撃者と相対したとき、どちらが優位なのでしょうか!?

これは、圧倒的に攻撃者が優位だと思います。

組織は自らが所有する情報を防御するのに必死ですが、攻撃者はあらゆる手を使って、組織から情報をはく奪しようとします。

組織は情報を守るため、攻撃者の手段を想定し、ロジカルな発想で防御態勢を組みますが、攻撃者は自由な発想で組織を攻撃します。

有名な学習塾(日能研)の広告に「シカクいアタマをマルくする」というのがありますが、ロジカルを追求する組織はどこまでもアタマがシカクく、自由な発想で攻撃するハッカーのアタマはとことんマルいのです。

組織に勤める個々人のアタマはマルくても、組織の人になるとシカク的な発想に縛られます。

前に息子がニヤニヤしながら、わたしにこんな問題を出しました。

という字を一筆書きで書いてみて。

わたし、、この問題を20分近く考え、いろいろと試したのですが、正 は一筆書きが出来ない漢字の結論に至りました。ま、そもそも、正 という字は、縦棒と横棒が真ん中でくっ付いてる字体なので、一筆書きが無理なのは、考えなくても分かります。

わたしの結論を伝えると、息子は「やはり、パパのアタマはシカクいよな」と、笑われました。

「俺は1分でこの問題を解いたよ」と、言って、こんな風に 正 を一筆書きしました。





なるほど、、マルい発想だと出来なさそうに思えることも、出来てしまうんだと感じました。