« コミュニティ形成ツールとしてのblog | トップページ | いぬ日記 一ヶ月編 »

2005.11.23

ブラックリストとホワイトリスト

最近、ぼーっと考えていることを、なるべく一般の人にもわかりやすい言葉で書いてみました。

一般に、セキュリティ対策を行うということは、守る対象に対するアクセスに何らかの制限をかけることにつながります。で、制限をかける対象の選択方式としては、ブラックリストによる方式とホワイトリストによるものがあります。

例えば、指名手配中の容疑者は空港等の公共施設に入るのが難しいでしょう。これは、指名手配の人相書きがブラックリストとして機能しているからです。基本的に全ての人が制限無しで自由に出入りできますが、リストに載っている人だけ拒否されるわけです。

また、我が家の電話は、登録されていない番号からの着信は拒否するよう設定されています。この場合、基本的に全て拒否で、番号登録されているリスト(ホワイトリスト)だけ許されるわけですな。

ネットワークセキュリティ関連のツールや製品も、ブラックリストかホワイトリストを利用しているものがほとんどです。例をあげてみます。

ホワイトリスト方式
・ログイン認証(アカウントを持つ人だけログイン可) ・ファイル等のアクセス権(アクセス権を持つ人だけアクセス可) ・ファイアーウオール(許すよう設定された通信だけ可)等々

ブラックリスト方式
・侵入検知システム(攻撃手法のリストにマッチした通信のみを検知) ・ウイルス対策ソフト(ウイルス定義にマッチしたファイルのみを検知駆除) ・スパイウェア対策 ・Webフィルタリング(不適切サイトリストにマッチしたサイトは拒否)等々
 
 
さて、先日「ソニーBMG社の音楽CDを聴いただけでパソコンに悪のプログラムをインストールされてしまう」という事件がありましたが、実はこの事件、上であげたセキュリティ関連のツールのうち、ブラックリスト方式の有効性に対して大きな疑問を投げかける事になりました。

私は、ソニーが顧客に配ったプログラムは、とてもまっとうな物とは言えず、ウイルスと同様の悪のプログラム(俗にいうマルウェア)だと思います。おそらく世界中の多くの人も同様で、実際ソニーBMGに対する訴訟がたくさん起きているそうです。

しかし、本来このような悪のプログラムからパソコン守る事を仕事としているはずのウイルス対策メーカー各社の動きは、とても迅速とはいえませんでした。この悪のプログラムをウイルスとしてブラックリストに入れ(パターンファイルへの登録)、実際に駆除を始めたのはつい最近になってからです。本来はセキュリティ関連企業ではない、マイクロソフト社の対応の方が早いくらいでした。

なぜ、セキュリティ関連各社の対応は鈍かったのでしょう。

ソニーが元々きちんとした会社であり、ハッカー達のアングラ組織とは違う事が明白だった(この事件までは)という事が一番の理由でしょう。しかし、おそらくそれだけはありません。ソニー製のプログラムをウイルスと認定し駆除するということは、ソニーの立場からみれば、ソニーのCDを購入したソニーの顧客のパソコンから、せっかく感染させたソニー製プログラムを勝手に消してしまう事に他なりません。あんな世界的大企業から、「我が社のプログラムを勝手に消すとは何事だ!」と脅されたり訴えられることを考えると、セキュリティ関連企業が躊躇することも理解できなくもありません。

似たような事はこれからも起きるでしょう。相手は企業だけではなく、政府系の機関の場合もあるかもしれません。米NSAがなんかあやしいソフトをばらまいているとか、エシュロンが世界中の通信を盗聴しているとか、てな噂はよく聞きますし。政府系機関から、「このプログラムは動きはウイルスっぽいけど、テロ防止のために役立つか物だから勘弁して!」と言われたとき、ウイルス対策メーカーはそれをウイルスとして扱えるかな?

また、メーカーのプログラム作成過程にミスがあり、メーカーも意図してなかったが結果としてウイルス的な動きをするプログラムがあった場合、お金を出してそれを購入した顧客のパソコンから勝手に駆除してしまうことに問題はないでしょうか? マイクロソフト製のプログラムに致命的な弱点が数多く発見された時期がありましたが、ウイルス対策ソフトがそれに対応したという事はありませんでした。

そもそも、何を持ってウイルスと呼ぶのか、ウイルス対策ソフトが強制的に駆除していいのはどんなプログラムなのか、いまだ業界の中でも明確な定義はないのです。

今回のソニーの事件において、マイクロソフトは比較的素早く対応に動きましたが、これは自社の顧客のWindowsの設定をソニー製のプログラムにぐちゃぐちゃにされて怒り狂ったせいもあるのでしょうが、真の理由は両者がゲーム機や情報家電の市場で天敵であるからなのかもしれません。要するに、あるプログラムをウイルスとするかどうかは、業界の恣意的な意思で決まり、それはたぶんに政治的な要因に左右されると言うことです。今回は誰がみてもソニーは黒でしたが、グレーな動作のプログラムだった場合、もしくは政府系機関が作ったプログラムが似たようなものだったりした場合、世論は割れるでしょうねぇ。

このような、どのプログラムをウイルス扱いするのか問題は、ウイルス対策が基本的にブラックリスト方式である限り解決することはないでしょう。

しかし、動いてもいいプログラムの一覧(ホワイトリストですな)を作成しておき、それに一致しないプログラムは実行させないことができれば、上であげたほとんどの問題は解決します、パソコンの持ち主があらかじめ「動かしてもいいよ」と設定したプログラムのみが動く。これなら、ウイルスの定義はあまり問題にはならないはずです。持ち主が許していないプログラムは、ウイルスであるかどうか関係なくすべて平等に拒否ですから。

とはいっても、そんな仕組みをどうやって実装すればいいのか、想像してみるだけでもなかなか難しそうですな。ホワイトリストをどのように更新するのかが最大の問題になるでしょうし、実行ファイルではないデータファイルについては、現行のブラックリスト方式で検索するしかないかもしれません。

メーカー各社に期待しましょうか。
 
 
おまけのリンク

将来的には、このへんの技術が役に立ちそう。どちらもホワイトリストっぽい考え方みたいですな。
NTTデータが独自開発オープンソース・セキュアOS「TOMOYO Linux」を公開,ポリシーの自動学習機能を備える(IT Pro)
IBM、「ウイルス実行をほぼ不可能にする」ソフトを開発(itmedia)
 
 
さらにおまけ。全体的に参考になる記事
ソニーCDが明らかにしたセキュリティー業界の本質的問題(hotwired)
 
 
もうひとつおまけ、著作権法とウイルス駆除についての、驚くべき事実。
Sony BMGのrootkitを削除するツールを配布するMicrosoftは著作権法違反?(武田圭史)
それがCDコピー禁止のためのプログラムなら、ソニーの悪のプログラムも著作権法で守られる?
 
 
※11月23日
半分寝ぼけながら書いたため、改めて読むと表現がおかしなところがありました。恥ずかしいので、内容を変更しない範囲でちょっと修正しました。

|

« コミュニティ形成ツールとしてのblog | トップページ | いぬ日記 一ヶ月編 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/18696/7273852

この記事へのトラックバック一覧です: ブラックリストとホワイトリスト:

« コミュニティ形成ツールとしてのblog | トップページ | いぬ日記 一ヶ月編 »