BINDの脆弱性(CVE-2016-2776)公開と、脆弱性公開後の状況
さる2016年9月27日、BINDの脆弱性の1つCVE-2016-2776が公開されました。
- CVE-2016-2776: Assertion Failure in buffer.c While Building Responses to a Specifically Constructed Request
- https://kb.isc.org/article/AA-01419
この脆弱性、細工されたリクエストを脆弱性のあるBINDで構成されたDNSに送りつけると、DNSが停止するというものでした。UDPパケットを一発送信するだけでDNSが落ちる、かなりわかりやすいDoS脆弱性であり、対象となる脆弱性がある場合は設定などで回避を行えず、対処方法も脆弱性を修正したバージョンに差し替える以外にないという、実に豪快なものでした。
このアナウンスを受けて、JPRSは脆弱性に関する注意喚起を出しています。これが2016年9月28日のことです。
- (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2776)
- https://jprs.jp/tech/security/2016-09-28-bind9-vuln-rendering.html
ところがこの脆弱性、5日後の2016年10月2日にはPoCが公開されていました。
- infobyte/CVE-2016-2776
- https://github.com/infobyte/CVE-2016-2776
- infobyte/CVE-2016-2776のコミット状況
- https://github.com/infobyte/CVE-2016-2776/graphs/contributors
Metasploitのモジュールとしても動くように実装しようとしているものもあります。
- DoS exploit for CVE-2016-2776
- https://github.com/rapid7/metasploit-framework/pull/7382/files/143a4af73de8e916de8c125ca132be43e9c3c5a3
そして、この脆弱性を用いた無差別攻撃が行われている旨、警察庁からも注意喚起が出されています。
- BINDの脆弱性(CVE-2016-2776)を標的とした無差別な攻撃活動の観測について
- https://www.npa.go.jp/cyberpolice/detect/pdf/20161005.pdf
もともと名前解決のしくみは、特定の権威DNSが停止してもその影響がすぐに出ない(出にくい)ように設計されています。そして、特定のドメイン情報を提供する権威DNSサーバは、通常は複数設置されているため、複数のDNSのいずれかが停止してもすぐには影響はでないと言われています。このため、脆弱性を突かれた結果、権威DNSサーバの1つが機能を停止しても、ほかの権威DNSサーバが動作している限りはドメイン情報を提供可能です。
とはいえ、脆弱性は脆弱性ですし、ドメイン情報を提供する権威DNSサーバがすべて落ちた場合などは、ドメインの名前解決を行えないなどの影響が出ます。
異常終了した場合はDNSを自動再起動するなどのしくみを導入しているところもあるでしょうが、攻撃の仕方が非常に簡単で、かつUDPパケットを送りつけるだけなので、送信元偽装も容易です。対処可能な脆弱性を対処せず放置しているようなDNSを使っているドメインは、他の脆弱性の存在を疑われ、狙われる可能性もあるので、可能な限り対処しておきましょう。
「情報処理安全確保支援士」、制度設計は悪くないものの、実装に課題?
2016年10月24日に、国家資格「情報処理安全確保支援士」(以下「支援士」と称します)の登録受付が開始されました。この資格は、「サイバーセキュリティに関する実践的な知識・技能を有する専門人材の育成と確保」を目的に創設されたものです。
- 国家資格「情報処理安全確保支援士」
- http://www.ipa.go.jp/siensi/index.html
この資格は、以下の①②いずれかの条件を満たすことで、登録資格を有します。
ただし、①は現時点でまだ試験が開始されていないため、現時点で登録可能なのは②の条件を満たす人のみとなりますが、②の条件は、制度開始から2年間の経過措置期間のみ有効(2018年8月19日申請締切)であり、これ以降は登録資格を有しないことになります。
- ①平成29年(2017年度)春期試験から実施予定の「情報処理安全確保支援士試験」の合格者
- ②「情報セキュリティスペシャリスト試験」または「テクニカルエンジニア(情報セキュリティ)試験」合格者(合格年度問わず)
制度をちょっと読むと気づく人もいるかもしれないですが、支援士の制度は、技術士の制度と似ているところがあります。名称独占資格であるところなどは、その典型です。
名称独占資格である支援士に、どこまで期待できるか?
サイバーセキュリティに関する業務を行うために、支援士の資格が必要か?というのは気になるところだと思いますが、結論から言うと「必要ありません」。名称独占資格は、あくまで資格保持者が「情報処理安全確保支援士」という肩書を使用することを、法的に担保するだけであり、この資格を保持していないからといって、サイバーセキュリティに関する業務を行えないということにはなりません。
ただし、システム構築や運用をはじめとする各種案件の入札要件などに、支援士がいることを求めるケースも出てくるでしょうから、官公庁によるものをはじめとする公開入札案件を請けようとするのであれば、資格者を揃える必要が出てきます。
資格維持の要件は?~実装に少し課題がありそう
現時点で、支援士のWebサイトで公開されている情報には、具体的な資格維持の要件は以下のものしかありません。
- 1年に1回6時間のオンライン講習受講
- 3年に1回6時間の集合講習(グループ討議を含む)受講
そして、この2つの条件トータルで、現時点で15万円程度の負担を求める、ともあります。
筆者が見る範囲では、3年で15万円という金額を取り上げて問題にしている方々がちらほら見られますが、筆者は金額よりは、資格維持の要件そのものに課題意識を持っています。
資格維持のために、継続した学習等を求める資格には、(ISC)2が運営するCISSPなどがあります。CISSP自体は、先人の努力もあり、資格保持者に対する一定の価値が認められていますが、そのような資格であるCISSPの維持要件は、以下のとおりです。
- CISSPの場合
(ISC)2が運営するCISSPは、資格の維持のためには、所定の年会費を支払うことに加え、CPEクレジットを、3年間で120ポイント獲得することが求められます(年間最低でも)。
CPEクレジットを獲得する要件は、(ISC)2が提示しています。主に、認定されたセミナーや勉強会などへの参加を通じて獲得できますが、認定されていないセミナーや勉強会などでも、資格保持者からの申告により認められるケースもあり、幅広い学習や活動の機会を提供できているといえます。
詳細は、(ISC)2のWebサイトをご覧いただきたいのですが、たとえばセミナーや勉強会への出席1時間が、CPEクレジット1ポイント獲得の目安であり、120ポイント獲得するためには、セミナや勉強会への参加で達成する場合には、120時間が必要となります。
必要な要件(主に費用がかかる部分)を中心にまとめたものを下表に示します。
表には明記してませんが、どちらの資格も、資格取得にあたってはそれぞれの資格運営者が定める倫理要件を満たす必要があることは言うまでもありません。
現時点で筆者が取得するとしたらどちらを選ぶか?~現時点ではCISSP
CISSPの維持にこれだけの労力がかかりますが、CPEクレジットの獲得は幅広い手段が認められます。その一方で、支援士はおおよそ3年間で24時間のトレーニングを15万円支払って受けるだけで維持を行えますが、(年次で見直しを行うとはいえ)年間6時間で獲得できる知識は非常に限定的になると考えるのが自然でしょう。
筆者が見る限り、CISSPのほうは、非常に合理的な制度運用がなされていると理解していますし、取得するために必要とされる知識範囲も適宜見直されています。
筆者はCISSPホルダではありませんが、支援士の登録資格は有しています。そんな私が、資格を取るとしたら支援士とCISSPのどちらを選ぶか?と言われると、現時点ではCISSPのほうを選びます。
これは、CPEクレジットの獲得は大変なものの、大変なだけの価値があると認められることに加え、PEクレジットの獲得計画を、自分自身に必要なトレーニング計画や業務計画に置き換えて進めることができると考えているためです。
その一方で、3年間でオンライン講習18時間、集合講習6時間を受けることで得られるものは、非常に限定されます。
とくに、支援士のWebサイトに書かれている「常に最新の情報セキュリティについて学ぶことができます。」という内容は、3年で24時間のトレーニングを受けるだけでは追いつかないことは自明です。それならば、CISSPで言うCPEのようなものを支援士の維持を行う要件として定義して、そちらで維持をするということも視野に入れたほうが、よっぽど実践的な資格になると考えますが、現時点ではそうなっていません。
支援士は、資格維持の要件を見直す必要がありそう
あくまで私見ですが、これまで書いたように、支援士の資格維持要件は、(筆者が見る限りは)非常に緩すぎる上に、講習で獲得できる知識も通り一遍のものにとどまり、資格設置の目的を達成できないのではないか?という疑念に駆られます。
CISSPと支援士を同じ位置付けで見てはいけない、という向きもあるかもしれませんが、外から見たら、どちらもセキュリティの専門家を認定していく資格です。にもかかわらず、継続要件に大きな差異があるように感じます。
支援士自体はまだ始まったばかりの資格制度であり、講習にいたってはまだ開始されてもいないので、まだ海のものとも山のものんとも付かない状態ではあるのですが、必要となる継続教育の時間が短いというだけでも十分不安なので、是非要件を見直していただき、何らかの機会に改定いただいて、実効的な資格となるような配慮を期待します。