ホワイトハウスの考え方も変化

こうした取り組みもすべて、「攻撃方法を理解することで、防御方法を知ることにつながる」(同)としており、セキュリティにおけるこれまでの最大のミスは、「攻撃を理解していなかった人達の話を聞きすぎたことにある」(同)と指摘する。

ホワイトハウスで2008年より行っているセキュリティの取り組みの根本的な考え方にもこうした考え方が取り入れられており、こうした考え方をベースに、攻撃方法を理解している政府所属のチームや民間銀行のチームなどを一堂に集め、これまでの攻撃を防ぐためにどうするかと問いただしてみると、みな同じ答えを返したという。「この結論は非常に驚きであった。セキュリティ分野においては、合意を得るのが非常に困難だからだ」(同)であり、こうしたコンセンサスを元に、入らないようにどうすべきか、入られたときにどうするかの観点から、20のコントロール方法を編み出したという。

20のコントロール方法の内、15項目に関しては自動化が可能

20の内、15は自動化が可能なもので、継続的にモニタリングができるという。「2009年7月末には新たな内容を掲載する予定」(同)としており、現状に則したものに変更がなされる予定。

セキュリティを根本から見直す

また、Paller氏は、「セキュリティの専門家云々の問題ではなくCIOレベルの話になるが」としながらセキュリティの観点から有望であるとして、各米軍のCIOとNSAのREDチームでの取り組みを取り上げている。

これは、何故コンピュータに侵入されるか、という問題に対し、その答えは設定やパッチのエラーによるものと断定。結論としては、元々納入するベンダ側で侵入されやすい設定にしたうえで納入されており、これを納入されるWindowsソフトウェアは、すべてスタンダードセキュアコンフィグレーションに準拠するように変更することで、調達段階でセキュリティレベルを向上させることに成功したという。

結果として、パッチの適用期間は50日超から20日程度に短縮され、38あったMicrosoft(MS)との契約が一元化されたことからコストも1億ドル削減されたほか、パッチテストもMS側で行うため、ソフトごとの設定が減ることとなりヘルプデスクへの連絡も総じて減少したことにより毎年の運用コストも削減可能となった。

これは「Security Baked-in」と呼ばれており、今後は米国議会やホワイトハウスに関しても始めからBaked-inされたシステムを入れることでセキュリティを強化できるようになるという。