急増するランサムウェアなどの動向、経済産業省、IPAなどのガイドラインの紹介、さらに、オープンソースにおけるセキュリティに対するLinux Foundationなどの取り組みを紹介します。

1. MKT International,Inc.1
サーバーサイドにおけるOSSセ
キュリティ市場動向について
MKTインターナショナル
⾚井誠

2. N代表取締役 赤井誠
2011年4月28日設立
B
• 事業企画
• マーケティング
• コンサルティン
• 人材育成
• 翻訳業務等
京都大学工学部卒。
神戸大学経営学修了。
テキサス大学MBA
交換留学。
学
p
日本ヒューレット・パッ
カード株式会社
ソフトウェアR&D
マーケティング
(Oracle,VMware,MS,Linux,HPC, クラウド)
国内Linuxベンダー1位
全HPでLinux OSの世界一の販売
MKTインターナショナル株式会社
WowShop
B

3. MKT International,Inc.3
3ウェブを軸にしたマーケティング活動支援
サイトA （日経BP)
サイトB(ITMedia)
検索エンジン
キーワード
XXXXXX
リスティング広告やSEOへの
最適化が必要
電子メール等
コーポレートサイト
CMSを活用し、レスポン
シブ、セキュア、ＳEO対
策、運用の容易さを実現
WEBサイトを
顧客接点の起点 SI 情報シス
テム部
事業部
経営
層
企業情報
トレンド
経営課題
ソリュー
ション
経営課題
ソリュー
ション
マネ
ジメ
ント
製品概要
仕切り
事例
製品概要
事例
価格
製品概要
事例
活用法
エン
ジニ
ア
製品概要
サポート
動作環境
製品概要
デリバリ
サポート
動作環境
N/A
ターゲットに合わせたコンテンツ（例）
トレンドに合わせたコンテンツ作成
Big
Data
Cloud Mobility Social
Internet of
Things

4. MKT International,Inc.4
4本日の目的
• 初心者の方でもわかるように、セキュリティ動向について概要を説明
• 特に、オープンソース関係のセキュリティへの取り組みを、Linux
Foundationなどを事例にして紹介

5. MKT International,Inc.5
マルウェア
マルウェアの増加傾向は変わっていない。
セキュリティソフトウェア企業では、ア
ンチウィルス対策ソフトウェアでは、マ
ルウェアを防ぎきれないという認識に
なっている
シマンテックは、2014年時点で、
55％程度しか防げていないという。
http://www.techweekeurope.co.uk/
workspace/anti-virus-dead-or-
dying-symantec-144954
そのため、今は、例えば、マカ
フィーでは、「防御」「検知」「回
復」からなる「脅威対策のライフサ
イクル」を効率的に回し、その中で
検知したら、できる限り早く押さえ
込み、回復を図るように情報を循環
させることで継続的にセキュリティ
を改善していく、というあり⽅を提
案している。

6. MKT International,Inc.6
今年の事例
• サイバー攻撃による停電がウクライナで発⽣、電⼒網に迫る危
機 (2016/01)
• マルウェア BlackEnegy を利⽤したもの。電⼒会社以外にも標的にさ
れたとされる
• 参考：「電⼒」に迫るサイバーテロの危機
• Targetの情報流出はPOS端末のマルウェアが原因、⽶当局も注
意呼び掛け (2016/01)
• 医療分野をターゲットにするランサムウェア (2016/02)
• JTBの事例 (2016/06)

7. MKT International,Inc.7
国内におけるセキュリティ動向全般
• 「セキュリティ経営ガイドライン」（経済産業省）
• 経済産業省が2015年末に公開。セキュリティは単なるITの問題ではな
く「経営課題」であると位置付けられ、経営者がリーダーシップを
とってサイバーセキュリティの強化に取り組むよう求めている。現在、
セキュリティ会社では、このガイドラインに基づいて、プロモーショ
ンを実施しているところが多い。
• 「ランサムウェア」
• 2015年末から急増するランサムウェアに対して、⼀般紙やTVなどで取
り上げられるようになり、注⽬度が⾼まっている。

8. MKT International,Inc.8
8ランサムウェア作成のハードルが下がる
• 2015年第4四半期に新たに確認されたランサムウェアは、前四半期に比べ
26％増加
• 「オープンソース」としてランサムウェアのコードが公開
• 「Ransomware as a Service」の登場
• 簡単で捕まるリスクが低い割に金銭的な見返りが大きい手段として、犯罪者
らに注目されているのです。
• McAfee Labsの研究者が、2015年10月に行われたCryptoWall 3ランサム
ウェアのキャンペーンを分析したところ、たった1つのキャンペーンで被っ
た身代金の被害額は、約3億2500万米ドルに上る
http://blogs.mcafee.jp/mcafeeblog/2016/04/mcafee-labs2016-0c8e.htmlより

9. MKT International,Inc.9
セキュリティ予測について
• ほぼすべてのセキュリティベンダー
が、2016年における脅威として、
IoTを上げる。
• 「新たな攻撃ターゲットはIoTと制
御システム、攻撃⽬的にも変化の兆
し 2016年はこんな脅威が！セキュ
リティベンダー10社予測まとめ（前
編）」
• IPAでは特に、以下の4分野を取り上
げて、. IoTシステムにおける脅威分
析と対策検討の実施している。
• デジタルテレビ
• ヘルスケア機器とクラウドサービス
• スマートハウス
• コネクテッドカー

10. MKT International,Inc.10
•パッチの適⽤ができない http://japan.zdnet.com/article/35080722/2/
「セキュリティ専⾨家が指摘しているように、IoT機器にはパッチ
を適⽤できない場合も多いという問題もある。」
•短い開発サイクル
「組み込み機器やIoTにおけるLinuxの問題は、ベンダーが6週間と
いった短い開発サイクルで新たなエディションをリリースすると
ころにある。」

11. MKT International,Inc.11
オープンソースとセキュリティといえば
• オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」
に致命的な脆弱性（Heartbleed）が発覚するなど，昨今，
セキュリティに関して，⼤きな話題と注⽬を集めています。

12. MKT International,Inc.12
Linux Foundation イベントより
• Zemlin「セキュリティ問題はオープンソースだけでの話ではな
い」と前置きしつつ，対応していなければならないことだと述
べるともに，オープンソースのセキュリティ対策には課題
• そもそもセキュリティソフトウェアを開発すること⾃体が難し
いことをあげました。
• 次に，Linusの法則「⽬⽟の数さえ⼗分あれば，どんなバグも
深刻ではない」（“Given enough eyeballs, all bugs are
shallow“）が通⽤してないことがあると述べます。それは，
「オープンソースは，⼤きなプロジェクトが多くて，eyeball
（⽬⽟）が⾜りない」からだとします。

13. MKT International,Inc.13
そして、
• いくつかの重要なオープンソースソフトウェアでさえ，プロ
ジェクトを継続させる資⾦や⼈材の確保に課題があり，それが
⼤きな障害となっているからだといいます。そして，OpenSSL
の件や，プロジェクト費⽤が⾜りないということでニュースに
なったGnuPG など
• OpenSSLプロジェクトへの寄付は年間2000ドルに満たない

14. MKT International,Inc.14
Core Infrastructure Initiative (CII)
• Amazon Web Services，Cisco，Dell，Facebook，Google，
HP，IBM，Intel，Microsoft，NetApp，Rackspace，VMware，
富⼠通，⽇⽴，NECなどの各社が参加
• CIIでは，⽀援が必要なオープンソースプロジェクトを⾒極めて，
⼈材獲得やセキュリティ強化といった必要経費のための資⾦を
提供
• そのアドバイザリーボードには，Alan Cox，Matthew Green，
Dan Meredith，Bruce Schneier，Eric Sears，Ted Tʼso という
錚々たるメンバーが就任

15. MKT International,Inc.15
CIIの活動は，
• CIIの活動は，主に次の3つになります。
• 1つめ、、ベストプラクティスの共有です。例えば，公開されたgit
リポジトリーやバグトラッカーがあり，素早いバグレポート対応を
⾏い，セキュリティ問題専⽤電⼦メールアドレスを持っていること
などをあげます。
• 2つめは，⽀援が必要なプロジェクトを⾒つけることです。
OpenSSL，Bash，GnuPG，NTP，OpenSSHなどです。評価した内
容をOpen Source Security Census（オープンソースセキュリティ
調査）として，開⽰。
• 3つめは，監査，テスト⽤ツールセットなどのツールとリソースの共
有です。

16. MKT International,Inc.16
バッジ
• CIIでは、基準を作って、その基準を満たしたものにバッジを提
供する

17. MKT International,Inc.17
Census
• 評価した内容をOpen Source Security Census（オープンソー
スセキュリティ調査）として，開⽰
• 公開されたgitリポジトリーやバグトラッカーがあり，素早いバ
グレポート対応を⾏い，セキュリティ問題専⽤電⼦メールアド
レスを持っていることなど⾏っている

18. MKT International,Inc.18
Census ページ

19. MKT International,Inc.19
Eject

20. MKT International,Inc.20

21. MKT International,Inc.21
教育
• 問題の⼀つは、開発者がセキュリティのベストプラクティスを
知らないということがある。
• CIIでは、カンファアレンスなどを通じて、セキュリティのベス
トプラクティスを提供していく
• また、トレーニングマテリアルも提供予定

22. MKT International,Inc.22
ツール
以下のようなツールを提供
• Auditing (for example, the OpenSSL audit project)
• Test Suites
• Reproducible builds
• Frama-C false positive free scans
• Fuzzing

23. MKT International,Inc.23
まとめ
• ランサムウェアをはじめとしてマルウェアの増加
• オープンソースの脆弱性とそれに対する取り組み