Enterprise Watch
最新ニュース

慶應大 武藤教授、「インターネットへの意識転換が必要」

「個人情報によって変わるITセキュリティ」セミナー講演

 10月31日に開かれたコンピュータ・アソシエイツ株式会社主催の「個人情報によって変わるITセキュリティ」セミナーにおいて、慶應義塾大学環境情報学部教授の武藤佳恭氏が「完璧なセキュリティ対策へ ~戦略的セキュリティ対策にはサーバーセキュリティは不可欠」と題した講演を行った。


インターネットに「安心」はありえない

慶應義塾大学環境情報学部教授 武藤佳恭氏
 まず武藤氏は「政府や企業のセキュリティ対策はまだまだ弱く、ハッカーなどから攻撃を受けたら、ほとんどが侵入を許してしまうだろう」と、インターネット上の脅威と、それに対するセキュリティ対策の現状について述べた。米国政府は2001年9月11日の同時多発テロ以来、サイバーセキュリティ対策に非常に力を入れており、2003年には年間43億ドルを投じている。しかし、各省庁のセキュリティ能力を調査したところ、その多くが基準値を下回る結果であったという。

 それでは日本はどうなのか。武藤氏によると、上場企業3,000社を対象に同様の調査をしたところ、合格基準を上回ったのはたった2社だけであったという。また「住民基本台帳の例を見ればわかるように、日本の公共機関の防衛能力は非常に低い」(武藤氏)と現在の日本のセキュリティ能力の低さを強調した。


 セキュリティ能力が低いというのは、具体的に何に問題があるのだろうか。武藤氏はブラウザーなどの脆弱性を例に挙げた。米国のセキュリティ関連の報告をしていたWebサイトによると、多くのユーザーが使用しているInternet Explorerには、発見されているにもかかわらずパッチが公開されていない脆弱性が31もあるという(ちなみにこのサイトは現在削除されている)。また、武藤氏は「マイクロソフトの製品が危険だからオープンソースのソフトを使えば安全と認識している人がいるが、それは大きな間違い」と指摘する。オープンソースにも脆弱性は多数存在しており、インターネットに関するソフトウェアに「絶対安全」なものはなく、常にセキュリティに気を配らなければならない。


すでに削除されたIEの脆弱性を指摘するWebサイト ソフトウェアの脆弱性。左は判明している数、右はリスクの高い脆弱性の数

性善説から性悪説への意識転換が必要

 このように常に「脅威」が「防衛」の先を行ってしまっているのが現状だ。それはなぜか?武藤氏は「攻める側と守る側の意識の違い」と分析する。インターネットソフトウェアのベンダーや企業のIT部門は、自社に関するセキュリティ上の問題が発覚した場合、会社の名に傷が付くことを恐れ、隠そうとする傾向がある。つまり防衛のナレッジシェアリングがなされていないのだ。

 これに対し攻撃側はリアルタイムで情報の共有がなされている。武藤氏によると、米国ではネット上だけでなくリアルの世界でも定期的にハッカーの大規模な会議が開かれており、全国から5,000人以上が集まって情報共有がされているという(武藤氏によると、政府がこのような会議を取り締まらないのは「アンダーグラウンドに潜られるのを恐れているから」だそうだ)。さらにインターネット上では素人でもメニューを選んでいくだけでウイルスを作成できてしまうソフトが多数公開されており、「今や10分に1種の新種が発生しているのが現状」(武藤氏)など、脅威はとどまるところを知らない。

 このような現状で企業は何をすればいいのだろうか。武藤氏は「まずインターネットへの意識を性善説から性悪説に変える必要がある」と述べた。もともとインターネットは研究者の間だけで使われたもので素人が安心して使えるように作られたのではない。それを利用するからには「自分の身は自分で守らなければならない」(武藤氏)という。そのうえで「何を守らなければならないのかを整理し、数ある脅威から効率的に防衛できるようセキュリティをマネジメントしていくことが重要」とした。


ハッカーの情報共有サイトの例 ウイルス作成ソフトの例

内部セキュリティ対策の重要性が増している

 武藤氏の講演に続いてコンピュータ・アソシエイツ マーケティング本部の坂本健太郎氏が、同社のセキュリティコンセプトについて説明した。

 坂本氏によると、上場企業へのセキュリティ対策についての調査において、「今後は内部からの情報セキュリティに力を入れたい」としている経営者が75%を占めているという。内部からのセキュリティ対策というのは、主に顧客や経理などの内部情報の漏えい防止を指す。これまで不正アクセスやウイルスなどの「外部からの脅威」ばかりが指摘され、企業はその対策への投資に追われた。しかし前出の武藤氏によると、米国のサイバー犯罪のうち80%が内部犯行、つまり企業内の人間に原因があったという。


上場企業の経営者層に行ったセキュリティ対策の意識調査結果 外部から内部へと変化するセキュリティ対策

 内部セキュリティ対策とは何をすればいいのか?坂本氏は「ユーザーは誰なのかを特定し、ユーザーへ適切なアクセス権を設定して、ルール設定の管理や運用を行うことが中心」という。コンピュータ・アソシエイツの「eTrust Access Control」は情報アクセスの制御と管理が効率的に行え、「例えばいつ、誰が、どこから、どのように情報へアクセスしたかを常に管理し、それらをいつでもトレースできるようにしておくことができる」(坂本氏)という。

 eTrust Access Controlは海外で1000サイト以上、国内でも金融機関を中心に多くの導入実績がある。講演はこれらの実績が紹介されて終了した。



URL
  武藤佳恭教授のホームページ
  http://www.neuro.sfc.keio.ac.jp/
  コンピュータ・アソシエイツ株式会社
  http://www.caj.co.jp/
  eTrust Access Controlの情報
  http://www.caj.co.jp/solutions/enterprise/etrust/access_control/


( 朝夷 剛士 )
2003/10/31 20:09

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.