“現実のMatrix”はリロードできない

2003/6/4

元ホワイトハウス サイバーセキュリティ担当特別補佐官 リチャード・クラーク氏

 6月3日から2日間、RSA Conference 2003 Japanが開催されている。第1日目の基調講演に登壇したのは、元ホワイトハウス サイバーセキュリティ担当特別補佐官 リチャード・クラーク(Richard Clarke)氏だった。クラーク氏は、現ブッシュ政権まで3代の大統領に仕え、上級ホワイトハウス顧問としてITセキュリティに関する助言を行ってきた経験を持つ。第41代ブッシュ政権下では、政治軍事担当国務次官補を務め、湾岸戦争以後もセキュリティ対策を支援する外交的な取り組みの調整役を果たした。

 このような経歴を持つクラーク氏にとって、現在最も関心のある問題は、“サイバーワールド”と“リアルワールド”との差異をいかに縮めるかだろう。米国の中枢から、ITセキュリティというフィルターを通して世界外交の現場を眺めると、現実世界の危機に対する取り組みと比較して、仮想世界の対策はあまりにも杜撰(ずさん)に見えるらしい。クラーク氏は言う。「(戦争でもテロでもなんでもいいが)世界的な危機に直面した場合、各国首脳は緊密な協力体制を敷いて、対応策を練る。しかし、サイバースペースでは世界的な危機が訪れても、各国独自の対策しか行っていないのが現状ではないか」

 過去、“敵”に対して本土上陸を許したことのない米国だが、コンピュータ空間では、何度もテロリズムまがいの攻撃を許している。2001年7月に突如出現し、30万台のコンピュータを汚染した「Code Red」事件の真犯人はいまだに捕まっておらず、記憶に新しいSQL Slammer事件にも靄(もや)がかかっている。

 このような危険な状況を危惧(きぐ)するクラーク氏は、国際的なサイバースペース評議会のような組織を設置し、サイバースペースの中でも、現実世界と同様、各国による協調作業が行える体制を構築すべきだと提言した。そして、このような評議会を設置するうえで、指針となる10の規範(国際的なアプリケーションテストの基準設定など)を示した。わかりやすいイメージは、映画「The Matrix」だ。現実も仮想現実も行うべきことに区別はない。「そもそも、“現実のMatrix”はリロードできないのだ」(クラーク氏)。

 クラーク氏がサイバー空間安全保障担当特別補佐官だった2001年には“米国同時多発テロ”が起こっている。クラーク氏が任命されたのは、その1カ月後の10月9日。米国では「Homeland Security Act」(2002年、国土安全保障法)が施行され、政治上の最高のプライオリティは“国内の安全”が有することとなった。つまり、極端に言えば、個人のプライバシーも国家の安全保障のためには無視されることが許される場合がある状況となったわけだ。日常的に厳戒態勢が続いているともいえる米国だが、一方で、完璧なセキュリティというものは存在しない、という考え方も同時に持っているようだ。攻撃を受けた後、いかに迅速な復帰が可能か、という事後処理の視点である。

慶應義塾大学環境情報学部 教授 武藤佳恭氏

 慶應義塾大学環境情報学部 教授 武藤佳恭氏も「完璧な仕組みなどありえないという場所から出発をしなければ、ITのセキュリティ問題が改善されることはないのではないか」と話す。武藤氏はITシステムの脆弱性の原因であるセキュリティホールは「ソフトウェアの欠陥、ソフトウェアのバグ、システム設計のミス、論理的欠陥問題」が絡んでいると指摘する。そして、これはオープンソースソフトウェアでも変わらない問題だ。武藤氏はNational Institute of Standards and Technology(NIST)のデータベースをもとに、アプリケーションソフトの脆弱点総数およびハイリスクな脆弱点を表にして参考資料として提示した。それによると、Linuxの脆弱点は5月28日の時点で523、ハイリスクな脆弱点は266に上る。マイクロソフトのInternet Explorerは、195(脆弱点総数)、98(ハイリスク脆弱点)となっており、必ずしもオープンソースソフトウェアのセキュリティ強度が高いという結論にはならない、と武藤氏は話す。

 このようなデータを踏まえて武藤氏は「攻撃される心配はないという“性善説”よりも常に攻撃にさらされる可能性があるとする“性悪説”に立ち、セキュリティ対策を行っていくことが必要」と力説した。

(編集局 谷古宇浩司)

[関連リンク]
RSA Conference 2003 Japan

[関連記事]
セキュリティ対策コストを下げる実践的な方法とは (@ITNews)
求められるプロアクティブなセキュリティ対策 (@ITNews)
セコム、「情報セキュリティに力を入れたいが実需が……」 (@ITNews)
“3%のネットワーク障害”に対応、AT&Tが管理施設 (@ITNews)
「インターネットのアメダスを作る」、新JPCERT (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)