猛威を振るうSARSウイルスに思ったことSecurity&Trust ウォッチ(14)

» 2003年05月24日 10時00分 公開
[須藤陸@IT]

 ウイルスが猛威を振るっている。といっても、セキュリティ関連のサイトでおなじみのコンピュータウイルスではなく、新型肺炎を引き起こすSARS(重症急性呼吸器症候群)ウイルスのことだ。5月14日時点で、可能性例を含む感染者は7548人、死者も570人を超えたという。

 このSARS、毎日のようにメディアで騒がれる割に、根本的な対策が進んでいるようには見えない。現場の医療関係者はもちろん努力していると思うが、まず感染原因の特定に時間がかかった。また、どのようにして感染が広まったかという経路の解明だが、いくつか有力な説はあるものの、これという特定まではなされていない。どのくらいの量の病原体があれば感染・発症するのか、発症後の経過はどうなるのかといった情報も、未確定、もしくは断片的な情報しか得られない。

 ただ、第二次世界大戦前に大勢の死者を出したインフルエンザなどに比べると、SARSの感染力は低いのだという。それでも、急速にこれだけ感染が広まった背景には、航空旅行の発達があるそうだ。

 人の行き来がしやすくなり、ますます多くの人が旅行するようになった分、ウイルスの移動も早くなったというわけである。この点は、やはりインターネットの普及に伴い、猛烈な勢いで感染を広めるようになったコンピュータウイルス(ワーム)を髣髴(ほうふつ)とさせる(のは私だけだろうか?)。

被害状況や原因を調査するフォレンジックに注目

 SARS関連報道を見ていてつくづく思うのは、根本的な対策を実現するには、原因および「だれがいつ、どこで、どのようにして感染したのか」の速やかな特定が欠かせないということだ。一連の分析に当たっては、プライバシーへの配慮を欠かすわけにはいかないが、きちんと追跡・検証作業を行い、その結果を踏まえて抜本的な対処を進めない限り、何をやっても対症療法に終わってしまうだろう。たとえ顕在化した患者の数が減り、一段落ついたと思っても、忘れたころにまた別の場所から患者が現れるといった可能性は十分考えられる。

 そしてこれは、不正アクセス対策、セキュリティ対策でも同じことだと思う。

 例えば、自社システム内のマシンに不審な動作が見られたとしよう。まず、これは果たして第三者からの攻撃を受けた結果なのか、それとも単なる機器の不調や設定ミスなのかを見極める必要がある。これは、高熱が出たときに、SARSなのかそれともただの風邪なのかを判定する作業に似てはいないだろうか。

 もしそれが不正アクセスの結果であるという結論に至ったならば、さらなる調査が必要だ。具体的にいつ、どのような被害があったか。ほかにも被害に遭ったマシンはなかったか。このマシンを踏み台として他者を攻撃した痕跡はないか。そして不正アクセスは、どういった経路を通じて、どんな脆弱性(あるいは休眠アカウントなど)を悪用された結果行われたのか――。これらを、SARS同様プライバシーに極力配慮しながら検証していくことになる。

 こうした事柄の把握は、組織内での報告、連絡に不可欠だし、その後の対応・対策のベースにもなる。どこから攻撃やワームがやってきたのかが分からなければ、攻撃元(あるいは攻撃元ユーザーが利用しているプロバイダ)への通知や対策依頼ができない。どんな脆弱性が攻撃を招いたのかが分からなければ、肝心のセキュリティホールをふさぐことができず、たとえシステムを再稼働してもまた同じような攻撃を受けかねない。またこれらの情報がなければ、企業にとっては最も懸念すべきリスクだが、自らが加害者となってしまった場合の経緯説明や責任の立証といった作業を適切に行えるとは思えない。

 さらに、これはどちらかといえばセキュリティ専門家やベンダの仕事になるだろうが、将来的な対処を見据えるならば、不正アクセスを受けてしまったコンピュータから法的根拠の認められる形で証拠を切り出したり、ワームであれば検体の中からワクチンを作り出したり、といった作業も求められる。被害を受けたホストをLANから切り離し、OSを再インストールするだけではもったいない。そこには、今後の技術的、法的対策の役に立つであろうさまざまなデータが含まれているからだ。

 被害を受ける確率を最小限にとどめるべく、事前に対策を施すことも重要だ。だが一方で「攻撃は避けられないもの」という考え方に立ち、あらかじめインシデント・レスポンスと事後の検証・分析作業――いわゆるフォレンジック――を視野に入れてシステムを組み立て、いざというときの作業を進めやすいように備えておくべきではないか。SARSへの対応を見ているとそんなふうに思えてくる。

思考停止に陥るな

 もう1つ、SARSに関する一連の報道を見ていて落ち着かない気分にさせられることがある。というのも、やたらと「大変だ」「危険だ」ということが強調されるのだが、じゃあ具体的に何がどんなふうに大変で危険なのか、そのリスクはどうやったら軽減できるのかという肝心な部分が見えてこないからだ。

 これは自戒を込めてのことだが、マスコミでは、物事はとかく極論で語られることが多い。セキュリティについていうならば、「危険」と「安全」のどちらか一方についてのみ語られがちだ。

 しかし、何かが「危険」といっても、だれにとって、どんな部分で、どのくらい危険なのか、その危険を回避する手立てはあるのかないのか、あるとすれば、それを講じることでどの程度リスクを減らせるのか、といったことを検証し、説明しない限り、実は何も表現していないに等しいと思う。

 これは逆の「安全」という表現についても同じことだ。この仕事をしているとしばしば、セキュリティ関連製品やサービスについて取材することになるが、そこでは非常に安易に「安全」「高いセキュリティ」といった言葉が用いられているように感じる。

 その例が、「かくかくしかじかの機能があるので安全にネットワークを利用できます」「セキュアなシステムを実現します」うんぬんという表現だ。けれど、ここには適切な理由の説明が欠落している。正確には、「かくかくしかじかの機能があるので、あるシーンでこのように運用すれば、こういった脅威からのリスクを妥当な程度に減らすことができます」という具合の表現が適切ではないだろうか。しかもその根拠が確かなものであって初めて、ユーザーも安心して試せるというものだ。ついでに欲をいえば、「たとえこの製品/サービスを導入しても、ほかにこういったリスクがまだ残ります」くらいの指摘があってもいいだろう。

 SARSにしても情報セキュリティにしても、危険だ、安全だ、といった言葉だけに振り回されて、そこで思考を停止してはならない。それがなぜ、だれにとって、どのくらい危険であり安全なのか、それをう回する手段には何があるのか、ほかに考えるべき要素は何かと、常にウラまで考える頭を持ちたいと、あらためて自らに言い聞かせたい。


Profile

須藤 陸(すどう りく)フリーライター

1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。現在、雑誌、書籍などの執筆を行っている。


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。