第1回 日本的なリスク回避策と、それに代わる技術
竹井 淳
インテル株式会社
技術政策本部シニアリサーチャー
TCG日本支部共同代表
2010/8/20
持ち運べるデバイスには、さまざまなリスクがある。そのリスク回避の歴史と、回避のための技術動向を3回にわたり解説する(編集部)
本連載では、情報の“盗難防止”対策の技術動向を3回にわたり紹介する。第1回は序論として、日本の企業が直面する課題である、ITセキュリティ問題の歴史と動向を紹介しよう。
日本におけるITの普及とセキュリティにかかわる課題
日本は、2000年からの政府による「IT戦略」すなわちIT環境の明確な目標設定により、民間主導によるITインフラ投資が積極的に行われ、世界でも最先端のIT環境を現在までに手に入れることができた。
IT戦略は、2000年当時の開始時期からおおむね3つのステージに分類することができる。
 |
| 図1 IT戦略のステージ |
まず最初に2000年から2005年までの第1期「ITインフラの普及期」。この時期は、規制緩和によりADSLが急速に普及し、それを追う形で光ファイバを用いたFTTHサービスも実現化された。主にITインフラ部分の充実に主眼が置かれ、多くの目標を達成した時期とされる。
それに続く2006年からの第2期「ITインフラの利活用期」は、整備されたインフラを、いかに社会で活用するかに主眼が置かれた時期といえる。ここでは、ITを用いることでの社会の効率性向上や利便性の向上が目標とされ、その結果、日本の国際競争力向上や、生活の質の向上などに結び付くとされた。読者の中には、この時期に繰り返し使われた言葉に、「モバイルコンピューティング」や「ユビキタス」などを記憶されている方々も多いのではないだろうか。
充実したインフラを、技術革新により可能となったモバイルコンピューティングで活用していくことが、この期の1つの目標であった。しかし、第2期で挙げられた目標に関して、行われた施策に対しての成果が明確でない、結果が伴わないなどの指摘がされている。
環境の変化が生む「消極的なリスク回避」
日本のIT環境が充実するのと並行して、IT戦略本部は当初より、情報セキュリティに関してはかなり注目してきた。
例えば、脆弱なホストが常時ネットワークに接続できる環境が実現することで、意図せずそのホストが乗っ取られ、インターネットに対して攻撃を行うホストが多数発生してしまうのではないかという懸念があった。FTTH(Fiber to the Home)により、理論上100Mbpsの帯域を使った攻撃が可能となる点など、多様なセキュリティの課題が検討されていた。
一方、長年の議論を経て、日本においても個人のプライバシーを保護するための法律、個人情報保護法が2003年から施行された。この個人情報保護法は、1980年にOECD(経済協力開発機構)で決められた、プライバシーに関する8原則を基に法律が作成されていた。法律自体には社会とのかい離や課題はなかったが、そのルールを社会にどのように当てはめるかについて多くの苦労が見受けられた。
| 【関連記事】 求められるオンラインでの個人情報保護対策 http://www.atmarkit.co.jp/news/200202/16/privacy.html ――現在のこの分野における各国の取り組みを促すきっかけとなったのは、1980年のOECD(経済協力開発機構)によるプライバシーガイドラインの採択。“OECD8原則”とも呼ばれるこのガイドラインでは、収集制限、データ内容、目的明確化、利用制限、安全保護、公開、個人参加、責任の8つに関して原則が定められ、その後のプライバシーに関しての世界全体の方向性を決めたといわれている。 |
そのさなか、モバイルコンピューティングや常時接続環境の普及により、PCやUSBメモリの紛失盗難、さらにウイルスに感染したことによる意図しない情報の流出事故が多発し、企業が行う企業活動のみならず、社会全体の活動に対して情報流出問題が大きな影を落としている。そもそも、OECDのプライバシー原則は、国際的な貿易活動の実現のために、個人の基本的人権の1つであるプライバシーに関しての理解と尊重を通し、柔軟な情報の流通を可能とすることを目的としていた。日本における個人情報保護の受け止め方は、これらの事故の多発により、情報を守ることに注目し、このOECD原則からずれてしまったといえよう。
これらの多発する事故を契機に、リスク回避のために「危険なことを行わない」、すなわち危ないものは使わないといった対応をとる例も見受けられる。具体的には、IT技術の進歩により利便性や業務の効率向上に結び付く技術を「使わない」ことで、それらのリスクを回避する動きが取られているのである。
 |
| 図2 技術と制度/政策が協調してこそ高度な利便性が手に入れられる |
1/3 |
 |
| Index | |
| 日本的なリスク回避策と、それに代わる技術 | |
 |
Page1 日本におけるITの普及とセキュリティにかかわる課題 環境の変化が生む「消極的なリスク回避」 |
| Page2 情報セキュリティリスク対応への世界的な動き 日本におけるギャップ――利便性を失ってでも安全を取る 脅威を認識する |
|
| Page3 いま使える手段――ストレージの暗号化 |
|
 |
“ノートPC使わない”以外の盗難防止策 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
