社会インフラとしてのインターネット、セキュリティ確保のために

2001/5/18

 2005年にはインターネットが社会のインフラとなり、あらゆる産業の活動がインターネットベースに移行すると予測されている。そこでインフラ整備とともに課題となるのがセキュリティの確保だ。奈良先端科学技術大学院大学 情報技術研究科の山口英教授は、その課題に「企業を超えて産業全体で取り組むべきだ」と見ている。

 5月16日と17日の2日間、都内で開催された「ネットワーク・セキュリティ・フォーラム 2001」(主催:日本ネットワークセキュリティ協会(JNSA))で山口教授は基調講演を行い、ネットワークセキュリティの現状と見解を語った。

 JPCERT/CC(コンピュータ緊急対応センター)に寄せられる不正アクセスなどのセキュリティがらみの事件は年々増えており、2000年は2000件近い報告があった。だが、この数字はあくまでも「氷山の一角」に過ぎず、「現状はその百倍はあるのではないか」と山口教授は見る(JPCERT/CCはセキュリティに関する情報提供などを行っている組織で、山口教授は運営委員長を務めている)。

 最近の攻撃の傾向として、システムの弱点をついた攻撃、バッファ・オーバーフローを利用した進入、踏み台として悪用される、DDoS(分散型サービス妨害攻撃)などがあるという。2月にマイクロソフトのIISのセキュリティホールを利用したWebページの書き換えが急増し、3月にはLinuxなどUNIX環境を狙ったワームも登場した(「Linux-Winウイルスの誕生は悪い兆候 」参照)。

急がれる標準化の策定

 「不正アクセスは検出されにくい」と山口教授は指摘する。1996年に米国で行われた実験では、全アタックのうちレポート(報告)されたのはわずか0.7%で、62.4%は検出されることなく侵入に成功したという。山口教授はその理由を、資金やリソースが不足しているために、セキュリティ管理体制が脆弱・貧弱であることや、セキュリティ管理手順が不明瞭であること、必要な情報が不足していることにあると見る。 

 対策として望ましいのは、セキュリティポリシーの制定、ファイアウォールなどシステムの導入、管理体制の確立などの土台を築いたうえで、事件を発見し素早く防護策を講じることだ。しかし、すべての企業でこの体制が敷けるわけではない。山口教授は、「大切なことは、必要とされる対策を理解し、全部に対応することは不可能だと認めること」という。

 そこで選択肢に上がるのが、SI事業者やISPにアウトソーシングするという解決策だ。だが、現状では業者により提供するサービスが異なるし、“サービス”という言葉に対する定義もまちまちだ。契約時に責任関係を明確にすることが必須であることは言うまでもないが、「セキュリティ管理の業界標準作りが必要だ」と山口教授は訴える。サービスの標準化のためには、アウトソーシング業者と利用する側が一体となり協力・協調して、技術面、さらにはかかわる技術者のレベルの標準化が行われるべきだという。

意識の改善が求められるSI事業者やベンダー

 セキュリティに関する情報が不足している――この課題に対しては、SI事業者や製品ベンダーがセキュリティに関する重要な情報を公開しない閉鎖的風土を指摘した。ベンダー側には、欠陥があったことを“恥”とする風潮が強く、なかなか情報を公表しないところが多い。欠陥に対応できるのは、製品を提供したりシステムを開発したベンダーに限られてしまっているのだ。

 「知っていながら情報を流通させないのは罪深い」と山口教授は言う。「完璧なシステムを提供することは不可能に近い。セキュリティホールがあることを仮定したシステム作りが必要で、発見した場合にはその対応策を開発し情報流通をするべきだ」(山口教授)

 米国では1998年よりインターネットを電力や水道のように重要社会基盤保護とする体制作りが始まっているという。日本でも、IT基本法22条で安全性の確保に触れられており、行政は業界に取り組みを要請している。「業界としての独立性・独自性を確保しながら行政と協力し、業界内で対応体制を高度にしていく段階に入った」として、受講者に呼びかけた。

(編集局 末岡洋子)

[関連リンク]
JNSA
JPCERT/CC(コンピュータ緊急対応センター)

[関連記事]
セキュリティポリシー提供を目的としたアライアンスが設立 (@ITNews)
セキュリティ専任者がいる企業は約半数 (@ITNews)
意識の格差が指摘されるセキュリティ対策 (@ITNews)
コーディネーションが不可欠な企業のセキュリティ (@ITNews)
Linux-Winウイルスの誕生は悪い兆候 (TechWeb/@ITNews)

 

 

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)