PR

 つい最近まで,「ハッカ」や「クラッカ」という言葉に誇大な妄想を抱いていた。「セキュリティにどれだけ気を使っても,腕利きのクラッカに狙われたらひとたまりもない」という妄想だ。確かに,一部に深い技術知識を持ったクラッカはいる。どんなシステムでも,必ず“穴”を見つけて侵入してくるスーパクラッカだ。しかし,そんなクラッカに出会う可能性はきわめて低い。

 現在,企業や官公庁のシステムへ不正侵入を試みる「クラッカ」は,ほとんどがスクリプト・キディ(Script Kiddie)と呼ばれる人々だ。スクリプト・キディとは,インターネットで配布されているツールを利用して,攻撃をしかけてくる人々を指す。自らが新しいセキュリティ・ホールを発見して,だれも予期しない侵入経路を探索したり,新手の攻撃ツールを作り出すクラッカではない。“優秀”なクラッカが確立した攻撃手法を再利用する人々だ。

 そのため,深い技術知識がなくてもスクリプト・キディにはなれる。その数は増加の一途をたどり,多くのスクリプト・キディが他愛のない目的で不正アクセスにおよぶ。「新しい攻撃ツールがアップロードされているから試してみたい」といった感じだ。米国では「スクリプト・キディは不正アクセスをスポーツやゲームと勘違いしているのではないか」(米Network AssociatesのPeter R.Watkins社長)と受け取られている。

 スクリプト・キディの場合,次から次へと湧き出てくるという厄介さはあるが,その半面でキチンと防御すれば,ほとんどの攻撃は凌ぐことができる。対策は技術的に難しいものではない。

 (1)ファイアウォールを設置・設定する,(2)パスワードは単純な文字や数字の組み合わせではなく複雑なものにする,(3)利用しているOSやアプリケーションのセキュリティ対策パッチが出たらすぐに適応する,(4)Telnetやリモート・アクセス・サービスなどの侵入されたら危険な入り口(サービス)は封鎖する(止める),(5)TCPやUDPのポートの開閉を厳重に管理する,の五つを守っていれば,「98%は大丈夫」(ラックの不正アクセス対策事業本部,三輪信雄本部長)なのである。

 しかし,セキュリティ対策をキチンと施していない企業や官公庁は国内にたくさんある。特に中小企業でセキュリティに積極的なのは少数派である。

 セキュリティ・コンサルティング会社であるグローバルセキュリティーエキスパートの岡田卓也戦略マーケティング本部部長によると,「これまで約260の会社のセキュリティ対策を請け負ったが,そのほとんどが無防備だった。65%程度がrootを簡単に奪取できる状態,85%はroot権限でプログラムを動かせる状態だった」という。同社はクラッカの手口を用いて,顧客のシステムを不正にアクセスし,そこからシステムに存在するセキュリティ・ホールを見つけることで的確にコンサルティングするというのが売りの会社である。

 何故,基本的な対策さえできない企業が多いのか。多くのセキュリティ・コンサルタントが,その原因として危機感のなさと企業体質を挙げる。多くの日本企業が「システム管理者は従来の業務ですでに手一杯。しかし,セキュリティ対策担当の専任を置くほど人的余裕はない。仕方がないから,システム管理者に任せておこう」という危機感のない考えを許す体質だというのだ。

 セキュリティ対策は地道で根気のいる作業である。対策パッチを適応するにも手間がかかる。日頃からセキュリティ関連情報が掲載されるホームページをこまめにチェックし,セキュリティ・ホールや対策パッチ情報に目を光らせておく必要がある。とても片手間でできることではない。

 システム管理者の評価制度も問題の一つだという。ほとんどの企業が「これからはe-Business」とインターネット・ビジネスの土台作りに注力している。システム管理者は,e-Businessに役立つ仕組みを構築すれば評価される。しかし,完璧なセキュリティ対策を立案・実現しても,それが高い評価につながる可能性は低い。セキュリティ対策の場合,攻撃されて初めてその有難味がわかる。地道で根気のいる作業の割に評価されにくいのだ。

 加えて,中小企業には「自分は狙われないだろう」という変な安心感もある。確かに,中小企業が直接狙われる可能性は低い。しかしセキュリティの甘い中小企業は,ほかのシステムを攻撃する踏み台として利用される。踏み台にされると,信用が失墜するうえに,証拠物件として警察にハード・ディスクを押収される。直接的な被害に合わなくても,業務に支障を来たす可能性は十分にあるのだ。

 米Network AssociatesのPeter R.Watkins社長によると,「欧米では90%以上の企業がセキュリティに対して何らかの対策を実施もしくは検討している。さらに,企業だけでなく個人ユーザまでもがセキュリティ対策の重要性を認知し始めている。実際,2000年に入って個人ユーザ向けのファイアウォール製品が売れ始めた」という。

 国内にここまでの危機感はない。この認識の大きな開きが少しでも埋まるよう,これからもスクリプト・キディの怖さやセキュリティ対策の重要性を説いていく必要があるだろう。

(藤田 憲治=日経バイト副編集長兼編集委員)