PR
野々下氏写真

野々下幸治(ののした・こうじ)

シマンテック法人営業事業部 エグゼクティブシステムエンジニア

シマンテックにて、法人営業事業部エグゼクティブシステムエンジニアとして、セキュリティ技術全般のアドバイスを行う共に、外部で多くの講演を行う。また、ブロードバンド推進協議会のセキュリティ専門部会の部会長、NPO日本ネットワークセキュリティ協会の理事も務める。

 「われわれの前に確実性は存在しない。われわれは何らかの意味で無知である」——ピータ・バーンスタインは『リスク - 神々への反逆』(日本経済新聞社)の中でこう述べています。つまり、将来発生するかもしれない事象を「想定の範囲内」におさめるためにはなるべく情報を集め、不確実性を少なくし、あらかじめ取れる対策を常に行っておく必要があるということだと思います。

 シマンテックが年に2度発行する「インターネットセキュリティ脅威レポート」( 日本語版の最新版はこちら )では、2004年下半期のインターネットセキュリティの脅威について、以下のような報告がなされています。

  • 秘密情報に対する脅威の増大
  • フィッシング攻撃の着実な増加
  • Webアプリケーションに対する攻撃の増加
  • Windowsを狙うウイルス/ワームの亜種の急増
  • 深刻度が高く、悪用が容易な上、リモートから悪用できる脆弱性の増大

 2004年下半期に記録された脆弱のうち、約48%がWebアプリケーションに関する脆弱性で、過去6ヶ月間の39%から、大幅に増加しています。インターネットのセキュリティ脅威の状況については、2004年の初めにBeagleやMyDoomなどのメールで大規模に拡散するワームが大流行しましたが、これをきっかけに大きく変化しているように思えます。

 実際に2004年からたびたび亜種を出しているBeagleというワームを例にとると、感染後に特定のWebから次の迷惑メール(SPAM)やフィッシング(Pishing)をするためのプログラムをダウンロードしています。今回のように脆弱なWebサーバーがクラアントにインストールする為の不正プログラムを置く場所として使われています。脆弱なWebサーバーがトロイの木馬などの置き場所に使われる例が増えてきています。秘密情報に対する脅威の増大はトロイの木馬により急増しています。

 つまり、インターネットでもっともよく利用されるWebサーバーとクライアントのブラウザーが攻撃対象として狙われ、金銭取得につながる迷惑メール(SPAM)やフィッシング(Pishing)などに使われているのです。例えばカカクコムの事件は当事者にしてみれば「想定の範囲外」の事故だったかもしれませんが、こうした最近のセキュリティの脅威の傾向を考慮すれば「想定の範囲内」の出来事として対策を立てておくこともできたかもしれません。

■今や「迷惑」だけでは済まない迷惑メール

 先に引用したピータ・バーンスタイン著の『リスク』の中には、リスク管理の本質について「ある程度結果を制御できる領域を最大化する一方で、結果に対してまったく制御が及ばず、結果と原因の関係が定かでない領域を最小化すること」とあります。ほとんどのセキュリティ対策技術はリスクを最小化することはできてもゼロにすることは難しいと思われます。

 一般的に、セキュリティはシステム本来の目的ではないため、最終的にセキュリティについては技術的な対策によって全てのリスクがなくなったものとしてシステム構築がなされることが多いように思われます。確かに、最初は侵入のリスク、ウイルス感染のリスクその他を想定して、いろいろなセキュリティの技術対策を導入し、最高のセキュリティを構築したつもりでも、そのような技術的対策で「完全なセキュリティ対策だから侵入もウイルス感染も起こりえない」と考えたとしたら、結果として、リスクは何も想定されてないことになります。しかし、実際は完全なセキュリティ対策などは不可能です。

 例えば、インターネットに接続する場合に必須の技術であるファイアウオールしても、侵入のリスクを完全にゼロにすることはできません。ファイアウオールにおいて昔から最も侵入を許すリスクは、製品そのものの問題よりは設定などの運用における問題です。また、インターネットセキュリティ脅威レポートにもあるように、現在の侵入の可能性は、外部からの企業・団体のインターネット境界に対する攻撃だけではありません。職員による不注意で、トロイの木馬を中に導き入れることにより侵入される危険性も大きくなっています(実際、困ったことに迷惑メールの添付ファイルをクリックしてしまう人は後を絶ちません)。むしろ、こうした迷惑メールによる侵入の方が攻撃者にとっては容易だといえます。この方法による侵入に対して、ファイアウオールは何の防御もできません。

■情報システムの機能の一部として運用・管理を

 しかし、ファイアウオールを正しく運用・管理することにより、侵入のリスクを制御できる範囲内に最小化し、この内部にインストールされたトロイの木馬の通信を早期に検知し、未然にインシデントを防ぐことも可能です。

 このように技術はそれを適切に運用・管理することにより、リスクを制御できる範囲内に最小化することが可能です。ファイアウオールの導入1つをとってもそれをシステムの機能として考えた場合、単に外からの攻撃を防ぐという以外の必要な機能も見えてきて、単純に製品のシェアや機能の多寡にとらわれずに本当に必要な機能で選択することができます。

 現在のようにセキュリティが大きな影響を及ぼすような時代においては、建物において地震対策や防火、防犯などの安全対策がもはやその機能の一部であるように、セキュリティは付属的な機能ではなく、システムの機能の一部として捉え、それに対しても必要な要件を定義し、運用も含めて考えるべきです。

 付属的なセキュリティ対策とは、建物を塀で囲むように、ファイアウオール、侵入検知システムやウイルス対策ソフトなどのセキュリティ製品の導入で終わってしまうような対策です。自治体のセキュリティ対策は、この段階に留まっているケースも散見されます。

 これに対して、システムの機能の一部としてのセキュリティとは、システムの機能の一部として必要な要件を定義し、運用も含めて考えることです。これによりシステムに最適なセキュリティ対策を導入でき、過剰なセキュリティ対策への投資を防ぎ、想定外の大きな事故の発生を未然に防ぐことが可能になると思われます。