PR

セキュリティ対策が,企業にとって当然の義務と見なされつつある。これに伴い,“踏み台”にされ,他の企業に損害をもたらした場合に,被害を受けた企業から損害賠償を請求されるリスクが高まっている。しかし,不正侵入を完全に防ぐのは不可能。訴訟に備えた新種の対策の重要性が増してきた。

(藤田 憲治=kenji-f@nikkeibp.co.jp)

写真1●セキュリティ分野に詳しい牧野二郎弁護士
「企業が果たすべき責任の重さは大きく3段階に分けて考えるべきだ。最も重いのは第一種/第二種通信事業者やセキュリティ・ベンダー,大手の金融や流通業者など。次は中小規模の企業。最後は大学やコミュニティ。大学のシステムは開放された場所という意味合いを持ち,大企業ほどの責任は問われないだろう」。
 企業が果たすべきセキュリティに対する責任の重さが変わってきている。顕著な例は,悪意を持つ第三者に踏み台として利用され,自社のサイト経由で他の企業や組織のサイトに被害を与えた場合だ。

 こうしたケースでは,2~3年前なら「踏み台にされた企業の過失が問われることはなかった」(牧野二郎弁護士,写真1)。しかし「状況は変わりつつある。踏み台にされた企業が過失を問われ,損害賠償を請求されるリスクが高まっている」(牧野弁護士)と言う。アクセス制御パッチ適用などの基本的な対策が,企業としての“当然の責務”と認知されつつあるのだ。

 「コンピュータ・フォレンジック」と呼ばれる分野のセキュリティ製品が相次いで登場しているのも,こうした背景から。これらのツールは,法的な証拠になり得る情報を記録・保存・解析する機能を備える。今後多発するであろう訴訟を想定したものだ。

ファイアウォールだけでは防げない

 もちろん,セキュリティに100%はない。例えば,深刻なセキュリティ・ホールと対策パッチが深夜に発見・公表されたとしよう。この場合,24時間365日の運用体制を敷いている企業でないと,パッチを適用するのは翌朝以降になる。パッチを適用するまでの“空白の期間”に,不正アクセスを受ける危険性がある。

 運用時の単純なミスによって,被害に遭うことも多い。システム保守のために,ファイアウォールの設定を緩め,元の設定に戻し忘れた場合などだ。

 セキュリティ・ホールをふさぎたくても,パッチを適用できない状況もあり得る。パッチを適用すると,業務アプリケーションや周辺機器が正常に稼働しなくなるケースである。

 このため,不正侵入を防ぐセキュリティ対策だけでは,もはや十分とは言えない。被害に遭った場合の対策も施しておかなくてはならない。

免責の条件は適切なポリシー運用

 では,具体的にどのような対策を施すべきか。踏み台にされ,他の企業に損害を与えた場合を考えてみよう。

図1●踏み台にされて他の企業や組織に被害をもたらした場合,今後は損害賠償を請求される可能性がある
踏み台にされた企業は,策定したセキュリティ・ポリシーに沿って正しく運用したことを証明し,過失がなかったことを示す必要がある。具体的には,業務日誌を欠かさず作成する,定期的に監査を受けるなどで対処する。
写真2●牧野法律事務所でコンピュータ・フォレンジックの分野を担当する尾崎孝良弁護士
「作成したポリシーがいいかげんだと,順守しても『過失がない』とは判断されないだろう。関連業界でガイドラインを作り,その水準に合わせるのが得策」。
 事後に備えた対策は,大きく二つある(図1[拡大表示])。一つは,被害を受けた企業から損害賠償を請求されることを想定し,自社のセキュリティ対策に過失がないと証明するための用意をしておくこと。もう一つは,踏み台にした攻撃者を特定するための対策を施しておくことである。

 自らのセキュリティ対策に「過失がない」ことを証明する際,カギになるのがセキュリティ・ポリシー。「法廷では,自らのポリシーに沿って適切に運用したかどうかで,その企業が注意義務を果たしたかが判断される可能性が高い」(尾崎孝良弁護士,写真2)。

 尾崎弁護士によると,理想は「パッチの適用時期,アクセス制御のルールなどをポリシーに明記し,それを公開する。加えて,そのポリシーに沿って正しく運用しているかの監査を定期的に受ける。監査で不具合が発見された場合の対処方法もポリシーに明記する」ことだ。これにより,企業の果たすべき注意義務がはっきりし,犯した過失を判断しやすくなる。

業務日誌が有力な証拠になる

 ただ,パッチの適用時期や具体的なアクセス制御方法をポリシーに明記し,公開するのは実際には難しい。前述のように,適用したくてもできないパッチが存在するかもしれない。また,これらの情報は攻撃者に不正アクセスのヒントを与えることにもなりかねない。

 現実的には,「可能な限り早くパッチを適用する」「適切にアクセス制御する」旨をポリシーに明記し,それを順守したことを示す。これで「過失がない」ことを証明する。パッチが適用できず,それが原因で不正アクセスを受けたとしても,「法は不可能を強いるものではない」(尾崎弁護士)ため,十分な理由があった場合は過失責任が問われる可能性は低い。

 このためには,日々の運用状況を業務日誌に欠かさず記録することと,定期的に監査を受けることが重要になる。業務日誌をつけていれば,パッチを適用しようとした事実や適用を試みた時期,パッチを適用できなかった理由などを明らかにできる。

サイトの異常すら発見できない

 もう一つの攻撃者の特定も重要な事後対策だ。攻撃者を特定できれば,踏み台にされた企業は,攻撃者に対して損害賠償を請求できる。一方,特定できなければ,踏み台にされた企業は事実上,“泣き寝入り”するしかない。

 攻撃者を特定するには,証拠となるアクセス・ログを記録・保存し,細かく解析する技術的な対策が不可欠。フォレンジック製品などが有効である。ただ,注意すべき点がある。攻撃者を特定するには,まず自身のシステムが不正アクセスを受けたことを把握しなければならない。しかし,踏み台の場合は,これが意外と難しい。

 例えば,インターネット上では「rootkit」と呼ばれるツールが,多数公開されている。バックドア・プログラムや偽情報を報告するコマンド,ログ改ざんツールなど,攻撃者が踏み台サイトを作るために使うツールが含まれている。rootkitを仕込まれると,システム情報の多くが攻撃者の都合の良いように書き換えられてしまう。これにより,攻撃者が不正にログインし,何らかのプログラムを実行してもシステム管理者が異常に気づきにくくなる。

事前に記録した“正常状態”と対比

図2●不正アクセス被害を調査する場合の主な手順
作業中に気づいたことは,どんなささいなことでもメモに書き留めておく。

 このため,万全を期すには侵入検知ツールを使って攻撃の予兆を知るほかに,ファイルの整合性チェック・ツールも併用しておくべきである。整合性ツールを使えば,ファイルの不正書き換えや,不審ファイルのコピーを検知できる。また,rootkitを検出する「chkrootkit」と呼ぶツールの活用も検討するとよい(http://www.chkrootkit.org/を参照)。

 不正アクセスの兆候を検知したら,図2[拡大表示]に示す手順で実際の被害状況を調査する。まずは,インターネットに接続した状態で,プロセスの実行状況やネットワークの接続状況などの失われやすい情報を収集。その後,ネットワークから切り離し,ハード・ディスクの内容を丹念に調べる。システムの正常な状態を事前に記録しておき,それと比較することで,わずかな異常も見逃さないようにする。

 不正アクセスを受けた場合の対処手順は,あらかじめ決めておくことが望ましい。不正アクセスを受けたマシンが重要なサービスを提供している場合,組織的な観点からの判断が必要になる。このような状況を想定して,組織としての対処手順,緊急時の対策チームを準備しておくべきである。