このページの本文へ

「ポリシーに基づいたセキュリティー対策を」――CSEがセキュリティーセミナー

1999年11月29日 00時00分更新

文● 編集部 小林伸也

  • この記事をはてなブックマークに追加
  • 本文印刷

システムインテグレーターの(株)シー・エス・イーは29日、企業の担当者向けに“CSEセキュリティセミナー”を開いた。セミナーでは、専門家が不正アクセスやウイルスなど、情報セキュリティーの現状を紹介した上で、「セキュリティー対策はもはや絶対。一過性のものではかえってコストが高くつく上、きちんとしたポリシーを持たない企業はネットワーク上の取引を拒否される動きも出てきている」と指摘した。

セキュリティー対策を企業と話し合うと、たいてい相手は情報システム担当者。技術面だけではなく、セキュリティーポリシーを基に社員全体の意識向上が必要」と語る渡辺氏 セキュリティー対策を企業と話し合うと、たいてい相手は情報システム担当者。技術面だけではなく、セキュリティーポリシーを基に社員全体の意識向上が必要」と語る渡辺氏



セミナーではまず、日本アイ・シー・エス・エー(株)社長でネットワーク協議会コンピュータセキュリティ委員会委員長を務める渡辺章氏が講演した。

渡辺氏は不正アクセス、コンピューターウイルスなど、情報セキュリティーを取り巻く現状について話した。不正アクセス代表的なものは、自動化ツールでIPアドレスやポートをスキャンし、使用されているソフトを判別、セキュリティーホールを探し出して侵入するといったケースや、パスワードの解読による不正侵入が挙げられる。またウェブのCGIを悪用し、トップページの画像を入れ替えるといった攻撃も報告されている。

ウイルスでは、全体の60パーセントがWordやExcelなどのマクロとして感染するマクロウイルスで、35パーセントが実行ファイル型のウイルス。ブートセクター感染型やDOSファイル感染型ウイルスの数は減っているという。日本ではウイルスを作ったり配布したりしても、実際の被害が特定されない限り刑法犯には問われない。メールを表示するだけで感染するワーム『BubbleBoy』の作者は、各国のサイトから閉め出された結果、今では日本国内のある地方プロバイダーのサブドメインを使用して活動中で、ウイルスのソースコードを公開するなど「最悪のページとなっている。関係機関に取り締まりを要請したが、動いてもらえない。今や国際問題になっており、早急な対策が必要だ」と話した。

その上で「マーケティングの時間やコストの節約、顧客満足度の向上など、インターネットを利用することでこれらの問題は解決できる。しかしインターネットのような公共的環境では安全性を誰も保証してくれない。セキュリティー対策とは、会社の存続を賭けて企業全体のビジネスリスクを下げること。e-businessの中でセキュリティーは絶対。一過性の対策ではなく、せめて四半期ごとにはセキュリティーレベルをチェックしてほしい」と訴えた。

続いて、(株)日本総合研究所セキュリティ事業推進部の主任技師である坂井司氏が、企業が実際にセキュリティー対策を進める際の基本方針となる“セキュリティーポリシー”について解説した。

「ネットワークのいい面ばかりが強調されて導入が進んでいるが、入ってくる情報と同じだけ情報が出ていってしまう可能性もある」と話す坂井氏 「ネットワークのいい面ばかりが強調されて導入が進んでいるが、入ってくる情報と同じだけ情報が出ていってしまう可能性もある」と話す坂井氏



坂井氏によれば、セキュリティー問題に関して企業は、情報漏えいによる被害や企業信用の低下など、リスクを漠然と認識していながら、予算の余裕がない中でどこまで対策をすればいいのか、またセキュリティーポリシーはどうやって作成すればいいのか、といった悩みや不安を抱えているという。というのも、情報化によって生じるリスクは、対象となる範囲が広いため体感しにくく、対応も断片的になりがちだという。坂井氏は「ネットワーク化でビジネスチャンスは拡大したが、同じ分だけリスクも拡大し、企業にとって致命的になりかねないものも内包している」としてリスク管理の重要性を指摘した。

情報リスク管理は、まず情報セキュリティーにどう臨むかといった基本方針を明確にした上で対策を明文化する。実際に対策を実施して効果を検証、次の対策について意志決定を行ない、基本方針に生かす、というように一連のサイクルで成り立っているという。セキュリティーポリシーとは明文化された対策方針のことで、それぞれ憲法(基本方針)、法律(利用基準、倫理基準)、判例(設計書、運用基準)といった形で定められる。具体的にはシステムそのものに対する対策と、システムを利用するユーザーに焦点を合わせた人間的側面の2つの観点から、予防、防止、検知、回復の4段階を想定して体系的に対策を行なっていく。

坂井氏は、「場当たり的な対策では投資に無駄が多くなってくる。その上、ポリシーが明確でない企業とはネットワーク上では付き合えない、と言い切る企業も出てきた。情報リスクは経営に大きな影響を与えるリスクであり、社内の特定の部門に任せるのではなく、セキュリティーポリシーを基本として経営者が継続的に対策を実施する必要がある」と語り、経営者の自覚を促した。

最後に、企業向けウイルスワクチンベンダーである英SOPHOS社の技術担当役員を務めるヤン・フルスカ(Jan Hruska)氏が、最新のウイルスの動向と今後の対策について講演を行なった。

フルスカ氏はウイルス対策の例え話として童話“3匹の子豚”を紹介。ウイルスはオオカミで、子豚の長男と次男が建てたわらの家と木の家はすぐに吹き飛ばされてしまったが、三男の建てたれんがの家は持ちこたえ、3匹は幸せに暮らした……という内容。「長男と次男に心当たりはありますか」と問い掛けた フルスカ氏はウイルス対策の例え話として童話“3匹の子豚”を紹介。ウイルスはオオカミで、子豚の長男と次男が建てたわらの家と木の家はすぐに吹き飛ばされてしまったが、三男の建てたれんがの家は持ちこたえ、3匹は幸せに暮らした……という内容。「長男と次男に心当たりはありますか」と問い掛けた



フルスカ氏は、'74年に米ゼロックス研究所で研究された自己増殖型プログラムから最近の自己メール送信型まで、ウイルスの歴史を振り返り、現在、特に問題になっているウイルスはマクロウイルスと自己メール送信型だ、とした。感染経路として電子メールやウェブ、フロッピーディスクのほか、CD-ROMも挙げられ、「CD-ROMがウイルスに免疫があると思ってはいけない。マイクロソフトは少なくとも3回は、ウイルスに感染した製品を出荷している」と警告。ウイルス対策として、感染経路をふさぐことが妥当だ、とした。

具体的な対策としては、ブートセクタ感染型の場合はフロッピーディスクから起動しないことで感染を防げるが、「マクロウイルスの場合、WordやExcelといったソフトを使用しないで済ませることは事実上不可能。別の手段を考える必要がある」として、各クライアント側でワクチンソフトを常に使用する方法と、ゲートウェイとなるサーバー側でウイルスをチェックし、感染の恐れがあるファイルの通過を不許可とする方法の2つを併用することが望ましい、とした。

今後のウイルスについては、「2年前の段階で、ウイルス作者はActiveXに感染するウイルスを制作中だとしていた。かなり近い将来、ActiveXに感染するウイルスが発生する可能性が高く、また発生したらとてつもなく影響が大きい」との見方を示した。全般としてはマクロウイルスと自己メール感染型が増加傾向にあり、マイクロソフトがマクロの使用範囲を広げていくと、新たな問題が発生するかもしれない、とした。フルスカ氏は、「ウイルス対策ソフトの選択も重要になってくる。単に製品を買うだけでなく、セキュリティー対策のパートナーとして信頼できるものを選んでほしい」と締めくくった。

カテゴリートップへ

注目ニュース

ASCII倶楽部

最新記事

プレミアムPC試用レポート

ピックアップ

ASCII.jp RSS2.0 配信中

ASCII.jpメール デジタルMac/iPodマガジン