横浜で開催されている“Internet Week 2004”において1日、セキュリティー関係者を対象にした“Security Day”が行なわれた。このカンファレンスは、コンピューターやネットワークのインシデント(事件や事故)を扱う3組織、特定非営利活動法人(NPO)の日本ネットワークセキュリティ協会(JNSA)、有限責任中間法人のJPCERT コーディネーションセンター(JPCERT/CC)、業界団体3団体と電気通信事業者7社により設立されたインシデント情報共有・分析センター(Telecom-ISAC Japan)が主催したもの。今回は、セキュリティーに関する最新情報やトレンドを集中して議論するこのカンファレンスの模様を山口英氏の基調講演を中心にレポートする。
■基調講演“変化するセキュリティ管理の実情”
Security Dayは、奈良先端科学技術大学院大学教授の山口英氏による基調講演“変化するセキュリティ管理の実情”で始まった。山口氏は冒頭で最新の言葉として“個人情報保護法”、“事業継続性計画(BCP)”、“情報保証”、“情報化”の4つを挙げ、個人情報の漏洩事件などが続いたことで強烈な情報管理へのシフトが起こっていることや、水害の例を挙げ、現在におけるセキュリティーの幅広さを説明した。水害ついては事例を挙げ、ハードウェアは保険や交換がきくが、データはそれができないこと。データを失ってしまうと業務を再開するときに困難を伴うし、データには保険が効かず助けようがないことなど、普段からのリスク管理の重要性が訴えられた。
 |
|---|
| 質問者に応対する山口英氏 |
また、セキュリティーを考えるときには、一般的な対策として“情報の区分け”、“人の区分け”、“情報と人のマッピング”、“ネットワーク環境での実装努力”があることが説明されたが、人の区分については“できるのだろうか”という疑問を呈している。個人を特定したりすることは認証技術の向上によって確実になっていくだろうが、むしろ組織内における統治体制のほうが重要だと言う。肩書きでマッピングされ、立場が上になるほどいろいろな情報にアクセスできるようにすることが一般的になっているが、うまくいかないことのほうが多い。現場に大きな権限を与え、上層部には重要な部分だけを見せるといったように、思い切ってシステムのデザインを見直すことも大切となるのではないかとしている。
さらに、これまでは外が悪いということでファイアーウォールなどにより中のネットワークを守ることが主であったが、実際には事故や事件の多くが内部で起きており、考え方が変化していること。モバイルコンピューティングの普及により、ノートパソコンなど資源の侵入や資源の持ち出しが起こるようになり、内部と外部の境界線を無視した行動をどうするかといった新しい問題が起こっていること。そのために、取り扱う情報に応じて通常活動エリアと注意万全エリアに分けるといったような、情報、人、システムを分離することが重要になるといったことなど、情報システムを取り巻くリスクが以前と違って大きく変わってきたことなどが伝えられた。
それら以外にも、新たな脅威が顕在化するときは予見できないため、“Plan-Do-Check-Act”のPDCAサイクルをきちんと行ない、かつ弾力のあるPlanを実現すべきといったことや、セキュリティー管理に必要となる人的資源として技術者は必要だが、規制や法制、ヘッジとリスク評価もしなければいけないなど、さまざまな人の関与やトップの意識改革が大切であることなどを述べ、最後に「やっぱりチームワークが大切だ」と締めくくった。
■パネル“情報家電のセキュリティ”
山口氏による基調講演のあとは、JPCERT/CCの水越一郎氏をモデレーターとした“情報家電のセキュリティ”のパネルが行なわれた。パネリストとして出席したのは、エヌ・ティ・ティ・コミュニケーションズ(株)の山崎俊之氏、独立行政法人の情報処理推進機構(IPA)セキュリティセンターの福澤淳二氏、マイクロソフト(株)の奥天陽司氏、日本放送協会(NHK)の三輪誠司氏の4名。ネットワークにつながった情報家電の広がりによって起こりえるインシデントをテーマに、家電におけるセキュリティーとは何かについて、想定される使用形態やバージョッアップ、開発モデルの3点を切り口とした議論が行なわれた。
 |
|---|
| モデレーターを務めたJPCERT/CCの水越一郎氏(左)とNTTコミュニケーションズの山崎俊之氏(右) |
今回のテーマの選定のきっかけとなったのは、ワーム(Worm)に感染して使えなくなったコピー機やスパム(SPAM)の踏み台となったDVD&ハードディスクレコーダーが出現したこと。家電においてはユーザーに設定やバージョンアップをお願いすることは非常に難しいことを前提に、いままでと同じ考え方ではだめなことや、バージョンアップを利用者の同意を得ながら行うような仕組みを考えることなど、情報家電の発展を前提とした内容が特徴的だった。
最後にNHKの記者である三輪氏によって“情報家電のセキュリティ問題の取材を通して”というタイトルで、取材を通して得られた意見が述べられた。
■基調講演“サイバー犯罪の現状と対策”
午後の基調講演は、警察庁生活安全局情報技術犯罪対策課課長補佐・警察庁技官の吉田和彦氏による“サイバー犯罪の現状と対策”が行なわれた。この中では、フィッシング詐欺のようなサイバー犯罪の現状と、それに対する警察等の取組みが紹介された。
 |
|---|
| 警察庁の吉田和彦氏 |
吉田氏の講演はサイバー犯罪とは何かに始まり、その現状や対策などについて説明したものが主体。サイバー犯罪の3つの分類として、他人のIDやパスワードを入力することやセキュリティホールを攻撃する“不正アクセス禁止法違反”、電子計算機を使用した詐欺や業務妨害などの“コンピュータ・電磁的記録対象犯罪”、インターネット上の詐欺や著作権法違反などの“ネットワーク利用犯罪”が紹介され、その分類を基に各種の検挙状況や事例が紹介された。続いてインターネット上のトラブルの現状として、警察における相談などの受理状況といった情報が紹介されたのちに、警察が行なっている対策や取り組みについて具体的な説明が行なわれた。
■パネル“国内における観測系の活動の紹介とその活用方法”
このカンファレンスの最後の講演として、JNSAの佐藤友治氏をモデレーターとした“国内における観測系の活動の紹介とその活用方法”が行なわれた。パネリストとして出席したのは、警察庁サイバーフォースセンターの伊貝耕氏、IPAセキュリティセンターの内山友弘氏、インターネット早期広域攻撃警戒システム“WCLSCAN”の鈴木裕信氏、JPCERT/CCの伊藤求氏、Telecom-ISAC Japanの馬場俊輔氏の5名。国内でネットワークの観測を行なっている団体の活動を技術面から紹介し、その観測結果がどのように活用されているかが紹介された。
 |
|---|
| パネルが行なわれている会場の様子 |
これらインターネットにおける観測は、インターネットをワームやDDoSから守る具体的で実効性のある対策を考えた場合、これらのトラフィックをいち早く察知し、状況に応じた有効な対策を行なえるようにすることが必要だという考えに基づくもの。海外では行なわれている試みが日本では行なわれていなかったために、さまざまなワームが発生した際に海外の情報に頼らざるを得ず、結果として日本のインターネットの状況を正確に捉えることができなかった反省から行なうようになったといった経緯や、定点観測の試みが効果的に機能するためのシステムや組織の連携などについて議論が行なわれた。
■セキュリティホール memo BoF
“セキュリティホール memo BoF”は、Security Dayとしてのカンファレンスが終了したのちに続けて開催されたBoF。(株)はてなの近藤淳也氏や、産業技術総合研究所の高木浩光氏が個人として参加するなど、アットホームな雰囲気の中でさまざまな話題が交わされた。
個人情報保護の流れが加速する中、セキュリティーに対する関心の高まりから、このカンファレンスは非常に盛況であった。開始直後、座席が足りずに急遽増席する場面も見られた。御多分に漏れず、レポートでは伝えきれないニュアンスやその場の話も多く、直接参加する価値は十分にある。より理解を深めるために、主催した組織をアクセスしてみるのもいいだろう。
