情報セキュリティに関しては、これまでは従業員が権限外のデータにアクセスするなどの内部攻撃の方が多く、ウイルスや外部からの不正侵入などの攻撃件数を上回っているとされていた。しかし、米国連邦捜査局(FBI)の調べによると昨年に初めてそれが逆転し、外部からの攻撃が中心になってきたという。
米シマンテックのセキュリティ専門家が会見
複合型攻撃が増大、経営トップの意識改革が重要
2002.01.17−コンピューターセキュリティのリーダー企業である米シマンテックのマーケティングインテリジェンスディレクターであるローレンス.D.ディエッツ氏が来日し、米国における最新セキュリティ事情について記者会見を行った。ディエッツ氏は企業のトップが情報セキュリティの重要性を認識し、全社に指令して基本的な対策を講じることが重要だと指摘。米国では、ウイルス感染などの被害が出た場合、経営者の責任を厳しく問うべきだとの声もあがりはじめていると述べた。
情報セキュリティに関しては、これまでは従業員が権限外のデータにアクセスするなどの内部攻撃の方が多く、ウイルスや外部からの不正侵入などの攻撃件数を上回っているとされていた。しかし、米国連邦捜査局(FBI)の調べによると昨年に初めてそれが逆転し、外部からの攻撃が中心になってきたという。
これは、このところ感染力の強いウイルスが蔓延している実態を反映したもの。単独で過去最大の被害をもたらしたのは、2000年5月の「ラブレターウイルス」の87億ドルだが、昨年は「コードレッド」「ニムダ」「サーカム」による被害総額として9月時点で107億ドルが報告されている。ディエッツ氏は、「業務がストップすることによる機会損失が大きい。また、その間に競合他社に奪われた市場も見逃せない」と説明する。
米国連邦政府も情報セキュリティの重要性を認識し、クリントン大統領時代の1998年に大統領直轄のサイバースペース・セキュリティ・アドバイザーなる役職を設け、リチャード・クラーク氏(http://www.info-sec.com/ciao/bioclarke.html)を任命した。クラーク氏は、ブッシュ大統領に変わった現在も同職を務めている。政府内の各機関における通信は巨大なイントラネットである「GOVNET」を通してセキュアな状態で行われており、軍では「NMCI」と呼ばれる同様のネットワークを運用しているという。産業界に対しては、重要なインフラ防護の一環として、ISAC(Information Sharing and Analysis Centers )を主要な業界ごとに組織させている。
ディエッツ氏は、最近では自律型の破壊プログラムが人手を介さずにネットワーク内を拡散していくワーム型ウイルスが多くみられるようになったと分析する。「ワームがあるコンピューターに侵入すると、そこを踏み台にしてネットワークのぜい弱性を探し、ほかのコンピューターにどんどん被害を広げていく。コードレッドもニムダもその典型で、多数の方法を用いて攻撃する点では複合型の脅威といえる」と述べる。
踏み台になって被害を広げたことで誰かから訴えられる危険はないのだろうか。弁護士でもあるディエッツ氏は「踏み台にされたコンピューターを業界ではゾンビと呼ぶ。ゾンビにされたことで訴えられた事例は、現在のところ米国にはない。訴訟になるとすると、基本的には被害の度合、被害を被る可能性、被害を阻止するためのコスト、そして情報セキュリティをケアする責任の所在とそれをどこまでやるべきかの指標が論点になってくるだろう。とくに、何をどこまでケアしておけばよいのかという社会的合意は、今後非常に重要になると思う。ただ、少なくとも家庭でコンピューターを使用している個人がゾンビになったからといって訴えられることはないだろう。相手が企業の場合は、被告が以前にもゾンビにされた前歴があった場合は、原告に有利な判断が下されるかもしれない」とコメントした。
さて、肝心のセキュリティ対策だが、ディエッツ氏は基本的なことをきちんと行うことが重要だと指摘した。具体的には、(1)インターネット経由でアクセスできるデータを防護するためにファイアーウォールを設置して維持する(2)セキュリティパッチを更新する(3)インターネットからアクセスできるデータは暗号化する(4)ネットワークを介するデータは暗号化する(5)ウイルス対策ソフトを使用して定期的に更新する(6)ビジネスの上で知る必要のあるデータへのアクセスを制限する(7)データにアクセスする一人ひとりに固有のIDを付与する(8)固有のIDによってデータへのアクセスを追跡する(9)デフォルトのパスワードやセキュリティのパラメータを使わず必ず変更する(10)定期的にセキュリティシステムとプロセスをテストする−の10項目をあげた。これは、クレジットカード会社のVISAのセキュリティポリシーだが、すべての企業に参考になるという。
とくにディエッツ氏は、ファイアーウォールの使用、シマンテック製品のようなマルチティアー型のウイルス対策ソフトの使用、セキュリティパッチの更新、強固なパスワード、不要なネットワークサービスを閉じることの5つを実施しておけば、80−90%の攻撃を防ぐことができるとした。
最後に、経営トップの理解が最も重要だと強調し、確実な対策とそのための予算を計上することが求められると述べた。もし被害が出たら、それは経営陣の責任で、トップおよび取締役会を含めて経営責任を問われるべきだとの声も高まってきているということだ。それだけ、サイバー攻撃の被害が拡大しているのだと理解できるだろう。