 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
相次ぐ情報漏洩事件で「情報セキュリティは新たな段階に」総務省補佐官 |
||||||||||||||||||||
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
東京ビッグサイトで開催している「Security Solution 2005」の講演パートとも言える併催イベント「セキュリティ・ソリューションフォーラム in Security Solution 2005」の基調講演に、総務省CIO(情報化統括責任者)補佐官を務める大塚寿昭氏が登場した。 ● 一部ハッカーによる牧歌的な時代から組織的対応が迫られる時代に
「霞ヶ関のWebサイト改竄事件以前は、不正侵入やウイルスはハッカーなど先鋭的な技術に詳しい人たちのやることで、通常のユーザーにしてみれば他人事。どちらかといえば牧歌的な“イタズラ”だった」。改竄事件以降は、各組織のWebサイト担当者にとって個別に対応が必要になるインシデントが増加した。ただし、この“時代”も「あくまでウイルスに対してアンチウイルスソフトを用意したり、不正アクセスに対してファイアウォールを用意するような“事象対応の時代”だった」という。 さらに時代を進めたのはYahoo! BBを代表とする数々の顧客情報漏洩事件だった。これまでは不正アクセスなどがあっても対応するのは担当者レベル。しかし、個人情報だけでなく企業や政府の機密情報が漏洩する事件が頻発するに至り、経営層も「よくわからない」と担当者任せにはできなくなった。事象が起きてからの事後対応ではなく、予防も含めた組織的対応を迫られる時代になってしまったと言うのだ。
● 「悪い連中がITスキルを身に付けた」
最近の事例で犯罪者集団が関与しているとにらんでいるのは、4,000万件以上のクレジットカード情報が流出した恐れがあると言われる米国の事件や、ジャパンネット銀行(JNB)の口座を狙った不正出金事件だ。 6月に米国で発生したクレジットカード情報流出事件について、大塚氏は「偽造クレジットカードを製作するためにカード情報を盗んでいたようだ。少なくともクレジットカードを偽造するための資金力や組織力が必要だろう」と数々の報道から推理。また、犯人らが不正アクセスしたと言われる米CardSystems Solutionsの決済システムについても「少なくとも監視システムはあったはずで、犯人集団は監視の目をかいくぐるために、少しずつのデータを長い期間にわたり継続して不正に入手していたのではないか」と予想した。 JNBでは利用者に乱数表を渡し、出金時のログインパスワードに乱数表に対応した数字を入力させていたという。大塚氏は「この乱数表のデータをキーロガーなどで根気強く取得したのではないか」と推理した。 ● 機密性・保全性・可用性を意識し、体系だったアプローチを
実際の事件では、情報の流出経路はさまざまだ。資材・部品の供給業者や販売代理店などの取引先や、退職者や派遣社員などの人的要因、産業スパイや総会屋などの外的要因に加え、展示会や学会などの発表会で情報が流出してしまったケースもある。 「これまでの情報セキュリティ対策には偏りがあった」と大塚氏は言う。OECD(経済協力開発機構)の「情報セキュリティの3大基本理念」は「Confidentiality(機密性)」「Integrity(保全性)」「Availability(可用性)」だ。「このうち、機密性のみにこだわっていたのが、これまでの情報セキュリティ対策だったのではないだろうか」。 犯罪事例ではないが、2004年に発生した新潟県中越地震の被害にあった自治体では、サーバーそのものに対する被害は受けなかったものの、戸籍情報のバックアップをサーバールームに置いていた自治体が1件だがあったという。Integrityすなわち保全性を重視すれば、隣の市町村などとデータを持ち合うべきで、実際多くの自治体がバックアップデータを持ち合っていた。万が一、地震でサーバールームが倒壊してしまっていたら、住人の戸籍情報が永遠に失われていた可能性も否定できない。 そこで大塚氏は「情報セキュリティ・アーキテクチュア」を提唱。情報セキュリティ・アーキテクチュアとは、セキュリティポリシーの制定など管理者レベルの「セキュリティ・マネジメント」、ウイルス対策やファイアウォールなどテクノロジーを対象にした「システム・セキュリティ」、人の出入りや監視カメラなど業務スペース全体を考慮した「ハード・セキュリティ」の3要素からなる体系的な情報セキュリティのアプローチだ。 大塚氏は「これら3要素のバランスが重要だ。敵は弱いところを突いてくる」という。また、ICカードによる入退室管理をPCのログインと「連携」させることや、複数のセキュリティ対策を組み合わせる「複合化」を推奨。さらに「情報は形状を問わず等価」であるとし、デジタルデータと同様に紙のデータにもセキュリティをかけるべきだと指摘。社員証などのICカードで触れることで開くキャビネットなどが書類データの保管に有効だとした。 関連情報 ■URL セキュリティ・ソリューションフォーラム in Security Solution 2005 http://ac.nikkeibp.co.jp/nc/sec10/ Security Solution 2005 http://expo.nikkeibp.co.jp/secu-ex/ 関連記事:“Yahoo! BB顧客情報漏洩事件”特集 http://internet.watch.impress.co.jp/static/index/2004/03/01/ybb.htm ■関連記事 ・ スパイウェアによる不正出金被害は合計379万円に~ジャパンネット銀行(2005/07/13) ・ 米国で4,000万件以上のカード情報流出の恐れ。日本国内にも影響(2005/06/20) ・ 情報漏洩対策に求められる体系的な防御とリスクマネジメント(2004/07/08)
( 鷹木 創 )
- ページの先頭へ-
|
