「知らない」がリスク招く、2010年度の「落とし穴」を振り返る

　今年最初の回は、昨年の「ネットの落とし穴」を振り返ることから始めたいと思います。

　まずは1月1日、いわゆる「ダウンロード違法化」を盛り込んだ改正著作権法が施行されました。これは、権利者に無断でアップロードされている音楽と映像を、違法ファイルと知りながらダウンロードする行為を違法とするものです。

　以前は、著作物を著作権者に無断で私的使用目的でダウンロードする行為は、著作権法第30条が認める「私的使用のための複製」の範囲内とされていました。しかし、法改正後は「違法にアップロードされた音楽と映像」について「その事実を知りながら」ダウンロードする行為は違法行為となりました。

　この法改正によってたとえば、着うたや着メロの違法公開サイトを運営する側だけでなく、これらのファイルを利用（ダウンロード）する側も違法となりました。着うたや着メロの違法公開サイトは若者を中心に利用者が多いと言われており、影響範囲は非常に広かったと思います。

　また、いわゆる「Gumblar」（8080系マルウェアとかGENOウイルスとか、時期やタイプなどの違いによって別の呼ばれ方もしていました）と呼ばれる攻撃手法が世間を騒がせました。

　Gumblarはウェブサイトを改ざんし、その改ざんされたサイトを見に来た相手（パソコン）にマルウェアを感染させようとする攻撃手法です。この攻撃手法には複数の種類があり、最終的にダウンロードされるマルウェアもさまざまです。

　パソコンに保存されているウェブサイトのFTPアカウント情報（アップロード権限のあるアカウントの情報）を盗んでそのウェブサイトを新たに改ざんする、偽セキュリティソフトをインストールさせて氏名やクレジットカード番号などの個人情報を盗むなど、そのリスクには多様性が見られました。

　ダウンロード違法化やGumblarなどの問題は、違法性や危険性を「知らない」という状況が思わぬリスクを招くことになりかねないという面では共通しています。今後も次から次へと新しいリスクが発生することが想定されるので、皆さんもリスクをできるだけ早く把握できるように情報を集める習慣をつけることが大事だと思います。

●意図的に大きな話題を巻き起こしたような事例

　皆さんの記憶に新しいところでは、公安の警備に関する機密文書の流出や、「尖閣ビデオ」の問題が挙げられるでしょう。

　前者は、公安が作成した機密文書がP2Pネットワークを通じて誰でも閲覧可能な状態になったという事件です。この情報流出は、以前にも多くあった「うっかり」とか「不注意」を原因とする“事故”のように聞こえるかもしれませんが、実際には何者かが意図的に「実行した」という点に特徴があります。
　
　また、後者はYouTubeなどの動画共有サイトにアップロードされているという、明らかに意図的に情報を公開している、恐らくは大きな話題になることを予測して（望んで）起こしている、という点が特徴的な事件でした。

　このように、故意に情報が漏えいされるようなリスクの場合は、その情報が自分に関係するものであれば直接的な被害を受けますが、単純に「自分が気を付けていれば防げる」という類の問題ではありません。自分の知らないところで発生するケースが多いこうした事件は、情報そのものがどうこうというよりも、どちらかというと組織内だったり既に別のトラブルやストレスなどがあって、その延長線上で発生するリスクと言えます。

　組織に対して不満を持っていたり、場合によっては正義感からであったり、その行為の理由は色々あるでしょうが、こうしたリスクを防ぐには、機密情報の管理を徹底するだけでなく、職場環境の向上やメンタルケアなど別の視点からも対策を講じる必要があるでしょう。

●注目が集まれば攻撃者も増える

　さて、IT全般で話題になった単語と言えば「クラウド」や「スマートフォン」がありますね。しかし、これらがセキュリティのトレンドなのかと言われると、私は個人的にはある意味において「違う」と考えています。

　スマートフォンは、読んで字のごとく「頭のいい電話機」です。常に電源が入っていて無線通信状態にあるパソコンが移動している、と考えると分かりやすいかもしれません。

　スマートフォンには確かに、小型軽量で他人の手に渡りやすかったり、無線通信を常時行っていたりと、既存のパソコンよりもリスクが大きい部分が少なからず存在しています。また、SIMカードやメモリカードのように、携帯性に富んだ記憶媒体が利用されているということもあります。そして「新しいスマートフォン専用のOS」にはセキュリティホールがないとは言い切れません。

　しかし、これら1つ1つを取ってみれば他にも使われている技術であって、いずれも「スマートフォン固有のリスク（スマートフォンだから危ない）」というわけではありません。スマートフォンに起こり得る個々のリスクのほとんどは、既存の、もしくはその延長線上で想定し注意することが可能なリスクだと私は考えています。

　さらにいえば、クラウドコンピューティングというのは仕組みであって、利用するサービスそのものではありません。確かにクラウドを利用したサービスは続々と増え、たとえばEvernoteのようにとても便利な新サービスもどんどん誕生し、普及していくでしょう。こうしたサービスを利用する場合に私たち利用者が注意すべき点は、やはり従来のオンラインサービスと同様に、もしくはその延長線上で想定し注意することが可能なリスクがほとんどだと私は考えています。

　こうしたものはあくまでツールであって、誰がいつどのように使うのかによって危険性などは大きく変わってきますし、その場面によってそれぞれ異なったリスクは発生します。何が言いたいかというと、要するに「だからスマートフォンって危ないよね」とか「クラウドって危険じゃん」とか、それそのものが固有のリスクを持っている危ないモノみたいには考えて欲しくないのです。

　こうした発想では、たとえばワイヤレスモバイルは危険だ、じゃあ無線は使わない、じゃあメモリーカード類は使わない、ならケータイは使えない、デジカメも使えない、パソコン自体危ない、ITって危ないからアナログで、でも宅配便とかも経路で個人情報がいろんな人に見られるから信用できない、そもそも他人は信用できない……と、どこまでも否定することが可能で、キリがなくなってしまいます。

　ただし、旬なキーワードには注目が集まり、利用者が増大し、そこにはカネになる情報も集まり、結果としてそこを狙う攻撃者も増える、というロジックは確実に存在します。ですから、個々のスマートフォン（iPhoneやAndroidなど）に発生する個々のリスク、個々のクラウドを利用したサービス上に発生する個々のリスクは、他の環境下のリスクと同様に、可能な限り早い段階で把握できるように情報を集める習慣をつけておくことが大事だと思います。私もできるだけこの場を含め、いち早く正確な情報を皆さんにお知らせすべく努力していきます。

●これからのITとセキュリティ

　ちなみに私が個人的に興味を持っているのは「統合セキュリティマネジメント」というキーワードです。物理セキュリティと情報セキュリティの統合、などと言われることも多いですね。

　グリッドコンピューティングという言葉を聞いたことがあるかもしれませんが、たとえば家庭にあるガスや電気の利用メーター、そして家電や、公共機関、たとえば信号機や踏切、電光掲示板や監視カメラなど、今や様々なものがネットワークに繋がっています。

　これまでIT技術は、個々の「できたらいいな」を実現する技術、機器やソフトウェアを、様々な企業や団体、個人の方などが開発し提供してきました。その結果、様々な「便利グッズ」が身の回りに普及しています。

　ところで、他社製品を組み合わせたシステムというのは、それぞれを管理し1つのシステムとして運用するのがけっこう面倒だったりすることがあります。もちろんそれぞれの機器にある程度の互換性は考慮されていますが、完璧とは言えない場合もあります。このあたりはたとえばテレビとレコーダーなどでイメージするとわかりやすいかもしれません。

　複数の情報通信機器をまとめて一元管理しようとするシステムも、以前から開発が進められています。これにいわゆる「物理的な機器」の分野も巻き込んで全部まとめて統合管理しよう、というのが統合マネジメントです。

　会社でいえば、入退室の際のICカード、タイムカード、パソコン、複合機などの使用、監視カメラ、エアコンなどの空調、サーバールームの温度計、果てはコーヒーサーバーの利用なんかも情報通信機器類とひっくるめて一元管理するイメージです。ちょっと極端かもしれませんが、大きな公共組織などでは信号機や電光掲示板、標識、踏切などの交通統制、電力などライフラインの供給、町中や道路などに設置したカメラ、住民の登録情報、果ては衛星や軍事指揮系統なども含めた一元管理というイメージでしょうか。

　それぞれの分野の専門家がこれまでお互いに触ったことのない機器やサービスを、まとめて統合管理しようとする場合、そこには未知の世界が多く存在すると思います。もちろん映画やSFなど空想の世界ではよく見る世界観ですが、やはり現実とは違いますので新たに考えなくてはならない部分が少なからずあるでしょう。もしこうした統合管理ネットワークが悪意ある第三者に支配されたら……まさに映画の世界です。

●セキュリティと利便性はトレードオフの関係

　一般的に、セキュリティと利便性はトレードオフと言われています。利便性を60取ってセキュリティを40とするのか、利便性を90にしてセキュリティは10しか取らないのか、ケースバイケースで判断はそれぞれあると思います。

　統合セキュリティマネジメントでもそこは同じでしょう。どこまで一元管理に含めた方がいいか、モノによっては別々に管理すべき部分や、現実的にはそもそも外部ネットワークから意図的に隔離しておくべき部分だって少なくないと思いますが、これまでも空想の世界でたくさん使われているように、ある意味では夢あふれる世界観、キーワードではあります。そして現実でも既に多くの企業や団体がこの分野で開発を進めています。そこには未知のリスクも間違いなく数多く眠っていることでしょう。色々と慎重な判断が必要なことは間違いありませんね。

　これまでにも何度か申し上げたかもしれませんが、私たちの生活にとって「テクノロジー」は単なるツールであってそれ以上でもそれ以下でもありません。あくまで主役、使い手は「人」であるはずです。そしてITは人の生活をより便利にするための技術なのですから、それを導入したことで人の生活が不自由になったりしては本末転倒です。その利用価値とリスクをよく考え、上手に活用することが大切だと思います。