早いもので今年も残り1カ月となりました。2006年の総括は次回に改めて書く予定ですが、私にとって2006年という年は“セキュリティの難しさ”を改めて痛感させられた年でした。

　かつてのウイルスやワームのような世界的に広範囲に被害を及ぼすような“大規模インシデント”はここ数年鳴りを潜め、特に2006年は報道を見る限りでは一見“平和”そうに見えたのではないかと思います。

　しかし実際には、特定のサイトを狙ったインシデント（ゼロデイ攻撃を含む）は多発しています。また、個々のインシデントがそれぞれ異なるために関連する情報が得られずに対応や対策が遅れてしまい、結果的に個々のインシデントを個別に見た場合には、かつての“大規模インシデント”よりも深刻な事態に陥っているケースが増えているのです。ところがこのような事実に対して注意を世の中に促そうにも、個々のインシデントがそれぞれ異なるために結局は無難な“定番の”注意喚起しかできない、その歯がゆさを強く感じた1年だったのです。

　さて、今年最後となる今回は、米国CERT/CCのPodcastingサービスと、韓国の個人情報保護関連の話題を紹介します。

■米国CERT/CCがPodcastingでセキュリティ講座

　CERT/CCでは、去る10月17日から企業経営者向けのセキュリティ講座として、CERT/CCスタッフやセキュリティ関連の著名人らに対するインタビュー形式の音声データ（MP3）を提供するサービスを提供しています。このサービスが充実しているのは、単に音声データを提供するだけでなく、その音声を文字データに起こしたもの（Transcript、PDF）や概要（Show Notes）も併せて提供している点です。ちょっとした英語のヒアリングの勉強にも使えるかも知れません（笑）。

　更新頻度は不定期のようですが、11月末現在公開済みのデータは以下の6つです。

1）Compliance vs. Buy-in（10月17日公開）
2）Proactive Remedies for Rising Threats（10月17日公開）
3）The ROI of Security（10月17日公開）
4）Why Leaders Should Care About Security（10月17日公開）
5）CERT Lessons Learned: A Conversation with Rich Pethia, Director of CERT （10月31日公開）
6）The Security 'X' Factor（11月14日公開）

　この中から今回は、11月14日に公開された「The Security 'X' Factor」を紹介します。

　これはTripwireのCTOであり、IT Process Institute（ITPI）の共同創設者であるGene Kim氏へのインタビューです。Kim氏の発言内容は基本的にはITPIの立場からのものです。

　ITPIの最近の調査によると、セキュリティ対策に対して「high performer」と評価される企業や組織と、「medium」または「low」と評価されるものとを明確に分ける「X」ファクターが存在するのだそうです。このインタビューはその「X」ファクターを紹介する内容となっています。

　そもそも「high」の組織とそれ以外の組織の間には、例えばセキュリティにかける予算の違いや人手の違いと言った、一見、差が出て当たり前の違いがあることがわかっています。しかしその違いからあらかじめ机上で予想された成果の差は2倍程度。ところが実際には成果に5倍から8倍もの差があったのだそうです。ITPIの調査では、この予想外の好成績がどこから生じるものなのかについて分析がなされています。

　まず注目すべきは、「high」と評価された組織は以下の2つの質問に対し、すべて「Yes」と回答している点です。

・システムが無許可で変更されていないか監視していますか？
・意図的に行なわれた無許可の変更に対する結果（罰則などの規定）を定めていますか？

　一方、「mediun」または「low」と評価された組織で「Yes」と回答した組織は全くなかったそうです。この点に鍵がありそうです。

　このインタビューでKim氏は、セキュリティに対して重要な点は「変更管理（Change Management）」であると強調しています。変更管理をしないならば何も管理していないのと同じだと。また、変更管理を実行することで「セキュリティ」が日々のオペレーションの助けになっていることを示せるのだとも述べています。

　しかし、ここで問題になってくるのは、「変更管理」というものに対して従業員の中に「官僚的である」だとか「ものごとの進め方が遅くなる」「やる気をそぐ」といったネガティブなイメージがあることです。まずこれを変えることが重要です。

　また最も重要なのは、無許可の変更を行ない続ける「不適合」従業員をどうするかということです。決してクビにしてはいけません。そういう従業員は変更ができないような役目に置くなど、その気質により適した役目を与えればよいのです。

　さて、では変更管理がなかなか上手く進まない場合は何が悪いのでしょうか？　チェックポイントは以下の4点。

・システムが無許可で変更されていないか監視していますか？
・意図的に行なわれた無許可の変更に対する結果（罰則などの規定）を定めていますか？
・組織のトップが士気を高めていますか？
・変更管理を強く押し進めていますか？　または「絵に描いた餅」になっていませんか？

　最後に、変更管理が上手くいっているかどうかを確認するポイントは以下の3点。

・計画外のサービス停止が減ったか？
・平均修復時間が短くなったか？
・変更が時間通りに、かつ1回でうまくいった割合が増えたか？

　ちなみに「high performer」の変更成功率は90％以上。一方「low performer」は 50％から60％程度だそうです。

　よく考えてみれば「当たり前」とも言える内容ですが、改めて指摘されると自組織に足りない点に何か思い当たるものがあるのではありませんか？　このインタビューの中でいくつか印象的なフレーズが出てきますが、その中で私が最も耳に残ったのはこのフレーズ。

「Trust is not a control. Hope is not a strategy.」
（信頼は管理ではない。期待は方策ではない。）

　さて皆さんはこのインタビューで、どのフレーズが印象に残るでしょうか？

■韓国の個人情報保護事情

　今年最後のネタはちょっと軽めに世間話を。

　前回も紹介しましたが、韓国ではありとあらゆる場面で住民登録番号が使われています。これによって行政や公共サービスだけでなく、さまざまな場面で処理がスムースに進むことが知られています。一見、便利そうなこの住民登録番号。実際には番号そのものが個人情報なんですね。ご存知の方も多いと思いますが、韓国の住民登録番号（の数字）だけで生年月日、性別、出身地などが特定できてしまうのです。そんな番号をネットワーク上のさまざまなサービスで平気で使ってしまうということに強い違和感を感じつつも、この番号制度を長い間使っている韓国の人たちにはさほど抵抗感がないのかと思っていました。

　ところが11月20日に興味深い報道がありました。

「健康－個人情報保護法衝突？　DB管理詳細規定なくて役目模倣～医療団体反対」
（「韓国デジタルタイムス」11月20日付記事）

　報道の内容自体は、韓国の保健福祉部（日本の厚生労働省に相当）が提案した「健康情報保護及び運営管理に関する法律（案）」が現在国会で審議中の「個人情報保護基本法」と重複する部分や相互に矛盾する点があること、また法案の趣旨が個人情報保護よりは医療情報化とその産業化促進に重きが置かれていることに対して市民団体や保健医療団体が反対の意思表明をしているというものです。

　この中で私が興味を持ったのは2点。まず1つ目は「個人情報保護基本法」の審議が既に2年目に入っていながら、まだ制定されていないこと（当初は2005年中に成立の予定だったらしい）。自らの国を「IT先進国」と吹聴していながら、これはかなりお粗末。

　2点目は、すでに「個人情報保護基本法」について審議が2年目に入っていながら、それと矛盾する内容の法案を提出してしまう保健福祉部の能力の低さ。記事によると、今回提案された法案は収集する情報の範囲があいまいでしかも破棄の規定がないなどという個人情報保護の基本からなっていない「ぬけぬけ」の法案。市民団体などが反対して当然ですね。

　今回の報道を見る限りではありますが、韓国国民側の個人情報保護に関する意識は高まって来ているのかもしれませんが、政府側の意識が驚くほど低いということだけは確かのようです。韓国における個人情報保護への道はまだまだ遠いようです……。

(2006/12/07)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2006 Impress Watch Corporation, an Impress Group company. All rights reserved.