■FIRSTが異例の一般向け注意喚起、実は……

　CSIRT（Computer Security Incident Response Team）の国際フォーラムであるFIRST（Forum of Incident Response and Security Teams）は、CSIRT間の情報交換を目的とした「場」を提供するコミュニティであることから、CSIRT以外の一般の方にはあまりなじみのない団体だと思われます。また、FIRSTがセキュリティに関連した一般向けの情報発信を積極的に行なっていないことも、特になじみを薄くさせている原因かもしれません。

　そのような中、FIRSTが5月21日、異例の注意喚起を出しました。

　表向きの主たる内容は、世界的な不況下にある現在、リストラの対象となった、もしくはなるかもしれない社員による内部からの攻撃に対する脅威を訴えるというもの。しかし、内容自体に特にこれといった目新しいものはない「当たり前」の注意喚起に過ぎず、これだけであれば、なぜこのタイミングでこのような発表がなされたのか「意味不明」としか言いようがありません。

　実はこの発表のキモは注意喚起ではなかったのです。

　FIRSTは年に1回、6月末に年次会合を開いていますが、今年はFIRSTの歴史上、初めて日本で開催されます。場所は京都です。

　今回の発表は、この年次会合開催の宣伝を兼ねているようですが、それ以上に注目すべき点があります。それは、国際刑事警察機構 (インターポール) が今回の年次会合のスポンサーに名を連ねており、CSIRTと司法機関の間の連携を明記している点です。

　もちろん、これまでもFIRSTには司法機関のCSIRTが加盟していますし、CSIRTと司法機関の間が無関係だったわけではありません。しかし、セキュリティインシデントに対するアプローチがCSIRTと司法機関では大きく異なることもあり、これまでは表立った連携があまり外からは見えていませんでした。

　ご存知の通り、発生したインシデントに対しては、CSIRTが「復旧」を目的として活動しているのに対して、司法機関の目的は「犯罪者の逮捕」です。これは真逆のアプローチと言えるでしょう。また、強制力を伴う司法機関との連携は、CSIRTにとって有利に働く場合もありますが、本来のCSIRTの活動目的からすると、むしろ障害になる場合が多く、そのため、これまでCSIRTと司法機関とはつかず離れずの「微妙な距離」を保って来たのです。

　一般の方々にとっては、特筆すべきポイントではないのかもしれませんが、CSIRTとその周辺で生きて来た者としては、司法機関との連携をこのように明記することに、そうせざるを得ない現在の状況の深刻さを感じるのです。

　今回のFIRSTの年次会合では、インターポールの方もスピーチをされるようです。FIRST加盟CSIRT以外の一般の方も年次会合には参加できますので、興味のある方は奮ってご参加ください。

■台湾でも3ストライク法制定

　フランスで、著作権侵害に関するいわゆる「3ストライク法案」がいったん否決されたにもかかわらず、その後すぐに修正され可決されたとの報道がありました。一方、それと呼応するかのように、台湾でも同様の法律が施行されることになりました。

　この法律で注目すべきは、著作権を侵害している（とされる違法）コンテンツの取り扱いです。

　ISPは、著作権保有者からの申告に基づいて違法コンテンツの取り下げを行わなければほう助と見なされるとあります。その一方で、著作権を侵害したと見なされたユーザーが文書で反論を示した場合、著作権保有者が10日以内に著作権侵害を証明できなければ、ISPは14日以内に対象コンテンツを元に戻さなければなりません。

　ユーザーが自分のWebページなどに違法コンテンツを掲載しているというケースであれば、この法律がISPに義務付けている内容は理解できます。しかしP2Pネットワークに流されてしまったコンテンツをISPが取り下げたり、削除したりすることは非常に難しい、というよりも事実上不可能です。

　つまり、少なくともP2Pによる違法コンテンツの流出については対象外のように見えるのです。果たして、この法律がどの程度の「効果」を示すのか、興味のあるところです。

■米GAO、主要連邦政府関係機関におけるセキュリティ実態調査

　日本で言うところの会計検査院に相当するGAO（Government Accountability Office：米国政府説明責任局）による主要政府関係機関の情報セキュリティ実態調査の結果が公開されました。

　報告書によると、24の調査対象のうち20の機関で経理などを管理している情報システムに重大な欠陥または物理的な弱点が存在したそうです。また、過去数年に渡り、ほとんどの組織が、組織内のネットワークやコンピュータシステムおよび情報に対するアクセス制御やアクセス検知といった機能を充分に実装していなかったのです。

　これは2002年に制定された FISMA（Federal Information Security Management Act of 2002：連邦情報セキュリティマネジメント法）で義務付けられた要件を十分に満たしていないことを意味しています。

　調査によれば、教育を受けた職員などの数と割合、また、演習済みの危機管理計画に即したシステムや保証認定されたシステムの数と割合は増えています。しかしその一方で、セキュリティに関して責任を有し、そのための特別なトレーニングを受けた職員の数と割合は大幅に減少しているそうです。さらに、1年に1回以上の監査を受けているシステムの数と割合は若干減っています。

　結局、一般職員向けの教育など手を付けやすいものは実施されているが、専門的または「面倒な」ものは実施されていないという、どこの国でもありがちな問題点が指摘されていると言えるかもしれません。

■ペンタゴンが高校生ハッカーを募集

　米国国防総省が「Cyber Challenge」と題した3つのコンテストを新しく開催し、それを通じて、高校生や大学生といった若い世代のサイバーセキュリティ研究者を育成することになったとの報道がありました。

　「IT先進国」を自称する韓国も国を挙げての若手人材育成に力を入れていますが、「米国も」というところなのでしょう。

　内容自体に特に新鮮味はないですし、むしろ「まだやってなかったの？」という印象を受けます。

■ポーランドでスパム配信に罰金

　ここ数年スパム配信国として上位にランキングされているポーランドですが、スパム配信に対して2万3000ユーロ（約300万円）の罰金を科すことになったとの報道がありました。この金額はポーランドにおける平均年収の3倍近くに及びます。

　最近のトレンドマイクロの情報によれば、2009年4月のスパム配信国ランキングでポーランドが5位に位置しています。また、スパムを配信をしているISPのランキングでも同じく5位にポーランドのISP「TPNET Polish Telecom's commercial IP network」が位置しています。

　ポーランドは10年以上前からITに力を入れており、東欧では比較的ITに先進的な国なのですが、その割にはこれまでスパム配信に対するアクションが目に見える形で実施されていなかったように思えます。ようやく対策に乗り出したのかというのが正直な感想です。

(2009/06/04)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2009 Impress Watch Corporation, an Impress Group company. All rights reserved.