INTERNET Watch Title ClickClick Here

【調査結果】

日本地域プロバイダー協会が対策法案についてアンケート

不正アクセスは地域プロバイダーにとって死活問題

■URL
http://www.lap.or.jp/ (日本地域プロバイダー協会)

 日本地域プロバイダー協会は、不正アクセス防止法案について行なったアンケートの調査結果をまとめた。警察庁と郵政省が示した素案に対し、いずれもログ保存にともなう負担を懸念する声はあるものの、不正アクセスを取り締まる法律が制定されることについては概ね賛成の意を示すものとなっている。同協会の代表理事を務める群馬インターネットの福田晃取締役は「地域プロバイダーは、現実問題として不正アクセスによる多大な被害を受けており、警察が取り締まってくれるなら協力したい気持ちがある」と述べている。

 アンケートは、同協会の会員である地域プロバイダーを対象に、昨年暮れから1月8日まで実施。43社からの回答を得た。法案に対する意見のほか、ログ保存の現状や不正アクセスによる被害なども明らかにされており、不正アクセスに対する現場の実態を知る上でも貴重な調査結果となっている。

 昨年発表された法案についての意見をたずねる設問では、警察庁案に対して「賛成」6社(14%)、「一部賛成だが一部反対」16社(37%)、「反対」2社(5%)、「わからない」15社(35%)、無回答4社(9%)。郵政省案に対しては「賛成」8社(19%)、「一部賛成だが一部反対」18社(41%)、「反対」1社(2%)、「わからない」11社(26%)、無回答5社(12%)という結果になっている。  この数字を見る限り賛成多数とは言えないが、「具体的な部分がまだ定まっていないので『わからない』というのは率直なところ。いずれの案も『反対』はほとんどなく、『一部賛成だが一部反対』が多い。ログ保存の義務化については反対だが、(法律で取り締まること自体について)大多数の意見は賛成だと思う」(福田氏)。
 ただし、反対要因となっているログの保存についても、通信の秘密や個人情報の保護の立場から反対する意見は少なく、「管理工数が増えるのが問題」「ログの取得・保存の範囲があまりにも広範囲にわたる可能性がある」といった、ログ保存にともなうプロバイダー側の負担を懸念するコメントが目立っている。こういった負担は地域プロバイダーにとってかなり深刻な問題らしく、「このような案を出すのであれば、まずは多くの中小プロバイダーの現場を調査した上で、運営(経営も含む)に無理がないかどうかの意見を聞くなどの配慮が欲しい」「日本には大手プロバイダーしかないと勘違いしている」などの厳しいコメントも寄せられている。

 次に「法案が可決された場合に、どうような負担が増えると思いますか」との設問では、「新規作業の発生」26社(43%)、「新規ハードウェアの購入」13社(22%)、「従来通り」8社(13%)、「新規人材の登用」7社(12%)、無回答6社(10%)と、何らかの負担増を強いられるとするプロバイダーが4分の3を占めた。ただし、福田氏によると「地域プロバイダーでは、(サーバーに)LinuxやFreeBSDを使っているところがほとんどなので、設備投資はそれほどかからない」ということで、ログを保存・管理する「手間」が大きな負担になるとしている。

 それでは懸念事項となっているログ保存について、各プロバイダーは現状でどの程度保存しているのだろうか。「Radiusなどダイヤルアップアクセスのログ」については、「1ヶ月以内」2社(5%)、「2ヶ月以内」5社(12%)、「3ヶ月以内」7社(16%)、「半年以内」4社(9%)、「半年以上」24社(56%)、「とっていない」1社(2%)となっており、通常業務の範囲でも65%以上のプロバイダーは、警察庁が保存期間として提示している3ヶ月以上保存していることになる。また「サーバーへのlogin(telnet、ftp、コンソールから等)結果などのアクセスログ」についても、「半年以上」と「半年以内」合わせると27社(63%)に上る。
 一方、「Webサーバーへのアクセスログ」になると、「1日以内」1社(2%)、「1週間以内」4社(9%)、「1ヶ月以内」8社(19%)、「3ヶ月以内」10社(23%)、「半年以内」8社(19%)、「半年以上」11社(26%)、「とっていない」1社(2%)となり、保存期間を3ヶ月以内とするプロバイダーが逆に過半数を超えた。これは、Webサーバーへのアクセスログが膨大な量になるためだが、法案ではこれらログの種類について分類・定義していないため、Webサーバーへのアクセスログも含めて保存を求められた場合、負担は大きい。協会としては、保存すべきログの範囲を明確にし、Webサーバーへのアクセスログを除外するよう求めたいとしている。

 実際に受けた不正アクセスによるトラブルをたずねる設問では、「ダイヤルアップパスワードなどの盗用」に1社(2%)が、「サーバーへのユーザーアカウントの盗用」に4社(9%)が、「過去に具体的な被害がありましたか」に12社(28%)が、それぞれ「YES」と回答している。具体的な被害については「DNSなどのサーバーの不正停止」といった重大な被害もいくつか挙げられているが、スパムメールの中継が4件でもっとも多い。この28%という数字について福田氏は、「スパムの踏み台にされた場合は、それに気が付かない場合もあり、実際はもっと多くのプロバイダーが被害を受けているはずだ」としている。
 また、ハッキングの手口を解説した書籍が多数出版されるようになったこともあり、「現在では、一部のプロだけでなく、素人でも面白がって不正アクセスしてくる」状況だという。しかし現在の法律では、このような行為が行なわれても、被害が出ない限りは捕まえられないということで、不正アクセスに気付いても「こっちで見ているしかできない」場合もあるという。

 不正アクセス対策法については、インターネットへの規制に反対する向きや、早期の法制化を懸念する声もある。福田氏は「どこまで規制するかについては、いろいろな意見がある」としながらも、「インターネットのビジネスが普及している時代に、家の中に侵入されても犯罪とならないようような現状」を早い時期に改善するためにも、何らかの形で法規制は必要だという。
 「ハッキングがひどくて営業をやめたプロバイダーも何社かある」としており、大手プロバイダーに比べて運営規模が小さく、セキュリティー対策にも十分なコストがかけられない地域プロバイダーにとって、不正アクセスは周囲が考えているよりも深刻な問題となっているようだ。

('99/1/28)

[Reported by nagasawa@impress.co.jp]


INTERNET Watchホームページ

ウォッチ編集部INTERNET Watch担当internet-watch-info@impress.co.jp