|
■URL
http://www.jnsa.org/nsf2002/
http://www.jnsa.org/
特定非営利活動法人日本ネットワークセキュリティ協会(以下、JNSA)は12日、セキュリティー専門イベント「Network Security Forum 2002」を東京都・工学院大学新宿校舎にて開催した。同イベントは、セキュリティー分野に関して全6トラック、24のセッションが行なわれる。会期は、12日と13日の2日間で、参加料金はJNSA会員が1万8,000円、非会員が2万4,000円となっている。ここでは、初日のセッションから注目の講演を紹介したい。
●「日本には、セキュリティーの専門家が不足している」~経済産業省大野 秀敏氏
 |
|
経済産業省商務情報政策局情報セキュリティ政策室 |
12日にまず最初に行なわれた講演では、経済産業省商務情報政策局情報セキュリティ政策室の大野 秀敏氏が「情報セキュリティ政策~現状と今後の展開」と題して、e-Japan重点計画や経済産業省のセキュリティー政策に関する講演を行なった。まず大野氏は、電子商取引市場の予測を例示し、「2001年のBtoB市場は34.03兆円で、2006年は125.43兆円と5年間で約4倍の成長が予測されている。この成長に対してセキュリティーがボトルネックにならないことが重要だ」と電子商取引におけるセキュリティーの重要性を指摘した。それを踏まえて、JPCERT/CCやIPAに寄せられる、不正アクセスやウィルスに対する届け出数を挙げ、「不正アクセスに関しては、平成12年と13年において2,000件を超えており、ウィルスは平成12年度が1万1,109件、13年度が2万4,261件と急増している。しかも、この数字はあくまで届け出があった数なので、実際にはこの数倍は被害があるはずだ」とブロードバンドなどの普及により、電子商取引以外にもセキュリティーの重要性が増していることを示唆した。
次に、日本の情報セキュリティー政策に関して、「現在、日本では明らかにセキュリティーに関する専門家が不足している。このような人材は、あらゆる政策等の実施においても必要なだけに、育成することは急務と言えるだろう」と語った。また経済産業省では、米国同時多発テロの影響もあり、「緊急対応支援チーム(NIRT)」を設置したという。大野氏は「NIRTはサイバー攻撃に対応するために設立された組織だ。しかし、今後はサイバー攻撃だけでなく、重大なウィルスやセキュリティーホールが発見された場合にも活動を行なうか検討している」と語っており、ウィルスやセキュリティーホールも重大な場合は国家単位で緊急対応が必要との見解を示している。
また、経済産業省の情報セキュリティー政策に関しては、e-Japanにおいて必須である電子署名・認証制度(PKI)について触れている。まず、電子署名法省令・指針の制定・改正については、ポイントとして「認定認証業務の国際相互承認に必要な手続きの制定」を挙げており、「今後海外で認定されたものは、日本では書類審査のみで済むようにする」とのこと。また、「電子署名・認証利用パートナーシップ」(仮称)の設立に関して「2006年度の電子認証ビジネス市場規模は、電子政府の実現効果によって2.5倍の効果がでると予測されている。しかし、現状はまだまだのレベルだ。従って、『電子署名・認証利用パートナーシップ』を設立して、大いに議論しなければならないと考えている」と語っており、最後には「電子政府に最も求められているのは、『とにかくセキュアなものにしてくれ』というものだ。そのためにも、PKIの導入や普及は重要だ。現状では、PKIシステムの導入コストが高いことがネックとなってしまっている。これを解決しなければならない」と、述べた。
●被害企業の「証拠隠滅」を嘆く~警察庁高橋 守氏
 |
|
警察庁情報通信局技術対策課技術指導官の高橋 守氏 |
続いての講演では、警察庁情報通信局技術対策課技術指導官の高橋 守氏が「サイバー犯罪とサイバーテロ対策」について語った。まず、「ハイテク犯罪の検挙状況」について、「平成13年度の検挙数は810件となっているが、実際に起こっている事件は恐らく二桁は多いだろう。我々が知り得たものだけでも、一桁多い」と、インターネット犯罪に関しては、まだまだ検挙率や把握率が低いという状況を説明した。このインターネット犯罪の傾向については、「今、一番警察として懸念しているのは、『インターネットオークション詐欺』に関するものだ。検挙数も警察に寄せられる相談も、年々増加しており、今後も増加することが予測される。実際に、大手オークションサイトには、警察から犯罪数を減らすためにも個人を特定できるようなシステムの導入を強く要請しており、昨年から実現し始めてるようだ」と、オークション詐欺に対する警察の関心の高さを語った。また、不正アクセスに関しては「企業のサーバー管理においてセキュリティーに対する認識が低く、半年間踏み台にされていた例や、改ざんなどを行なわれた例は多い。しかし、セキュリティー担当者などは、発覚を恐れてHDを初期化してしまうケースが多々ある。警察がIPアドレスを元に、サーバー管理者を訪れた時には、既に初期化されてしまっていて証拠となるログの調査などが行なえないケースが多い」と語った。この点に関して高橋氏は「これは、間違っていて踏み台や改ざんされた企業は、被害者なので自分の被害を実証するためにもログ等は残しておいて欲しい。ログが解析できれば、加害者を検挙するための証拠がでてくるかもしれない」と、被害者が自ら自分が不利になるような「証拠隠滅」を行なっているケースが多いことを嘆いていた。
また、重要インフラに関してのセキュリティーについて、「例を挙げると、航空会社が自社のインフラで最も重要である管制塔のセキュリティーを高めていた。しかし、チケット販売システムにエラーが発生したために、大幅にサービスが停止したことがあった。これは、警察にとっても予想外のできごとで、今までテロなどは、最も重要度の高いシステムを狙うものだと考えていたが、ある意味もっとも重要度が低いともいえるチケットシステムがダウンするだけでも、大幅にシステムに影響がでてしまうことが分かった。これは、もちろん電車や金融などにおいても同様だ」と、重要度に比例してセキュリティーを高めるのではなく、重要度が低いと認識されているものでも一定レベル以上のセキュリティーが必要であると語った。
また、日本でのサイバーテロ類似事案について、歴史教科書問題で韓国等の賛同者が文部科学省など6個所のサイトを攻撃した例を挙げた。「このサイバーデモでは、極一部のスキルの高い人間が、この攻撃のためだけに製作したソフトを配布し、賛同者はそのソフトを立ち上げてネットワークに繋ぐだけで、この事件を起こすことができた。この件から分かることは、インターネットを利用すれば、このように極一部のスキルの高い人間がいるだけで、多大な被害を与えるだけの人数を組織化することが可能であり、またその際の労力も『ソフトを立ち上げるだけ』ということだ。この件はサイバーテロとは言えないかもしれないが、使い方次第ではもっと被害が甚大な事件を起こすことも可能だということを我々に知らしめた事例だ」(高橋氏)。そして、今後の課題として「先ほどの事例のように、サイバーテロには国境の壁がない。従って、国際連携が必須となる。このため、各国で共通の規約が必要だ。また、e-Japanやブロードバンドの普及により、今後は高齢者などへのセキュリティーの必要性の啓蒙活動なども必要となってくるだろう」と語った。
(2002/6/13)
[Reported by otsu-j@impress.co.jp]