情報セキュリティをテーマとしたカンファレンス「RSA Conference 2005 Japan」が12~13日の2日間、東京都港区の東京プリンスホテルで開催されている。初日の基調講演には、ホワイトハウスで11年間にわたり安全保障担当特別補佐官として、特にサイバースペースセキュリティの確保を担当したリチャード・クラーク氏(現Good Harbor Consulting会長)、米RSA SecurityのCEOを務めるアート・コビエロ氏の2人が登場し、現代のネットワークセキュリティの概況と今後の対策について語った。
● とにかくIDを守るための「2要素認証」の導入が不可欠
|
リチャード・クラーク氏
|
最初に登場したクラーク氏は、まず冒頭で「あなたは誰かと言えば、普通は名前や職業、会社名、家族内での続柄といったことを最初に思い浮かべるだろうが、サイバースペースにおいては、あなたは『数字の羅列』であり『ユーザーID』である」「そしてあなたが最も守るべき大事なものも、サイバースペースにおいてはまさにその数字の羅列である『アイデンティティ』である」と述べ、いかにそのIDを守るかが重要であると強調した。
続けてクラーク氏は、サイバースペースが絶えず変化している様子についてひとしきり語った上で、「戦いはまだ始まったばかりであり、サイバー戦争はいつか間違いなくやってくる」「以前中国の将軍と会談したときも『戦争になったらまずサイバースペース経由で、敵の市民のインフラを攻撃する』と言っていたが、果たしてそのような攻撃を受けたときに日米のインフラが大丈夫かと言えば、私は生き残れないと思う」と述べ、サイバースペースの危機的な状況が増しているとの見解を示した。
クラーク氏はサイバースペース上での攻撃手法について、ウイルスやワームによる単純攻撃が主体の第1世代、ワームを利用したDDoS攻撃がメインの第2世代に続き、近年ではスパムやフィッシング、スパイウェアなどを介した“ファーミング(Pharming)”と呼ばれる手法などを用いた第3世代に移ってきていると指摘。特に第3世代では「いかにIDを効率よく盗むかに主眼が置かれるようになっている」と述べ、全米で2004年の1年間に約900万人がID盗難の被害に遭い、1人あたりの被害額も平均1万ドルに上っていると語った。
では、このような状況に対しどんな対策を取る必要があるのか? クラーク氏は政府、企業、個人の3類型に分けてそれぞれ取るべき対策を語った。その中で特にユーザー認証について、パスワードによる認証ではセキュリティの確保に限界があるとして、パスワードの別の認証方法を組み合わせたいわゆる「2要素認証」による認証を政府、企業、個人の別を問わずできるだけ早期に導入すべきであると主張した。また、政府に対しては政府主導で企業が取るべきセキュリティ対策の標準を定めること、企業に対してはアクセス制御によりユーザーに対するアクセス権限を可能な限り最小範囲に止めることなどを求めた。
● デジタル時代の「DNA鑑定」構築を目指す
|
アート・コビエロ氏
|
続いて登場したコビエロ氏は、まず「我々は真のインターネットのポテンシャルを活かしきれていない」と述べた上で、その原因をいくつか挙げ、特にネットワークがセキュリティ的に信頼に欠ける状況にあることが大きな原因だと指摘。「我々はこの1年で残念ながら後退してしまっている」と述べ、近年さらに高度化している攻撃手法の数々に対しどのように対応するかについて「将来のIDに関するビジョンを考えるには、過去の歴史に学ぶべき」との考え方を示した。
コビエロ氏は、16世紀に起こったというMartin Guerreのエピソード(村から8年間離れていた男が戻ってきたところ、その男が果たしてMartin Guerre本人かどうかで村中が論争になったという話。映画「ジャック・サマースビー」やミュージカル等の題材ともなっている)を発端に、パスポートやDNA鑑定の発展など歴史を解説。それと比較して、ネットワークの世界を「パスワードでは十分な保護を得られないことをわかっていながらパスワードを使い続けざるを得ないという状況は、あたかも昔パスポートに写真が採用され始めたばかりの頃、問題があることを知りつつも写真に頼らざるを得なかった状況に似ている」と表現した。
この状況をどのようにすれば解決できるのかについて、コビエロ氏は「究極的にはすべての取引や通信において認証を確立することが重要」と述べつつ、まずは「強固な認証の“島”を作った上で、その島同士を結んだ網を構築することで、初めて企業はネットワークを開放することができるようになる」と語った。ただ、そこで使用すべき方法については「これを使えば大丈夫という万能な方法は存在しない」として、TCOやユーザーの利便性、企業のニーズという3つの要素を考慮し、ありとあらゆる技術を使い分けることが必要だと語るに止まった。
最後にコビエロ氏は最近のトレンドについて、いわゆる“Trusted Platform”に関する動きやナレッジベース認証(本人しか知らないはずの情報を認証に利用する方式)、携帯電話やRFIDを認証に利用する方式などについて言及した上で、「デジタル時代におけるDNA鑑定のような方式を発掘し、一般ユーザーの信用を取り戻すために協力して欲しい」と参加者に呼びかけて講演を締めくくった。
関連情報
■URL
RSA Conference 2005 Japan
http://www.medialive.jp/events/rsa2005/
■関連記事
・ 元ホワイトハウス特別補佐官Richard Clarke氏が講演(2003/11/11)
( 松林庵洋風 )
2005/05/12 15:54
- ページの先頭へ-
|