|
「みんなで『情報セキュリティ』強化宣言!2007」の公式ページ
|
ISPやセキュリティベンダー、各種企業・団体などからなる情報セキュリティ対策推進コミュニティが、企業や団体が共同で情報セキュリティの重要性についての啓発を行なう「みんなで『情報セキュリティ』強化宣言!2007」の活動を行なっている。
この活動は、参加する企業や団体などがそれぞれセキュリティに対する取り組みをWebなどで行なうとともに、活動の公式サイトへのバナーを掲示し、セキュリティに対する横断的な取り組みとして実施されている。従来ありがちだった「セキュリティに気をつけましょう」といったキャンペーンとは異なり、参加する企業や団体自身がセキュリティに対してどのようなことを取り組んでいるかを表明してく中で、社会全体にセキュリティの重要性を呼びかけていく点が特徴だという。
この活動の運営事務局として参加しているマイクロソフトのセキュリティ担当者である、チーフセキュリティアドバイダーの高橋正和氏とサーバープラットフォームビジネス本部セキュリティ戦略グループの瀬川正博氏に、今回の活動とマイクロソフトのセキュリティに対する取り組みについて話を聞いた。
● メッセージが「届かない」人に、各方面から呼びかける
|
マイクロソフトの瀬川正博氏(左)と高橋正和氏(右)
|
――今回、こうした取り組みを開始した狙いはどこにあるのでしょうか
高橋氏:セキュリティの関係者として従来から思っていたのが、ある種の「届かない感」と言いますか、こちらとしてはセキュリティの重要性を訴えているのですが、それに反応してくださるのは既にセキュリティに対する意識が高い人がほとんどという状況がありまして、さらにその外側の人たちにどうやったらリーチできるのかというのがテーマでした。その中で、もしかするとITベンダーやISPといった、そういう会社だけが訴えているのが届かない1つの原因なのではないかという思いから、いろんな業種の方たちと一緒に訴えかけてみてはどうだろうというのが今回の取り組みです。
――セキュリティの会社ではない、一般の会社からもメッセージを送ろうと
高橋氏:賛同していただいている所には、建設会社や保険会社であったり、あるいは自治体など、今までのセキュリティの取り組みには無かったメンバーと協力しています。ある意味、これだけでも1つの成果かと思っています。活動の中で感じたのは、こうした企業や団体の方にも「何かやらなくては」という意識があって、そこに形のあるものが1つできたのではないかと思っています。2月末で一旦活動を統括しますが、その段階で何ができたのか、何ができかったのかということを整理して、来年以降につなげていきたいと考えています。
――各社は具体的にどのようにセキュリティを訴えていくのでしょうか
高橋氏:基本的には「自分たちはこういうことに取り組んでいます」ということを表明してくださいとお願いしています。これまでセキュリティというとどうしても「危ない危ない」という脅かしであったり、「この製品を導入してください」という話であったりして、これも届かない原因の1つではないかと考えました。そうではなく、自分達は今こういうことをやっていますとみんなが表明することで、誰もがセキュリティの当事者であるということを訴えていこうという狙いです。
瀬川氏:例えば、これはある事務局企業の例ですが、9月の防災の日に合わせて、避難訓練のように社内で情報セキュリティに対する訓練を実施しているそうなんです。ただ、社内からはやはり「それはやりすぎなのでは」「本当に必要なのか」という声もあるそうです。こういう取り組みを表明していくことで、他の企業もやっているんだ、世の中的にはこういうことをするのが当たり前なんだと、そういう形で広まっていけばいいなと思っています。
――今回は、2月2日の「情報セキュリティの日」に合わせた活動という形ですが
高橋氏:2月2日が情報セキュリティの日と制定されたことを受けて、今年はまずやってみようという段階です。これまで届いていなかった所にメッセージを届けようという取り組みなので、どのぐらいうまくいくかはわかりませんが、まずは今までより少しでもいいから多くの人に届けばと考えています。セキュリティ対策やその訴えかけには、それこそ特効薬のようなものは無いので、いろいろ試しながら訴えていく範囲を広げていくしかないのかなとは思っています。
● 「痛い目にあってきた」マイクロソフトの経験をフィードバック
――マイクロソフトでは今回の活動でどのような取り組みを
瀬川氏:マイクロソフトでは、まず個人ユーザー向けの活動として「絵で見て分かる」セキュリティの解説があります。これは今までもあったのですが、コンテンツがいろいろな所に分散していましたので、あくまでも初心者を対象にした入り口を作って内容を整理しました。今回の活動を通じてバナーなどから訪問される方に、ネットワークにつなぐには最低限何をするべきかといったことを紹介しています。もう1つはITエンジニア向けで、例えばセキュアなプログラムを作るにはどうすればいいのかといった、技術情報やガイドラインであったり、マイクロソフトが提供するトレーニングなどを紹介しています。3つめはマイクロソフトのイノベーションセンターで、自治体や企業、セキュリティに特化した活動の支援センターです。いずれも従来からあったものですが、今回はそれらの情報をセキュリティという切り口で整理しなおしています。
――たしかに、個人向けのサイトの絵は月例パッチの解説でも見る絵ですね
高橋氏:そうなんです。でも、普段それを見ていただいているのは、やはりほとんどは最初から興味のある人なんですね。初心者というか、こういうイラストでお伝えしたい人にはなかなか届かない。それが今回の取り組みで、参加されている企業などを経由してマイクロソフトまでたどり着いてくれる人に対して、入り口を整理しておきましょうという狙いです。
――それに加えて開発者向けの情報も提供しているのは
高橋氏:最近、開発の責任者の方とお話をすると、やはり開発の現場でセキュリティをどうやって確保するのかが大きな問題になっています。ある意味、マイクロソフトはそれで最も痛い目にあっている会社なわけです。私がマイクロソフトに来たのは最近ですが、マイクロソフトがセキュリティを重視するようになるまでには、やはり痛い目にあった積み重ねがあるのだと思います。そして、これからは多くの会社がこれを経験することになるでしょう。その時に、同じ失敗をしないで欲しいということから、マイクロソフトがこれまで経験してきたことをフィードバックしていきたいという考えです。
――Windows Vistaでもセキュリティ面の向上をアピールしています
高橋氏:ただそれも「できる限りの努力はしました」ということなんですね。これまでも、その時点でできることはやっていたとは思うのですが、とにかくセキュリティ対策はやり続けていかなければならない。Vistaは当然世界中から狙われるわけです。Windows 2000が出た時には、なかなかバイナリーの攻撃コードは出ませんでした。ところが1つ攻撃コードが出現すると、やり方がわかったということで続々と攻撃が出てきました。Vistaも今の攻撃に対しては強いですが、新しい攻撃には対策を続けなければなりません。
瀬川氏:また、最近は攻撃がソーシャル的なものに移っているので、そこへの対策が重要になっています。簡単に言えば、「.exe」ファイルをどうやって実行させるかという、そういう仕掛けの部分で、ユーザーが自分で実行してしまうのをどう防ぐかということです。Vistaでも警告を出すとかrootkit的な挙動への対策はしていますが、これもやはりユーザーが許可してしまったら防ぐことはできないわけです。技術的にはいろいろやっていますが、結局は技術だけで守れるわけではないのです。その意味でも啓発が重要になってきます。
――今後のセキュリティで脅威となってくるのは
高橋氏:脅威が「見えなくなっている」というのが最近のトレンドで、それはおそらく変わらないと思います。ボット対策の取り組みなどにも携わっているのですが、ぞっとするほどの量になっています。2000年にYahoo!などへのDDoS攻撃が話題になりましたが、今やあの程度のDDoSならいつでも起こせる状況です。ボットは見つからないように、派手な振る舞いをせず広がっていきます。また、攻撃対象もメジャーなアプリケーションだけでなく、マイナーなものにまでターゲットが広がっています。
瀬川氏:攻撃が見えなくなってきていて、ここ数年ウイルスでわかりやすい被害というとAntinnyぐらいで、大規模なウイルスの流行もありません。そういう中でユーザー側の意識が鈍くなってしまうのではないかという点から、今回の活動などを通じて注意を喚起していくことが重要だと思っています。
高橋氏:かつてはInternet ExplorerやOutlook Expressといったメジャーなものを狙ってウイルスを大流行させるのが目的でしたが、攻撃対象はどんどんマイナーなものにも広がっています。また、画像ライブラリのように、汎用的に多くのアプリケーションに使われるものもターゲットになっています。その延長で言えば、情報家電などの非PCデバイスもターゲットになってくるでしょう。こうした分野についても、マイクロソフトが具体的な開発段階からの対策を提示するなど、今後とも力を入れていきたいと思っています。
――ありがとうございました
関連情報
■URL
みんなで「情報セキュリティ」強化宣言!
http://www.netanzen.jp/
マイクロソフトの初心者向けセキュリティ解説サイト
http://www.microsoft.com/japan/security/ism2007.mspx
MSDNセキュリティデベロッパーセンター
http://www.microsoft.com/japan/msdn/security/
■関連記事
・ 企業・団体が共同で情報セキュリティ強化キャンペーン(2007/02/06)
( 三柳英樹 )
2007/02/26 15:37
- ページの先頭へ-
|