|
|
昨今、「Badtrans」「Goner」「Nimda」と、毎日のように新種のウィルスが発見され、新手の感染経路を持ったウィルスが現われている。公開メールボックスに飛来するウィルスに感染したメールの量を考えても、相当数の感染者が居ると想像できる。また、ウィルス以外にも、パーミッションの設定を誤り、個人情報を流出させるなどの事件なども起こっている。
今回の特集では、セキュリティーを「Webに関するもの」と「メールに関するもの」という二つの視点から考え、Webに関するものとして「サーバーに関するセキュリティー」。メールに関するものとして「ウィルス」に大まかに区切り、それぞれ、日本の最前線で活躍している技術者に話を聞いた。
日本最大級のホスティングサービス会社が行なうWebセキュリティー
●グローバルメディアオンライン株式会社
■URL
http://www.gmo.jp/
http://home.isle.ne.jp/
今回、「サーバーに関するセキュリティー」に関して、日本で最大級のホスティングサービスを提供しているグローバルメディアオンライン株式会社(以下、GMO)のシステム責任者であるRichard Lindsay取締役システム本部長、GMOの子会社でホスティングサービスを提供している株式会社アイルの青山 満代表取締役社長に、お話を伺った。
 |
| (左)株式会社アイルの青山
満代表取締役社長 (右)GMOのRichard Lindsay取締役システム本部長 |
INTERNET Watch編集部(以下、IW):まず、現在GMOでは、具体的にどのようなサーバーを扱っているのか。
Richard Lindsay氏(以下、R.L):現在、GMOでは、自社サーバーやホスティング用のサーバー、メールサーバーなどを取り扱っているが、GMOとアイルが提供しているホスティングサーバーは、基本的に同一ネットワークで取り扱っている。ネットワーク構成としては、BORDER-Gateway-Swich-ネットワーク、という構成になっている。セキュリティーに関しては、提供しているサービス毎に通すプロトコルなどが異なってくるので、全て異なる方針を用いて適用している。
IW:扱っているサーバーの規模は、どの程度なのか。
R.L:GMOグループ全体では、約1,000程度のサーバーを扱っている。これらのサーバーは、サービス毎にネットワークやパケット量などについて常時監視している。これらのサーバーは、ほぼ自動的に監視され、問題があった際などは24時間体制で対応を行なう。現在の方法で2万台程度のサーバーまでなら管理可能だ。それ以上の台数では、全自動化監視システムの構築が必要となってくるだろう。しかし、当面は現状のシステムで対応可能だ。現在GMOでは、世界中から集められたサーバー管理者が40名程度在籍している。これら40人が、それぞれの担当のサーバーを24時間体制で監視している状態だ。
IW:サーバーを扱う上で、セキュリティー的に特に注意している点は。
R.L:基本的にサービスによって異なってくるので一概には言えないが、基本的にセキュリティーとユーザーのニーズは対極に存在していると考えている。セキュリティーを厳しくしすぎて、あれも駄目、これも駄目では、ユーザーのニーズに応えることはできない。また大局的に、インターネット全体像で考えても、インターネットの自由度を狭めるようなサービス提供であってはならないと考えている。そこで、GMOでは、ユーザーのニーズとセキュリティーのバランスを取ることが重要だと考えている。
例えば、基本的にGMOのサーバーではCGIの使用が自由となっているが、これはシェアサーバーの場合、そのユーザーのフォルダに限定することが使用する上での最低条件としている。CGIを用いて、他のシェアユーザーに迷惑を与えることはあってはならないからだ。
また、基本的なことだが、サーバーなどはサービス毎にネットワークを分割し、Gateway以下に設置されている。当然、サーバーにはプライベートIPでの管理となっている。また、Gatewayレベル、サーバーレベル、シェアサーバーでは、ファイル単位で設定を変えて管理を行なっている。これらは、独自のノウハウに基づいて行なっているものだ。
IW:ユーザーがホスティング事業者に、サーバー管理を任せるセキュリティー上のメリットはどこか。
R.L:まず、ユーザーがどこまでセキュリティー知識を持っているかが重要だ。IISなどを利用すれば、比較的簡単にサーバーを構築することはできる。だが、サーバーを構築することと、セキュリティーの設定を行なうことは別の次元の問題だ。GMOでは、サーバーをハウジングしているユーザーに関して、セキュリティーなどの設定に関して、必要以上の干渉はしない。従って、一定水準以上のセキュリティー知識が必要となってくる。GMO側でGateway側やネットワーク側での設定を行なうが、サーバー自身のセキュリティーには、ユーザーの要望がない限り干渉していないということだ。これは、自己責任という観点から行なっている。だが、シェアサーバーの場合は全く異なる。シェアサーバーの場合は、一人のセキュリティーが甘くなると、サーバー全体に危険が及ぶので、ユーザーのファイル単位でGMOがセキュリティー設定を行なっている。
そして、一番企業のセキュリティーに関して問題なことは「詳しいセキュリティー技術者が居ない」ということだろう。今、日本に限らず世界中でこれらの技術者不足が叫ばれている。なぜなら、セキュリティーは直接商売と繋がらないからだ。従って、技術者もセキュリティーに関しては、一番最後に勉強するようになってしまう。通常企業は、まずサービスを提供しなければお金にならない。サービスを開始する為に、設備投資をし、サポートなどを充実させ、最後に余裕があったらセキュリティー投資を行なう、といった具合にだ。この点で、「一般企業」と「専門家が常駐しているホスティング事業者」とは、大きく異なる。
また、GMOでは「CERT」などの情報を一日数回チェックしており、パッチが出たと同時にサーバーにあてる。これをユーザーが自分で行なうのは、相当の労力が必要だろう。また、パッチは出てあてていないと、格好の餌食になってしまうので、この点は大変重要なポイントだ。
IW:ハウジングユーザーには、セキュリティーに関して余り関与していないということだが、それでセキュリティー上の問題はないのか。
青山 満氏(以下、青山):ただ、まっさらな状態のサーバーをユーザーに渡しただけでは、大問題だ。GMOでは、セキュリティー上の観点から、パスワード対策や、パッチをあてるためのシステムなどの土台を作成してから、ユーザーに提供している。従って、コンテンツなどの中身はユーザーの自由だが、土台の部分はGMOが検証を重ねて太鼓判を押せる段階まで持っていっている。
IW:それらのサーバーのOSはUNIXを使っているのか。Windowsはないのか。
R.L:現在のハウジングやシェアサーバーはUNIXサーバーが殆どとなっている。Windowsサーバーに関しては、市場のニーズは確認しているが、まだ提供できる段階にはきていない。設定上での検証する時間がもう少し必要だ。勿論、全く提供していない訳ではないが、まだ個別案件でしか提供していない。オープンに提供する方向で考えているが、まだ先の話だ。
IW:その場合、万が一ハウジングしているユーザーがウィルスに感染したり、ハッキングされた場合の対応を考えなくてはならないはずだが、その辺の対応はどうしているのか。
R.L:ネットワークやトラフィックに関しては、常時監視を行なっている。ハッキングやウィルスに感染すると、トラフィックに異常が発生するので、すぐ分かるようなシステムとなっている。当然、上記のようなハッキングがされたら、他のネットワークに影響を及ぼさないような対策を行なう体制も整っている。
IW:ホスティングを提供する上で、付加価値をどのように付けようと考えているのか。
青山:サーバーを立ててインターネットに公開する理由として、どのようなものを求めているかによっても異なる。ただサーバー上に自分のページを置きたいだけなのか。または、自分で作ったCGIなどのプログラムを試していく場が欲しいのか。という目的によっても異なってくる。基本的に、インターネットでサーバーを公開するからには、24時間踏み台などにされる可能性が付きまとう。これは、残念ながら逃れることはできない。では、個人が1人で対応できるのか?と言ったら難しいだろう。だが、「踏み台にされないような、管理をする」という事は、インターネット上でサーバーを公開する上での最低限のマナーだ。そういう意味で、サーバー管理の煩わしさをプロに任せて、自分の好きなことに没頭することができる環境を手に入れることが、最大の付加価値となるだろう。
IW:ADSLの普及などにより、自分でサーバーをたてるユーザーが増えてくる可能性がある。そのようなユーザーが、気を付けなければならない点はどんなところか。
R.L:具体的な対策は、挙げるときりがないので割愛するが、セキュリティーは、インターネット上でも、現実世界の中でも基本的な概念は同じだ。家を空ける時に鍵をかけないユーザーはあまり居ないだろう。私の田舎では、子供の頃は鍵をかけないような田舎だったが、一回盗難があってからは、町の全員が鍵をかけるようになった。インターネットでも同様の事が言える、ユーザーは「自分が実際に被害にあわない」とその必要性が分からないのだ。確かに、個人ユーザーの場合は、それでも問題がないかもしれない。だが、企業ユーザーの場合は、被害社=加害者となる可能性もあり、信用問題や損害賠償に繋がる可能性もある。そのような事態を避ける為にも、ユーザーは、「何かが起こる前に、対策をしなければならない」と考えている。家のセキュリティーと同じで、安心をお金で買う感覚だ。最終的には、意識の問題と言えるだろう。
今回は、「サーバーに関するセキュリティー」をGMOの2人に話しを聞いた。ADSLの普及により個人がユーザーをたてることも、容易になった感がある。だが、サーバーをたてる=管理責任が発生する。ということにもなるのだ。もし、自分のサーバーが「ハッキングされて、Dos攻撃に使われた」や「『CodeRed』に感染して他のサーバーを感染させた」となると、その責任を取らなければならない。被害者=加害者になる可能性を秘めているのだ。自分でサーバーをたてるからには、最後まで責任を持つ。それが面倒だと感じるユーザーは、ホスティングや無料ホームページスペースを利用する方が無難だろう。自分が、「インターネットで何をやりたいか」を考えてから、決めることが重要と言える。
続いて、「Gone」、「Badtrans」、「Aliz」とここの所、凶悪なウィルスが蔓延している。各ウィルスソフトベンダーは、11月度の発表で、「Badtrans」の被害状況が1,000件を超え、「Nimda」を抜く勢いだという。一般的に、サーバーやシステムは企業が扱うケースが多い。上記のような、セキュリティーは企業向けと言える。ADSLやIISの普及などで、個人でサーバーをたてることも容易となってきているが、まだまだ、レアケースだ。逆に、個人ユーザーがセキュリティーに重要視するのは、メールに対してのセキュリティーと言える。次に話を聞くのは、アンチウィルスソフトベンダー大手トレンドマイクロ社のアンチ・ウイルスセンター課長に話を聞いた。
アンチ・ウィルスソフトを提供する大手ワクチンベンダー
●トレンドマイクロ株式会社
■URL
http://www.trendmicro.co.jp/
トレンドマイクロ株式会社は、有数のアンチ・ウィルスソフトベンダーだ。個人ユーザーの中には、「ウイルスバスター」は知っているが「トレンドマイクロ」は知らないというユーザーが居るかもしれない。最近では、各ISPなどと提携し、ISPのメールサーバー上でウィルス駆除を行なうサービスの提供なども始めている。今回は、トレンドマイクロのトレンド・ラボジャパン アンチ・ウイルスセンター課長の関口 一氏に話を伺った。
 |
| トレンド・ラボジャパン 関口 一アンチ・ウイルスセンター課長 |
INTERNET Watch編集部(以下、IW):最近、「Badtrans」などの非常に感染力の高いウィルスが目立っている。最近のウィルスの傾向などは、どうなっているのか。
関口 一氏(以下、関口):最近の傾向としては、トロイの木馬型不正プログラムが増えていることが顕著と言える。一昨年までは、ExelやWordのマクロを利用したファイル感染型ウィルスが多数を占めていた。
Exelなどのマクロを利用したウィルスから、トロイの木馬型へ移行していった背景には、「いかにユーザーに実行させるか?」という点を考慮していることが挙げられる。他方では、トロイの木馬型は個別プログラムとして作成されているので、アプリケーションに近く、作成側の自由度が高いことが挙げられる。これによって、感染経路の複雑化などの高機能型が増えてきている。また、最近はLANやネットワークの大規模化が進んでいるので、LANなどを利用して感染を広げていくものも目立っている。
IW:感染経路が複数になっているものが目立っているが。
関口:「Nimda」は典型的な例だ。「Nimda」は、何一つ新しい技術を使ったものではなく、「CodeRed」や「Sircam」などで使われた手法をあわせたものだ。感染経路は、合計4つあり、さまざまな方法で感染を広げていく、特にOutlookのプレビュー機能を利用してプレビューしただけで感染する形式は、かなり被害を広げる結果となった。
だが、これらは既知のIEやIISなどのセキュリティーホールを利用したものなので、既にIEのサービスパックやパッチをあてていれば、問題ない筈だ。それにも関わらず多くの感染者が発生したという事は、それだけユーザーが対応してなかったということだろう。
IW:IEやIISなど、マイクロソフト製品を対象にしたものが多いように感じるが。
関口:現在発見されているウィルスの多くが、マイクロソフト製品を対象としたものだ。これは、ウィルス製作者の思惑が関係しており、ウィルス製作者は自分が制作したウィルスを、「如何に多くのユーザーに感染させるか」を目的の1つに作成していると考えられている。そうなると、クライアントマシーンとして圧倒的なシェアを占めているOSとして、Windowsを対象にしたウィルスが多くなってくる。今後もOSのシェアの比率に反映して、ウィルスの出現率も異なってくるだろう。
IW:ユーザーのウィルスに対する認識も高まり、個人ユーザーであっても、クライアントマシーンにアンチ・ウィルスソフトを導入しているユーザーが多いが、IPAなどの発表によると、ウィルス感染者数は増加しているのはなぜか?
関口:確かに、現在のクライアントPCには、他社製も含めて多くのPCにアンチ・ウィルスソフトがインストールされている。だが、大部分のユーザーがウィルス定義ファイルを更新していない。「Nimda」や「CodeRed」などのウィルスは、IISやIEのパッチや、ウィルス定義ファイルを更新していれば、感染する可能性は低かった。しかし、今でもこれだけの被害が出ているという背景には、パッチをあてていない事やウィルス定義ファイルの更新を行なっていなかったから、という理由が挙げられる。
IW:では、ウィルス定義ファイルを自動的に最新のものへ更新する機能や、ウィルスの傾向を分析し、まだ発生していない未知のウィルスへ対応することはできないのか?アンチ・ウィルスソフトは、ウィルスに対して後手という印象が否めないのだが。
関口:ウィルスに対して後手という意見に対しては、確かにそうだと言える。現在のアンチ・ウィルス対策は、新種のウィルスが発見される度に、分析し危険度などを判定する。また同時にワクチンの作成も行なう。だが、実際の医薬品と同様で、ウィルスサンプルがないとワクチンの作成ができないのが現状だ。現在、1週間で100~250種類の新種ウィルスが発見されており、これらの対策をパターンファイルで行なっている。また、変種・亜種ウイルスを検出する技術として、「マクロトラップ」「スクリプトトラップ」を実装している。そして、新種のウィルスで危険なものに対しては、最短で45分で対応している。これらのことから、ウィルス感染への危険性を減少させるという意味では、問題はないと考えている。
IW:最近いくつかのISPが、メールサーバー上でウィルスチェックを行ない、ユーザーのメールボックスの前で、ウィルスを遮断するサービスを行なっているが、これによってユーザーはウィルス対策の必要がなくなるのか?
関口:確かに、ISPのサーバー上でウィルスチェックを行ない、ウィルスを駆除することは効果的だ。だが、前述のように最近のウィルスは、感染経路をメール以外にも持ち、IEのセキュリティーホールを利用してWebを閲覧しただけで感染するものや、LAN経由で感染するものもある。従って、クライアントマシーンに、ウィルスが感染したメールが来ないとしても、安心することはできない。
IW:では、企業向けサービスとしては、どのように取り組んでいるのか。
関口:現在企業向け製品としては、「Gatewayサーバー」「Windows NTサーバー」などのさまざまなセキュリティーソフトを提供している。これらは、アンチ・ウィルス機能やスパムメールをブロックする機能やこれらの複数のサーバー管理を行なう機能を提供するソフトなどだ。また、これらのサービスのアウトソーシング事業も行なっている。
IW:大企業の場合は、セキュリティー対策に対しての予算や人員の面に余裕を持つことも可能だが、中小企業の場合、費用対効果の面からセキュリティー対策は後回しにされることが多いと思うが。
関口:企業の場合は、当然営利団体なので、費用対効果が重要となってくる。だが、それと同様以上に重要なのが、信用問題だ。企業が、セキュリティー対策に投資を行なわず、ウィルスに感染などしてしまった場合の信用失墜は、現実世界と同様だ。だがこうゆうものは、「一度被害にあわなければ、その痛みが分からない」という感は否めない。ウィルスに感染してしまって、自分のクライアントマシーンを再インストールしなければならないだけならまだよいが、ウィルスに感染してしまって自分が加害者になってしまうことの方が、危険だ。最近のウィルスでは、自分のメーラーのアドレス帳に記載されているメールアドレス宛てに送信するものや、受信箱にあるメールに対してランダムに返信するものなど、知人や取引先に対してウィルスメールを送信してしまう可能性が非常に高い。このように被害者になってしまった場合は、信用失墜だけでは、収まらず、損害賠償請求などに発展する可能性もある。
IW:実際には、「CodeRed」の時のように、パッチをあてていない為にユーザーなどに迷惑をかけた企業が多いように感じるが。
関口:「CodeRed」の時に対象となったIISのパッチについては、面倒臭いという理由や忘れていたという理由であてていないという理由だけではない。勿論、忘れていたという理由で、感染してしまったケースも多いだろうが、企業によっては、「パッチをあてることによる弊害を恐れる」というケースが目立った。IISは、基本的にサーバー上で動いているので、安定性が何よりも重要だ。従って、「パッチがでたからといって、検証もせずに導入することには抵抗がある」というユーザーも多い。IISはMicrosoftの製品なので、トレンドマイクロとしては対応のしようがないが、その辺りにも、問題があるのではないだろうか。だが、結果的にユーザーに迷惑を掛けるということは、企業として絶対に避けなければならない事だろう。IISを利用している場合には、パッチをあてないでもウィルスに感染しないような対策が必要だ。
IW:では、中小企業向けサービスとしてどのような対策が有効か。
関口:企業によってセキュリティーポリシーが違うので、一概には言えないが、最低限「Gatewayサーバー」や「クライアントマシン」にセキュリティー対策ソフトやアンチ・ウィルスソフトの導入が必要だろう。具体的には、「Gatewayサーバー」上にSMTPやHTTP、FTPなどの各プロトコルに対して、リアルタイムでウィルスチェックやフィルタリングを行なうソフトの導入や、「クライアントマシン」へのアンチウィルスソフトの導入などだ。
また、これらの複数台のマシンを管理するためのソフトも必要だ。LAN感染の経路を持っているウィルスに対しては、Gateway以外からの感染の可能性もある。例えば、外部から持ち込んだフロッピーディスクからや、VPNを利用して外部から侵入する可能性も無いとは言えない。LAN経由で感染してしまった場合、1台でも対策を忘れているマシンがあると、そのマシンから、外部へ感染を広げてしまう可能性も出てくる。従って、セキュリティーシステムを導入するからには、1台も対策していないマシンを見逃さない管理システムが重要となってくる。また、導入するだけでなく、継続してセキュリティーシステムの更新、つまりパッチをあてることや、ウィルス定義ファイルをあてることが最も重要だ。「入れっぱなし」では、導入する意味が殆どなくなってしまう。継続して管理することが難しい場合は、アウトソースや半自動で定義ファイルの更新などを行なうソフトの導入が必要になってくる。その辺りのコストと手間のバランスを考えた上での導入が重要だ。
IW:近頃の話題として、無線LANに関してのセキュリティーはどうなのか。
関口:無線LANに関する技術の発展は素晴らしいものがある。だが、無線LANに関するセキュリティーはまだ初期段階だ。PDAや携帯電話は、現在のキャパシティーでは、そのもの自体にアンチ・ウィルスシステムを導入することは難しい。従って、サーバー上やGateway上での対策が中心となっている。現在のところ、iモードなどに対してのウィルスはまだ発見されていないのでなんとも言えないが、添付ファイル形式ではなく、ハッキングなどの形式になるのではないか。また、iモードの503シリーズのようにJavaを搭載したモデルでは、Javaを利用したウィルスの出現の可能性も考えられなくはないが、NTTドコモがセキュリティーを厳しくしていることからも、現在被害はでていないようだ。
IW:ウィルスが発生するからには、ウィルスを作成している者が居るはずだが、その辺りは把握していないのか。
関口:残念ながら、あまり把握はしていない。個人で作成しているものや、グループで作成しているものも居るようだ。現行の法律では、「ウィルスを作成することは、違法ではない国」が多い。日本の場合でも、ウィルスを実行し、実害が出て尚且つ送信者が誰だか判明されない限り罰することはできない。このようなことから、残念ながらウィルス製作者がすぐに居なくなることはないだろう。
IW:トレンドマイクロでは、どのような研究所やサポートセンターでウィルスの研究をしているのか。
関口:ウィルスは、フィリピン国マニラ近郊にある「Trendlabs」にて一元的に解析されている。「Trendlabs」には、アメリカ、ヨーロッパ、日本など世界中からリアルタイムでウィルスの情報が収集され、「ウィルスかどうか?」の判定から「ウィルス構造解析」まで行なっている。また、ウィルスの解析と同時にワクチンの作成も行なっており、フィリピンで作成されたワクチンを、日本のアンチ・ウイルスセンターで日本向けにローカライズする。
IW:なぜフィリピンなのか。
関口:勿論、人件費などのコスト的な問題もあるが、フィリピンは意外と知られていないが、IT技術者先進国である。一時期は、インドのIT技術者が有名だったが、フィリピンの技術者も非常にレベルが高い。インターネットの性質上、時差などは関係ないので、トレンドマイクロでは世界で唯一フィリピンに「Trendlabs」を設置している。ここへ寄せられる、ウィルス数は1週間で100~250種であり、これが1週間分溜まると、ウィルス定義ファイルとしてユーザーに供給される。だが、「Nimda」や「Badtrans」のように、非常に凶悪な場合は、毎日でもウィルス定義ファイルを発行して、対応していく。
IW:では、個人ユーザーや企業ユーザーがウィルス対策をしていく上で、注意するべき点はどこか。
関口:まず、個人や企業でも共通する事項は、ウィルスに対する注意を継続することだ。やりっぱなし、入れっぱなしでは、ウィルスの性質上完全な対策はできない。また、意識の問題として、メールなどのエチケットを守ることだ。最近のウィルスは、送信者を偽装したり、アドレス帳にのっているユーザーに対して送信を行なうこともあるので、知人のメールアドレスからウィルスメールが来る可能性もある。知人からのメールであっても、exeファイルはすぐには開かず、怪しい場合は確認を取ってから開くなどの意識をもつ事が必要だ。また、添付ファイルを用いる場合は、メールを分割することなども必要だろう。また、個人ユーザーの場合は、アンチ・ウィルスソフトやファイアーウォール機能などを搭載したセキュリティーボックスの導入や、ルーターの導入なども行なえば安心だ。企業ユーザーの場合は、とにかく信頼を失わない為にも、「何かが起こる前に備えること」が重要だと考える。自分が加害者になってからでは遅い。これは、インターネット上でのセキュリティーも現実社会でのセキュリティーでも同じ認識でよいはずだ。
IW:最後に、セキュリティーは、メールの場合は、メールのセキュリティーを行なっていればよいというものではなくなってきている。トレンドマイクロは、ウィルス対策だけでなく、ウィルス以外の分野にもまたがった、セキュリティー全般を扱う方向で考えているのか。
関口:ウィルス対策ソフト以外にもサーバー向けセキュリティー製品なども販売しているが、基本的にアンチ・ウィルスソフトメーカーということに代わりはない。今後もアンチ・ウィルスソフト開発を進めていく。しかし、アンチ・ウィルスの機能を高めすぎて、他のインターネットの自由度を下げるようなことがあってはならない。あくまでも、防御はキチンと行なうが、不自由を感じさせないような製品を作っていかなければならない。そこのバランスを取ることに、時間を掛けていくことになるだろう。
ここでは、トレンドマイクロの関口 一氏に話を伺ったが、対策は「継続」して行なわなければ意味が無いことを強調していた。しかし、ユーザーにとっては、ここが一番の労力を要するところだろう。クリック数回で済む作業ではあるが、自分で意識して危機意識を持たなければ、「ついつい」や「うっかり」忘れてしまうものである。しかし、1週間、ウィルス定義の更新を怠けているだけで、100種類以上のウィルスが発生していると考えると、恐ろしいものがある。
●まとめ
今回は、セキュリティーを「メールに関するもの」と「Webに関するもの」という二つの視点から考えようという企画で、GMOとトレンドマイクロに話を聞いたが、当初は「OSに関するもの」としてマイクロソフトにも話を伺う予定だったのだが、都合により実現できなかった。
GMOとトレンドマイクロそれぞれの立場から、セキュリティーに関する意見を聞いたが、Lindsay氏や関口氏が共通して言っていたことが幾つかあった。それは、「自分が被害にあわないと分からない」ということと「被害者=加害者になる可能性がある」という点である。「実際に自分が被害にあわなければ、痛みは分からない」に関しては、人の心として致し方ない感は否めない。だが、Lindsay氏も言っていたように、現実社会で、家を出る時「ドアに鍵をかけない」人はまずいないだろう。インターネット上でも「鍵をかける」程度のセキュリティーは、常識となるべきだ。また、「被害者=加害者になる可能性がある」というは、インターネット上で特に気を付けなければならない問題だ。サーバーを公開しているだけで、メールのやり取りをしていいるだけで、加害者として訴えられる可能性があるのだ。
しかし、Lindsay氏によると「『インターネットは自由でなければならないものだ』、これに反する行為や考えはインターネットの基本概念に反する。セキュリティーは自由に反する束縛的なものだ。セキュリティーは必要だが、必要以上に行ない、インターネットの自由度や発展を妨げるものになってはならない」という。
今回の結論として、インターネットを行なう上で、ウィルス対策やサーバーのセキュリティー管理などは、「インターネット上の常識」として最低限行なわなければならないもので、「自分が被害にあう前に備えることがBEST」なことだと言える。
◎関連記事
■特集「ブロードバンド時代のセキュリティ入門~最低限これだけはしておきたい~」
■特集 ルーター買う?借りる?ブロードバンド対応ルーターの素朴な疑問
(2001/12/10)
[Reported by otsu-j@impress.co.jp]
