「ポリシーに基づいたセキュリティー対策を」――CSEがセキュリティーセミナー

システムインテグレーターの(株)シー・エス・イーは29日、企業の担当者向けに“CSEセキュリティセミナー”を開いた。セミナーでは、専門家が不正アクセスやウイルスなど、情報セキュリティーの現状を紹介した上で、「セキュリティー対策はもはや絶対。一過性のものではかえってコストが高くつく上、きちんとしたポリシーを持たない企業はネットワーク上の取引を拒否される動きも出てきている」と指摘した。

セキュリティー対策を企業と話し合うと、たいてい相手は情報システム担当者。技術面だけではなく、セキュリティーポリシーを基に社員全体の意識向上が必要」と語る渡辺氏

セミナーではまず、日本アイ・シー・エス・エー(株)社長でネットワーク協議会コンピュータセキュリティ委員会委員長を務める渡辺章氏が講演した。

渡辺氏は不正アクセス、コンピューターウイルスなど、情報セキュリティーを取り巻く現状について話した。不正アクセス代表的なものは、自動化ツールでIPアドレスやポートをスキャンし、使用されているソフトを判別、セキュリティーホールを探し出して侵入するといったケースや、パスワードの解読による不正侵入が挙げられる。またウェブのCGIを悪用し、トップページの画像を入れ替えるといった攻撃も報告されている。

ウイルスでは、全体の60パーセントがWordやExcelなどのマクロとして感染するマクロウイルスで、35パーセントが実行ファイル型のウイルス。ブートセクター感染型やDOSファイル感染型ウイルスの数は減っているという。日本ではウイルスを作ったり配布したりしても、実際の被害が特定されない限り刑法犯には問われない。メールを表示するだけで感染するワーム『BubbleBoy』の作者は、各国のサイトから閉め出された結果、今では日本国内のある地方プロバイダーのサブドメインを使用して活動中で、ウイルスのソースコードを公開するなど「最悪のページとなっている。関係機関に取り締まりを要請したが、動いてもらえない。今や国際問題になっており、早急な対策が必要だ」と話した。

その上で「マーケティングの時間やコストの節約、顧客満足度の向上など、インターネットを利用することでこれらの問題は解決できる。しかしインターネットのような公共的環境では安全性を誰も保証してくれない。セキュリティー対策とは、会社の存続を賭けて企業全体のビジネスリスクを下げること。e-businessの中でセキュリティーは絶対。一過性の対策ではなく、せめて四半期ごとにはセキュリティーレベルをチェックしてほしい」と訴えた。

続いて、(株)日本総合研究所セキュリティ事業推進部の主任技師である坂井司氏が、企業が実際にセキュリティー対策を進める際の基本方針となる“セキュリティーポリシー”について解説した。

「ネットワークのいい面ばかりが強調されて導入が進んでいるが、入ってくる情報と同じだけ情報が出ていってしまう可能性もある」と話す坂井氏

坂井氏によれば、セキュリティー問題に関して企業は、情報漏えいによる被害や企業信用の低下など、リスクを漠然と認識していながら、予算の余裕がない中でどこまで対策をすればいいのか、またセキュリティーポリシーはどうやって作成すればいいのか、といった悩みや不安を抱えているという。というのも、情報化によって生じるリスクは、対象となる範囲が広いため体感しにくく、対応も断片的になりがちだという。坂井氏は「ネットワーク化でビジネスチャンスは拡大したが、同じ分だけリスクも拡大し、企業にとって致命的になりかねないものも内包している」としてリスク管理の重要性を指摘した。

情報リスク管理は、まず情報セキュリティーにどう臨むかといった基本方針を明確にした上で対策を明文化する。実際に対策を実施して効果を検証、次の対策について意志決定を行ない、基本方針に生かす、というように一連のサイクルで成り立っているという。セキュリティーポリシーとは明文化された対策方針のことで、それぞれ憲法(基本方針)、法律(利用基準、倫理基準)、判例(設計書、運用基準)といった形で定められる。具体的にはシステムそのものに対する対策と、システムを利用するユーザーに焦点を合わせた人間的側面の2つの観点から、予防、防止、検知、回復の4段階を想定して体系的に対策を行なっていく。

坂井氏は、「場当たり的な対策では投資に無駄が多くなってくる。その上、ポリシーが明確でない企業とはネットワーク上では付き合えない、と言い切る企業も出てきた。情報リスクは経営に大きな影響を与えるリスクであり、社内の特定の部門に任せるのではなく、セキュリティーポリシーを基本として経営者が継続的に対策を実施する必要がある」と語り、経営者の自覚を促した。

最後に、企業向けウイルスワクチンベンダーである英SOPHOS社の技術担当役員を務めるヤン・フルスカ(Jan Hruska)氏が、最新のウイルスの動向と今後の対策について講演を行なった。

フルスカ氏はウイルス対策の例え話として童話“3匹の子豚”を紹介。ウイルスはオオカミで、子豚の長男と次男が建てたわらの家と木の家はすぐに吹き飛ばされてしまったが、三男の建てたれんがの家は持ちこたえ、3匹は幸せに暮らした……という内容。「長男と次男に心当たりはありますか」と問い掛けた

フルスカ氏は、'74年に米ゼロックス研究所で研究された自己増殖型プログラムから最近の自己メール送信型まで、ウイルスの歴史を振り返り、現在、特に問題になっているウイルスはマクロウイルスと自己メール送信型だ、とした。感染経路として電子メールやウェブ、フロッピーディスクのほか、CD-ROMも挙げられ、「CD-ROMがウイルスに免疫があると思ってはいけない。マイクロソフトは少なくとも3回は、ウイルスに感染した製品を出荷している」と警告。ウイルス対策として、感染経路をふさぐことが妥当だ、とした。

具体的な対策としては、ブートセクタ感染型の場合はフロッピーディスクから起動しないことで感染を防げるが、「マクロウイルスの場合、WordやExcelといったソフトを使用しないで済ませることは事実上不可能。別の手段を考える必要がある」として、各クライアント側でワクチンソフトを常に使用する方法と、ゲートウェイとなるサーバー側でウイルスをチェックし、感染の恐れがあるファイルの通過を不許可とする方法の2つを併用することが望ましい、とした。

今後のウイルスについては、「2年前の段階で、ウイルス作者はActiveXに感染するウイルスを制作中だとしていた。かなり近い将来、ActiveXに感染するウイルスが発生する可能性が高く、また発生したらとてつもなく影響が大きい」との見方を示した。全般としてはマクロウイルスと自己メール感染型が増加傾向にあり、マイクロソフトがマクロの使用範囲を広げていくと、新たな問題が発生するかもしれない、とした。フルスカ氏は、「ウイルス対策ソフトの選択も重要になってくる。単に製品を買うだけでなく、セキュリティー対策のパートナーとして信頼できるものを選んでほしい」と締めくくった。

• CSE (http://www.cseltd.co.jp/ )

(編集部　小林伸也)

この記事が関連していると思われます

• ヤン・フルスカ博士、2000年以降のウイルス問題について語る (1998-06-15 / ポイント: 0.5612)
• トレンドマイクロ、企業向けウイルス対策の新構想を発表 (2002-06-26 / ポイント: 0.5445)
• これがHappy99ウイルス――ウイルス対策セミナーより (1999-05-28 / ポイント: 0.4880)
• 「ネットでは常にセキュリティーが脅威にさらされている」――米シマンテックCTOが講演 (2000-06-13 / ポイント: 0.4867)
• シマンテック、企業向けセキュリティー対策サービス“シマンテック・エンタープライズ・セキュリティ”を9月に開始 (2000-07-14 / ポイント: 0.4649)
• トレンドマイクロ、ウイルスに関するセミナーを開催──侵入させないことが先決 (2002-04-05 / ポイント: 0.4642)
• ソフォス、事業戦略説明会でメールサーバー向けアンチウイルス製品を発表 (2001-12-07 / ポイント: 0.4627)
• 大塚商会、企業向け総合セキュリティー対策支援サービスを発表 (2001-09-26 / ポイント: 0.4613)
• シスコシステムズ、セキュリティー戦略説明会を開催――セキュリティー対策製品メーカーとの協業を推進 (2004-08-24 / ポイント: 0.4537)
• 【VB 2001 Vol.5】ウイルス作者とハッカーがセキュリティー情報を共有し始めた──シマンテックのウェファー氏 (2001-10-01 / ポイント: 0.4497)
• アズジェントら11社、“セキュリティポリシーアライアンス”を設立――セキュリティー対策の“憲法”普及へ (2000-06-02 / ポイント: 0.4448)
• 富士通FIP、ラックとシマンテックとの提携により総合的なセキュリティーサービスの提供を開始 (1999-11-25 / ポイント: 0.4373)
• NRA、プロが選んだ“2004セキュリティ十大ニュース”を発表――1位はソフトバンクBBの個人情報漏洩451万7039人ぶん (2004-12-22 / ポイント: 0.4315)
• “サイバーセキュリティ・コンソーシアム”キックオフ、2000年問題のセミナーを開催(前編) (1999-09-06 / ポイント: 0.4241)
• トレンドマイクロ、家庭向けセキュリティーボックスを発売 (2001-10-29 / ポイント: 0.4210)
• RSAとバガボンド、オン・ザ・エッヂがセキュリティー情報ポータルサイト“ネット・セキュリティ”を開設 (1999-12-15 / ポイント: 0.4010)
• シマンテック、新セキュリティーコンセプト“Information Integrity”を発表――“安全性”と“可用性”のバランスの取れた両立を目指す (2004-11-05 / ポイント: 0.4007)
• NEC、情報セキュリティ事業を強化――関連サービスを体系化し、“iBestSolutions/Security”の名称で提供 (2000-06-09 / ポイント: 0.3998)
• 【VB 2001 Vol.2】専門家がLinuxのウイルスの危険性を警告 (2001-09-28 / ポイント: 0.3955)
• シマンテック、ネットワーク上のリスクの最新動向を分析した“インターネットセキュリティ脅威レポート”最新版を発表――DoS攻撃、フィッシングが急増 (2005-09-27 / ポイント: 0.3913)
• ソフォス、企業向け統合セキュリティーソリューションを提供開始 (2006-06-07 / ポイント: 0.3858)
• 三井物産、ネットワークセキュリティーサービス事業を開始 (2001-11-27 / ポイント: 0.3781)
• NRA、プロが選んだ“2002セキュリティ十大ニュース”を発表――1位は住基ネット (2002-12-24 / ポイント: 0.3743)
• エクソダス、プレス向け説明会で自社のセキュリティー対策を報告 (2002-01-26 / ポイント: 0.3737)
• ビートラステッド・ジャパン、情報セキュリティーの最新技術動向説明会を開催――米大統領情報技術政策機関顧問が講演 (2004-12-10 / ポイント: 0.3718)
• トレンドマイクロ、スプリントとウイルス対策サービスで提携 (1999-08-18 / ポイント: 0.3715)
• マイクロソフト、セキュリティー技術担当者による、セキュリティー強化の取り組みについての説明会を開催 (2006-06-01 / ポイント: 0.3698)
• マイクロソフト、IT管理者/開発者向けのセキュリティー技術説明会“SECURITY SUMMIT 2005 Fall”を開催 (2005-10-04 / ポイント: 0.3676)
• 組織内CSIRTの構築支援とボットネット対策を強化――JPCERT事業方針説明会 (2006-07-20 / ポイント: 0.3639)

関連記事の検索には汎用連想計算エンジン(GETA)を利用しています。 「汎用連想計算エンジン(GETA)」は、情報処理振興事業協会(IPA)が実施した「独創的情報技術育成事業」の研究成果です。