もう一度セキュリティの見直しを

ここ最近の日本政府ウェッブ・サイトへのハッカー侵入事件は、日本国内のみならず、米国でもニュースとなっている。米国でも何年か前、司法省(Department of Justice)のウェッブ・サイトがハッカーに侵入され、“Department of Injustice”(不正義省というような意味)に改ざんされてしまったのは、まだ記憶に新しい。そういう意味では、このようなみっともない事件を起こしてしまったのは、日本だけではない。

しかし、いくつかの意味で、この事件は、やはり日本のセキュリティへの甘さを世界に露呈してしまったものといえる。米国でも政府各省をはじめ、民間企業でもこのようなハッカーによる侵入は起こっている。しかし、そのほとんどは、インターネットの広がり始めた、もう4-5年前に起こっていたものである。米国ではその後、インターネット・セキュリティに対する意識が高まり、色々な手立てを講じた結果、今ではほとんどこのようなウェッブ・サイト改ざん事件は聞かない。日本ではこれらの事件が2000年になっても、いまだに起こっているというところに大きな問題を感じる。また、新聞等での報道によると、ファイヤーウォール(インターネットなどの外部からの内部ネットワークへの不法アクセスを防ぐための防火壁)すらも導入していなかったという。もしそうだとすると、まさに初歩的な防衛手段も講じていなかったということで、これはあきれてしまう。

インターネットに接続するときに、まずその第一歩として考えるのが、ファイヤーウォールの導入である。米国の政府機関や、ある程度の規模の民間企業で、ファイヤーウォールを導入していないところなど、ほとんどないであろう。少しインターネット・セキュリティに詳しい人ならご存知であろうが、ファイヤーウォールとは、単にファイヤーウォールと名のつく商品を買ってきて、ネットワークに組みこめばセキュリティが確保できるというようなものではない。そのネットワーク構成や、パラメータのセットの方法などで、セキュリティの強度も大きく変わる。またファイヤーウォール利用にあたっては、セキュリティの強さだけではなく、そもそもどのようなデータを通過させ、どのようなデータを遮断したいのかというポリシーを持ち、それに従った形でファイヤーウォールが機能している必要がある。このため、ファイヤーウォールは、単に導入するだけではなく、しかるべきファイヤーウォール・ポリシーを持ち、それに従うようにネットワーク構成やパラメータ・セットを行わなければならない。

さらに本当に考えたとおりにファイヤーウォールが動いているかどうか、テストしておく必要がある。いわゆるファイヤーウォール透過テスト(Penetration Test)である。これについても米国の主な政府機関、民間企業は何年も前にこのような作業を終え、その後のネットワーク構成の変更や、ハッカーの手口の変化とともに、このようなテストを繰り返している。

これでも100%ファイヤーウォールによる外部からの不法アクセスは防げないので、万一にそなえて侵入検知システム(Intrusion Detection System)も導入している企業が多い。このシステムの利点は、外部からの不法アクセスを検知し、リアルタイムで対応できる点である。具体的には、例えばこのままハッカーが悪さを続けると、重大な問題が生じるような場合には、インターネットとの間を遮断することも、対応手段の一つとして考えられる。また、それほど影響が重大でないと考えられる場合は、逆にハッカーのやろうとしていることをトレースし、あとで訴訟などを行う折の証拠をそろえるために使うことも出来る。

日本企業のセキュリティへの対応をみていると、セキュリティを意識している企業でも、その注意はほとんどインターネット経由での不法アクセスを防ぐファイヤーウォールの強化に集中しているように見える。そして、一旦ファイヤーウォールの内側に入られてしまうと、何でも出来てしまう場合も多い。しかし、これには危険な面がある。ファイヤーウォールがインターネット経由による外部からの不法アクセスを防ぐのに最も重要なものの一つであることには間違いないが、ファイヤーウォールを破られて、内部ネットワークに入られた場合、また、内部からの機密データへの不法アクセスなどに対するそなえも必要だからである。

そのため、私の勤務するAdario社(旧SRIコンサルティング情報通信部門)では、セキュリティ・レビューを実施する場合、ファイヤーウォールの透過テストのみならず、内部ネットワークからのテスト、また、重要なサーバーについては、そのコンフィギュレーションのチェック等も行う。さらに、単にネットワーク等を経由した不法アクセスに対応するための技術的なセキュリティ・レビューにとどまらず、物理的なセキュリティ、運用手順などに関するものについても、そのレビューを行う。情報セキュリティとは、そもそも情報資産を不法アクセス、盗難、改ざんなどから守ることが目的であり、そのためには、ネットワーク経由によらない手段に対するそなえも含まれるからである。実際、機密データの入ったノートパソコンやフロッピーディスク、バックアップ・テープなどが盗まれることによって、機密データがもれるという場合も多いからである。また、パスワードが簡単に見破られてしまうと、不法アクセスが一見正常なアクセスのようにみえてしまうから、恐ろしい。

昨年前半までの日本であれば、インターネットのセキュリティの問題が話題になると、インターネットのビジネスでの本格利用にブレーキがかかってしまうような状況であったが、もはやインタ-ネットの重大さが、インターネットを利用するセキュリティ・リスクをはるかに上回るものであるという考え方が広く浸透しており、そのようなやり方はもはや通用しない。インターネット・セキュリティ、そして広く情報セキュリティに対応してビジネス展開することは、企業が競争力を維持し、企業を存続、発展させていく上で、必須である。なお、拙著“インターネット・セキュリティ”(丸善ライブラリー)が、この分野の理解に多少なりとも役立てば、幸いである。

  黒田 豊

(2000年2月)

ご感想をお待ちしています。送り先はここ

戻る