★☆★JNSAメールマガジン 第15号 2013.8.2.☆★☆

こんにちは
JNSAメールマガジン 第15号 をお届けします。


いよいよ8月。夏休みシーズン真っ最中ですが、リフレッシュされてますか?

今年は日本各地で未曾有のゲリラ的集中豪雨が頻発し、被害も多くなっていま す。少し前には隕石、その前には人工衛星と、空から物騒なものが降るのが増え ていますが、雨そのものも凶器のような振舞いをするとなると、「降ってくる脅 威」にも安閑としていられない、杞憂を杞憂と言っていられない情勢になってき ましたね。
サイバー空間で飛んでくる脅威にも似た不気味さを感じますね。頭上もネット も要注意では、気が休まりませんが、どうぞお気を付けください。

今回の連載リレーコラムは、JNSA理事で三菱電機株式会社情報技術総合研究所 の桜井鐘治様からの寄稿です。「仏作って魂入れず」に通じる大事な視点を語って いただきました。


【連載リレーコラム】
「セキュリティの運用について」
(JNSA理事 三菱電機株式会社 桜井鐘治)

先日インドに行く機会があり、セキュリティの運用の難しさをあらためて認識 させられることがありましたので、本コラムに取り上げてみます。

セキュリティといってもJNSAの会員の多くの皆さまがご専門とされている、 ネットワークセキュリティやサイバーセキュリティといったバーチャルのセキュ リティではなく、いわゆる物理セキュリティについてです。さらに、物理セキュ リティといったときに皆さまがすぐに想像されるのは、建物や敷地の入退室管理 で使用されるフラッパーゲートや電子錠付きの扉、あるいは監視カメラのシステ ムではないかと考えますが、今回のお話は、日本では空港など非常に限られた施 設でしかお目にかかることのない、金属探知を目的としたセキュリティゲートや 荷物の中身を検査するためのX線検査装置といった、「サイバー」の付かないテロ 対策装置と、その運用についてのお話です。

テロ対策装置について自分の限られた経験の中から思い出すに、空港以外で初 めて見たのはフランスのルーブル美術館でガラスのピラミッドに覆われた入り口 に設置されているセキュリティゲートとX線検査装置だったと記憶しています。 たしか、セーヌ川対岸のオルセー美術館にも同様の装置があり、いずれも空港と 同様に構造上必ず検査を受けないと中に入れないような位置に設置されて厳格に 運用されいるため、入り口の列でだいぶ待たされたように記憶しています。 一方、同じ欧州でもほぼ同時期に訪れたイギリスの大英博物館には何もなかった ように思います。当時は、両国の置かれている状況の違いや、収蔵物の資産評価や 価値観の違いによるものか、とあまり気にもしませんでした。

次にテロ対策装置に遭遇したのは、上記から5年ぐらい間があきますが中国の 北京の地下鉄でした。北京では地下鉄の各駅の改札前に、X線検査装置が設置さ れており、検査員が1人ついて通過する荷物を画面を通してチェックしていまし た。北京市民は、何事もなく黙々と手荷物を検査装置に通してから改札へ向かい ます。検査装置は券売機の脇に置かれているだけなので、回避をしようとすれば できる構造ではあるのですが、検査員が目を光らせているため、誰も検査を回避 しようとする光景にはお目にかかりませんでした。

このあとまた少し時間を置いて行った、海を挟んでお隣の台湾では、台北101 といった人気の観光施設に行ってもテロ対策装置などは全くなく、平和そのもの といった印象でした。振り返って日本でも、まだ東京スカイツリーに自身はの ぼったことがないのですが、昇った人の話では、台湾と同様にテロ対策装置は 皆無で、やはり平和そのものということです。

話をインドに戻すと、このテロ対策装置が街のいたるところに設置されている のです。空港以外では、やや高めのホテルやオフィスビルなどで普通に設置され ています。さらに驚いたことに、夕食の材料を買いにいくようなごく普通のスー パーの入り口にもセキュリティゲートが置かれていたりします。置き方は、出る 際には通らなくていいように配慮してか、構造的には検査を回避できる場所にお かれていたりもしますが、しっかりと運用されている施設では、必ず係員がつい ていて、通過する人が検査を受けていることをちゃんと見ています。しかしなが ら、先のスーパーなどでは、係員がおらず、セキュリティゲートだけが置かれて いて、出口用のスペースからセキュリティゲートをくくらず自由に出入りしてい ました。壊れているのかと思いきや、金属を身につけて通過すると、ちゃんとラ ンプがつきますが、誰も何にも言いません。この検査装置の存在は何の意味があ るのか、理解に苦しむところです。

つらつらとテロ対策装置の導入事例をあげて話をしましたが、少し整理すると、 まず最も良いのは、仕組みとして不正ができないようにすることです。これは、 空港の場合や先の例ではフランスの美術館が当てはまり、検査装置を通過しない と中に入れない構造になっています。加えて、非常に厳格に運用が行われています。 つぎに、仕組みとして不正ができないところまで対策ができない場合でも、しっか りとした運用でカバーすることです。先の例では、北京の地下鉄やインドのホテル、 オフィスビルなどの例が、構造上は不正ができるがこれを人を配置して運用でカバー しています。最後、もっとも良くないのは、仕組みとして不正ができないところま で対策ができていないにもかかわらず、運用が不十分なあるいは全く運用がなされ ていないものです。先の例では、インドのスーパーの例がこれに当てはまります。

これら運用の話は、バーチャルの世界のネットワークセキュリティ対策にも当 てはまります。対策を導入しただけで、しっかりとした運用がないと十分な効果 は得られません。さらに、たとえ導入した対策が仕組みとして回避不可能であっ ても、セキュリティについては絶対ということはなく、攻撃も日々進歩していく ために対策も次第に陳腐化していきます。テロで言えば、飛行機の中に少量の異 なる液体を持ち込んで、これらから機内で爆発物を作ろうとした事件などは、物 理の世界でも攻撃が日々進化していることを強烈に印象づけました。単に、対策 を導入しただけで安心せずに、しっかりと運用をまわすことが重要であり、その 対策が十分かをチェックし、必要ならば更新していくことも求められます。

本コラムを読んでいただいている皆さまの環境におかれましても、「スーパー の検査装置」みたいに導入したままで機能していない対策がないか、その運用が 十分か今一度点検されてはいかがでしょうか。



#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【ワーキンググループ便り】
★社会活動部会では時事ワークショップを開催します。
「Windows XPサポート終了に備えるITサバイバル術〜TO BE OR NOT TO BE〜」
 日時:2013年8月27日(火)16時〜18時
 場所:株式会社ラック セミナールーム

   ワークショップへの参加申し込み、また、発表者の募集について近日中にご案内いたします。
★部会・WG予定 
その他、活動スケジュールはこちらをご覧下さい。
 http://www.jnsa.org/aboutus/schedule.html
-----------------------------------------------------------------
JNSAの部会・WGは会員企業の方でしたらどなたでも参加できます。
参加のご希望がありましたら、JNSA事務局までお気軽にお問い合せ下さい!
-----------------------------------------------------------------
【事務局からの連絡、お知らせ】
★「インターネット安全教室」夏休み特集ページを公開しました。
 クロスワードパズルに正解するとセキュリーナの壁紙がもらえます。
 ぜひご家族で挑戦してみてください。
 http://www.net-anzen.go.jp/study/natsuyasumi/index.html
★SECCON(Security Contest)2013横浜大会の参加申し込みを8月5日午後より受付開始いたします。
 お申し込みはこちらから↓
 https://challenge.seccon.jp/
 スポンサーも随時募集中です。
 ぜひご協力・ご支援をお願いします。詳細はこちらをご覧下さい。
 http://www.jnsa.org/seccon/
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願い致します。


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
jnsa-mail
*************************************
JNSAメールマガジン 第15号 
発信日:2013年8月2日
発行: JNSA事務局 jnsa-mail
編集: 勝見 勉
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.