• 2012年
• 2011年
• 2010年
• 2009年
• 2008年
• 2007年
• 2006年
• 2005年
• 2004年
• 2003年
• 2001年

　また年の瀬が迫ってきた。時間の経つのがますます速くなり、あっという間の一年だったような気がするが、振り返ってみると様々な出来事があった。
　2002 年の 1 年間を、日ごろから情報セキュリティを仕事の糧とする仲間で振り返り、十大ニュースにまとめてみた。

　日本社会には、払ってもぬぐいきれない暗雲が大きく立ち込め、行く先の不安をつのらせている。経済の先行きに明かりが見えず、今までのやり方の延長線上には日本の明日はないということだけははっきりしてきた。しかし、まだ誰にもこの状況から脱する明確な処方箋は描けてはいない。

　このような状況の中で進みつつあるネットワーク化、IT 化の動きは、だからこそ安全性・信頼性に確固たる自信を持って進めなければならない。世の中に密かに、だか確実に広がりつつある脅威を認識・知覚し、それらに十分対抗しうるセキュリティの構築が急務である。

　今年の十大ニュースには、このような社会情勢が色濃く反映されている。相変わらずのセキュリティ事故の教訓的ニュースに加えて、新たな仕組みや制度のスタートを報じるもの、今後の取り組みを促すものなどが半数近くに上ったことは特筆されるべきである。

　来年末には、これらの新たな取り組みが実を結んだ記事を十大ニュースとし て報じたいものである。

【第1位】 8 月 5 日　住基ネット　波乱の幕開け
　　　　　　　　― どうなる国民のプライバシー ―

　8 月 5 日の運用開始当初から離脱する自治体が出る波乱含みで始まった住基ネット（住民基本台帳ネットワーク）。不参加を決めた自治体は、「個人情報の保護」に関する法的整備を含めた国・自治体の管理体制の不備を主な理由として挙げている。こうした中、郵送された「住民票コード通知書が透けて、番号が見える」という問題が100以上の自治体で指摘され、出だしからその不安を募らせる結果となった。また、10月には各市区町村が利用するコンピュータのウイルス対策ソフトの情報が約2カ月以上も更新されていないことが明らかとなり、国民の不信感をさらに深めた。

　利便性、効率性を求めて進められてきた情報ネットワーク化の中で、プライバシーの保護をはじめとした情報管理やネットワーク・セキュリティは、ともするとなおざりにされてきた。様々な問題を抱えながらスタートした住基ネットが、皮肉にもネットワーク・セキュリティの重要性を国民的関心事に高める結果となった。

　住基ネットは、わが国が目指す電子政府・電子自治体の基盤であり、事務効率の側面からは全自治体の参加が望まれる。しかし、個人情報を保護する上でのネットワーク・セキュリティの側面からは、必要なセキュリティレベルに達していない自治体は結ばないというスタンスが必要であり、監査体制の整備も急務となっている。

　国民の信頼に足る住基ネットとして、国民の声を真摯に受け止め、必要なセキュリティレベルを確保する上での柔軟な対応とともに、法的整備を含めた徹底した個人情報保護体制の構築が急がれる。

---

【第2位】 4 月 1 日　メガバンクの ATM トラブル発生
　　　　　　― あまい危機管理は構造的な問題では？ ―

　4 月 1 日　某大手銀行の合併によって誕生したメガバンクの ATM に障害が発生し、預金の引き出し・振り替え機能が停止した。旧銀行間のシステムを繋ぐ中継システムが機能しなかったことにより、払い出しや決済情報が正しく認識できなくなり、二重引き落としや決済不能に陥った。4 月 9 日の衆議院財務金融委員会で経営トップが「直接利用者に実害が出てない」と発言したことは未だに記憶に新しい。メガバンク大型合併の最初のアウトプットが「経費削減」「収益力向上」ではなく、「経営（マネジメント）の不在」「信用の低下」であったことはあまりにも皮肉であると言わざるをえない。

　その後の金融庁・日銀の考査により明らかにされた事故原因の本質は、経営（マネジメント）の不在を明確に示す結果となった。実は 2002 年の初めになっても「中継システム」ほとんど完成しておらず、当然十分な負荷をかけたテストも実施されることがなかった。そして、今年多くの企業不祥事でも指摘されたように担当部門がこの事実を隠蔽していたことも同時に明らかにされた。

　2002 年に発生した多くの企業不祥事のキーワードは、「隠蔽」「聖域」「マネジメント不在」などであるが、その代表格であるこの事件から学ぶべきことは多い。

　この事件以来、多くの経営者は相当な衝撃を受けた。しかし、経営者の中には「情報システムは技術の問題だ。技術のことは自分では分からないので、専門家に聞いてみよう。」という誤った認識をした経営者が少なくないようだ。経営者のなすべきことは自らの戦略を決定し、戦略実現に必要な情報システムを構築することである。つまり、経営者が情報システムに何をさせたいかを決めることであるはずだ。情報システム部門にも経営に関与するエース級を投入することなども含め、しっかりとしたガバナンスを構築することが急務である。

---

【第3位】 8 月 6 日　防衛庁に見る機密情報漏洩。明日はわが身？
　　　　　　　― 他山の石と なり得るか ―

　8 月 6 日に発覚した防衛庁の情報漏洩事件 (*1) は、ある意味で我が国の情報セキュリティ対策の根本的な問題を暗示しているのではないだろうか。情報セキュリティの基本は、脅威を想定した対策プランにあると思うが、問題は「対策プランの実効性」にあることを再認識しなければならないと思う。
　こともあろうに、国の安全保証を支える防衛庁のシステムに関わる情報が、システム開発に携わった請負い側の SE から漏洩したとされる事件だっただけに、情報管理に最も厳密さを要求される官庁と、民間企業の業務上発生する情報管理の実態に大きなギャップがあることを浮き彫りにした内容であった。

　一般に機密とされる顧客システムの情報の扱いが、末端の業務委託先にまで周知徹底されていないが為に、請負い側の SE がそれを逆手にとって恐喝まがいの行為をたくらんだと言われる報道がなされている。
　委託先の業者、孫請け会社、更にはそのまた先の業者といった多段階委託の関係における守秘義務の統制力の問題がクローズアップされ、日本の性善説文化の中で生活する人間の甘さが露呈してしまった事件ではないだろうか。
　国内の IT 業界をとりまく業態が、システム開発の過程で請負い関係の上に成り立っていることが日常化しているが故に、決して今回の事件の当事者間に限った話ではないことを指摘していると思われる。まさに、情報セキュリティの本質とされる「情報管理と人的対策のあり方」を問う事件であり、結果としてセキュリティ上の対策プランが有効に機能しなかったのは非常に残念である。

　厳しい認証とアクセス制御を施しても、アクセスを認められた者の不正利用を規制するのは難しい。また、どんなにルールを厳しくして組織や集団を統制しようとしても情報に接しているのが人間である以上、個人に隙ができることも否めない。逆に、厳しい統制が与える業務効率への悪影響が懸念される。開発現場で日夜戦う SE の諸兄には頭の痛いことだろうが、守秘義務の遵守を肝に命じ、プロジェクト管理の徹底や情報セキュリティの確保に努めてもらいたい。

(*1) 本稿執筆時点で参考にした報道記事等
http://www.mainichi.co.jp/digital/netfile/archive/200208/06-7.html
http://www.mainichi.co.jp/digital/seifu/200208/06-1.html
http://www.mainichi.co.jp/digital/solution/archive/200211/05/3.html
http://www.mainichi.co.jp/digital/netfile/archive/200212/02-6.html

---

【第4位】 9 月 18 日　米国政府が無線 LAN のセキュリティーを警告する草案を発表
　　　　　　　― 広がるアクセス はびこるリスク ―

　9 月 18 日　米国政府は無線 LAN のセキュリティーを警告する報告書の草案を発表した。「米国の各省および各機関は、無線 LAN 技術を使用する際に、安全上のリスクについて細心の注意を払う必要がある」との内容だ。
http://www.whitehouse.gov/pcipb/cyberstrategy-draft.html

　セキュリティの教科書にはセキュリティレベルと利用者の利便性は相反する課題とあるが、まさに無線 LAN は利便性を追求した結果、セキュリティがおろそかになった典型例かもしれない。しかし、これは単なるセキュリティ技術の問題ではない。技術の進歩と個人や社会の対応のアンバランスが産み出した脆さであり、便利さの影に潜むリスクという観点では、無線 LAN だけでなく最新技術が導入され続ける全てのネットワークにおいて、常に意識しておかなければならない課題である。

　国内でも、無線 LAN 対応の PDA や PC を持って街を歩けば、様々な企業や個人の無線 LAN アクセスポイントを検知できる。通信を盗聴されるだけでなく、正規ユーザに成りすまされ、機密情報を根こそぎ盗られる危険がはびこっている。

　インターネットの正面玄関をファイアウォールで固めたネットワークでも、無線 LAN がウィークポイントになる事を恐れ、無線 LAN の導入を禁止した企業もある。オフィスで無線 LAN を導入しているかどうかに関わらず、まず実態把握のため点検されることをお勧めしたい。

---

【第5位】 4 月　ISMS 認証制度スタート
　　　　　　　― 日本の情報セキュリティの底上げなるか！？ ―

　ISMS (Information Security Management System：情報セキュリティマネジメントシステム) 認証は、英国規格である BS7799 を起源とする。
　日本において、ISMS 適合性評価制度として、BS7799 Part2（Part1 は最適慣行をまとめたガイドライン、Part2 が具体的手法で認証取得対象）に適合しているかを第三者機関が評価することで、適合性認証を与える方式が 2002 年4 月より本格運営を開始し、IT 関連企業に限らず、一般企業が取得する事例も多くなってきている。

　情報セキュリティ対策を有効なものとするためには、技術的なセキュリティ対策だけでは完全に実施することは難しく、人間系の運用・管理面のセキュリティ対策をマネジメントする観点から検討していく必要がある。
　そこで、それらを適切に、効果的に、かつトータルに実行・管理するための手法として ISMS に期待が集まっているという背景がある。

「認定の取得そのものが目的になってしまえば意味がない」
「認定の意味が正しく理解されなければ面倒なだけで、仕事が増えるだけ」
「取得のあとが重要であり、大変である」
といった声が聞こえてくるが、次のことを着実に実施していくことにより、ISMS を生かし、活用していくことができる。
・組織のトップが意義を十分に理解する
・社員教育を十分に、継続的に行う
・運用体制をしっかりととる
・日々の変化に対応して、ポリシー、手順書等を更新する

　技術面からのセキュリティ対策から発展させて、組織のトータルなITセキュリティの向上のための手法として、ISMS 認証制度が日本に定着することに期待したい。

---

【第6位】 4 月　クレズワームが感染急拡大、Badtrans.B も感染拡大長期化
　　　　　　ますます高まるコンピュータウイルスの脅威
　　　　　　　　― ワームばかりでメール おクレズ・・・ ―

　2002 年は、ワーム型ウイルスが本格的に主流となり、「WORM_KLEZ（クレズ）」など活動が多様化したワームが長期間流行した 1 年となった。クレズは、発見時期は 2001 年 10 月で当初それほど劇的な感染被害拡大は見られなかったが、じわじわと感染を広げ、感染が感染を呼ぶ形で、2002 年に入り 4月から 5 月、6 月と感染被害が大ブレークした。同様に Badtrans.B も感染は長期化の様相を呈している。

　結局、「NIMDA（ニムダ）」のように短期間に爆発的な感染被害を起こすウイルスの出現がなかったのにも関わらず、2002 年のウイルス被害報告数の規模は昨年を大きく上回るものとなった。
ブロードバンドの普及によるインターネット接続の長時間化、家庭や小規模事業所レベルでのネットワーク化の進展などによって、総じてウイルスに遭遇する機会が増えている。ウイルスの脅威は高まると同時に裾野を広げ、より一般的な脅威となってきているといえるだろう。

●2002 年流行した主なワーム：
　　（名称）　　　　　　　　（通称）　　　　　　　　（発見時期）
WORM_KLEZ　　　　　　　　 クレズ　　　　　　　　　　2001 年 10 月
WORM_BADTRANS.B 　　　　　バッドトランス.B　　　　　2001 年 11 月
WORM_BUGBEAR.A　　　　　　バグベアー　　　　　　　　2002 年 9 月
WORM_OPASERV　　　　　　　オパサーブ　　　　　　　　2002 年 9 月
WORM_FRETHEM　　　　　　　フレゼム　　　　　　　　　2002 年 5 月

●2002 年流行したウイルスの主な特徴
1）差出人詐称
ウイルス付 e-mail の差出人（From:）を詐称するため、ウイルス付e-mailの送信元に注意することができず、結果として感染者は感染していることに気づかないままウイルスを送信し続けることになりやすい、という状況が増加

2）亜種続々出現
新種ウイルス感染拡大後まもなく亜種が次々に発見され、新種に対応したパターンファイルを適用しても、また亜種に感染する、といった傾向が続く

3）不正アクセスの準備をするウイルスの増加
2002 年流行したワームにはバックドア（裏口）を作り、ハッキングツールを感染パソコンに仕掛けるなど、不正アクセスの準備機能を持つものが目立つ

　今後の傾向としては、Internet Explorer などのセキュリティホールを悪用し、かつそれに対応してもなお、さらに件名や本文を工夫することで添付ファイルなどを開かせる、人の心理をつく（ソーシャルエンジニアリング的手法）ウイルスの増加が懸念されている。いまや、インターネットやネットワークに接続する人にとり、セキュリティ対策は当然の装備となったといえる。

---

【第7位】 12 月 13 日　個人情報保護法廃案、来年再度法案提出へ
　　　　　　　― こんな基本も決められないのが わが国の現状 ―

　12 月 13 日、第 155 臨時国会が閉会し、政府与党が提出していた個人情報保護法案が廃案となった。政府与党は来年の通常国会に修正した新法案を出し直すことになった。高度情報通信社会の進展に伴って個人情報が広く利用されるようになった現在、個人情報の有用性は配慮しつつ、個人の権利利益を保護することが法案の本来の目的だった。

　政府与党が提出していた法案は、表現の自由を規制する恐れがある「メディア規制法案」などの批判が強く、野党 4 党が法案の撤回を求めていた。また、衆議院内閣委員会の委員長が民主党であることから、与党単独での採決は無理と判断し、廃案とした模様である。結局、本法案の内容について十分に審議がされることもなく、与党対野党の構図の中で廃案となってしまった。

　インターネット上では、今年も不正侵入やウイルス感染の被害が後を絶たず、個人情報の漏洩が社会的にも問題になった。国民の個人情報保護を目的とする法案が十分に審議もされず廃案となったことで、現在の国民の個人情報は、いわばセキュリティ対策が十分に講じられていない情報システムと同じように、個人情報の悪用という脅威（リスク）にさらされている。

　修正された法案が再提出される来年の通常国会では、国民の立場に立った十分な審議を行い、無防備な個人情報を保護するためのセキュリティ方針を決定し、この方針に沿ったセキュリティ対策が講じられている個人情報保護法が成立することを望む。
　来年 8 月には住民基本台帳ネットワークシステムが本格的に稼動する。脅威にさらされた個人情報をどのように保護するのか？もう、待ったなしである。

---

【第8位】 6 月 25 日　まだまだたくさんある、クロスサイトスクリプティング脆弱性サイト
　　　　　　　― 対策が難しい Webページの記述に起因するセキュリティホール ―

　6 月 25 日、産総研のセキュアプログラミングチームが運営するWebサイトに「クロスサイトスクリプティング脆弱性蔓延の現状と解決策」と題する文書が公開された (*1)。一年前の公表予定が事情により延期されていたものであるが、その内容自体は一年前に学会発表されており、この発表がクロスサイトスクリプティング(以下XSS)脆弱性が国内で広く理解されはじめるきっかけの一つになった。このXSS脆弱性の深刻な点は、その問題が、Web ブラウザやOSなどにセキュリティ対策を施すことで解決するものではなく、Webサーバ上で動作するWebアプリケーションの書き方の問題、いわば特定のWebページの脆弱性の問題であることだ。完璧にセキュリティパッチを施してあるコンピュータを使っていても、罠が設置された悪意あるリンクをたどってXSS 脆弱性のあるWeb ページにアクセスすると、知らぬ間に個人情報が盗まれてしまうかもしれない。

　今年も、この XSS 脆弱性に関する話題がセキュリティ関係の Web サイトやメーリングリストを賑わせ、脆弱性のある Web サイトの指摘や、そのサイト運営者の対応姿勢などについての批評や議論が数多く行われた。しかし、今年も相次いだ Web サイトからの個人情報の流出事件に比べ、XSS 脆弱性による被害は目立っていない。XSS 脆弱性を利用した罠にかかる確率が低いのか、被害が判明しにくく表面化していないのかはわからないが、全ての Internetユーザは、悪意あるリンクをたどって Web ページにアクセスした場合には個人情報漏曳等の可能性が常にあることを心し、Web サイト (特に電子商取引サイトなど) を利用しなければならない。

　一方で、Web サイトに XSS 脆弱性が存在する事は、そのサイトの運営者に対する信頼性に疑念を抱かせる。Web サイト運営者や Web アプリケーションのコーディング技術者は、XSS の本質を理解し、Web サイトを構築・運営する必要がある。
　今年 3 月に公開された「IPA セキュア プログラミング講座」 (*2) には、セキュアWebプログラミングの項目があり参考になる。一度目を通すとよいだろう。

　クロスサイトスクリプティング脆弱性への対策として、エンドユーザ、サービス提供者双方に理解を深めてもらうための啓発・教育活動が、今後も重要なようだ。

(*1) SecurIT-Advisory 2001-001
http://securit.etl.go.jp/SecurIT/advisory/cross-site-scripting-1
(*2) IPA セキュア・プログラミング講座 (2002.3.1 掲載)
http://www.ipa.go.jp/security/awareness/vendor/programming

---

【第9位】 5 月　多発！！ 企業の個人情報漏洩事件
　　　　　　　― ちょっとした見直しで防げる個人情報漏洩 ―

　5 月は個人情報漏洩事件が相次いだ。今年発覚した個人情報漏洩事件は 58件、326,901 人分だったが、5 月にその約 30 ％にあたる 17 件 110,681 人分が流出した (*)。

　今年の個人情報漏洩事件の特徴は、Web サーバーのパーミッション設定ミス等によってインターネットから個人情報ファイルが閲覧可能となってしまい、その状態を 2 チャンネル等の掲示板から指摘され発覚したケースが多い。
　Web サーバーの設定ミスによる事件は全体の 62 ％にあたる。
　個人情報を預かる企業が個人情報を格納する場所をきちんと認識して、設定確認しておけば防げたケースが多いと考えられるのである。

　個人情報漏洩はそれを引き起こした企業に対して、イメージダウン等の影響を与えるであろうが、一番の被害者は、実際に個人情報を漏らされてしまった個人である。漏洩した個人情報の行き先と使われ方についてコントロールする術を失ってしまう。

　流出させてしまった企業も対応としては、「お手持ちの該当ファイルを削除していただくようお願いします。」というように相手の善意に訴えるしかないのである。

　結果として、企業の個人情報漏洩が新たな犯罪を引き起こすトリガーとなり得てしまうのである。
そのことを企業及び担当者は意識しなければならない。少なくとも今年のように単純なシステムの設定ミスから個人情報が漏洩するということは防止しなければならない。個人情報はお客様から預かっている資産、守らなければならない資産であるという意識を改めて持ち、対応する必要があると考える。

(*)ネットセキュリティ 'www.netsecurity.ne.jp' 及び毎日インタラクティブインタネット事件取材班 'www.mainichi.co.jp' より集計

---

【第10位】 6 月 18 日　オープンソースの功罪
　　　　　　　― ん？ このセキュリティホールは誰が直すの？ ―

　6 月 18 日、全 Web サーバの 60 ％以上で利用されている「Apache」のセキュリティホールが警告された。
よくある警告であるが、この「Apache」に関する警告は、波紋を呼んだのである。

　なぜ、波紋を呼んだのか？

　民間企業の研究者がこの脆弱性を発見した。コンピュータ・セキュリティに関する情報を調整する第三者団体へ連絡した。本来ならば、この後、この脆弱性を有するプログラムの所有者、責任者へ連絡する。然るべき期間を経た後、公表するという流れになる。ところが、「Apache」はオープンソース方式のコミュニティといわれるプロジェクトで運営されている。この「プロジェクト」には、連絡がないまま、脆弱性を発見した民間企業が公表してしまった。

　さらに問題を複雑にしてしまったのが、同時に対処方法も公表したのだが、これが不十分である、と Apache 開発者が指摘したことにある。これで、泥試合の様相を呈してしまったのである。

　このような事態になってしまった背景には、伏線があった。

　これ以前にも同じオープンソースである Linux上でのセキュリティホールを同じ民間企業が発見したことがある。その時には、オープンソース「コミュニティ」に連絡したのであるが、この「コミュニティ」内に多くの社員を抱えている Linux 販売会社があたかも自ら発見し、修正を加えたとする発表をし、研究成果を横取りするような事件があったのである。この Linux 販売会社の技術担当上級責任者は「Apache」のコミュニティの開発者の一員であった。

　オープンソースは、無料で利用できる上に便利なものが多く、非常に有効なツールとなる。しかし、外部から見たときの責任の所在がわからない。無償なので、責任自体ないのかも知れない。
セキュリティ上で重要な情報が、何ら責任のない「コミュニティ」に流して良いのか？ 今後、セキュリティに関する情報の取り扱いについて、関係する各団体で何らかの合意、調整が必要になってくる。