NPO日本ネットワークセキュリティ協会
HOME JNSAについて 活動内容 イベント・セミナー 会員向け情報 成果物 リンク

セキュリティのプロが選ぶ!
          JNSA 2003 セキュリティ十大ニュース
〜2003年は相次ぐセキュリティ事件の中に変化の兆しを見つけた年〜

≪工学院大学 大木研究室からの転載(NRAメールマガジン抜粋)≫
2003年12月24日
セキュリティ十大ニュース選考委員会委員長 大木 栄二郎

 セキュリティを生業とする編集委員仲間で三度目の年間十大ニュースを検討してみて気がついた。この三年間の十大ニュースの構成だけから見ると、あまり大きな変化は見て取れないかもしれない。今年のトップ2はワーム事件が占めることとなったが、これとて今年を特徴付けるというよりも昨年までの傾向からの大きな変化ではあるまい。  しかし、昨年まで「このままではどうにもならない」閉塞感に満ちていた雰囲気が今年は心なしか少し緩んで、もしかすると将来に明るい展望が開けるかもしれないという、一抹ではあるが明かりが見え始めた年ということができそうだ。

 その意味であえて十大ニュースを分類してみると、これまでの三年間あまり変化がなく相変わらずの事件・事故の類のニュース(★)と、なにかしらの明るさを感じさせる、まだ小さいあるいは予兆に過ぎないかもしれないが大きな変化を期待させるもの(☆)とに二分することができよう。

 ここで取り上げた以外にも、イラク戦争それに続く混沌、日本人外交官の殺害、東京テロ警告に屈せずとの意思表示、自衛隊の派遣決定、さらには韓国地下鉄放火事件、最終段階で信用を失ったH2ロケットの失敗など、さまざまなニュースがあった。
 「安心・安全」がキーワードになるなど「セキュリティ」「リスク」がこれからの社会の中心的な位置を占めることは間違いなかろう。

 情報セキュリティ総合戦略やセキュリティ監査制度などの明るさを感じさせるニュースが、情報セキュリティが社会において果たすべき役割や貢献を明確にし、より明るくしなやかで信頼に足る社会の実現に近づいていくことを望みたい。

<2003セキュリティ十大ニュース>
(★) お先真っ暗  (★☆) 変化の兆しが  (☆) かなり良い傾向

【第1位】 ブラスターウイルス脆弱なPCを攻撃 (★)
〜Windowsの脆弱性 ネットに繋ぐだけで感染〜
【第2位】 わずか376バイトのSlammerにネットワーク混乱 (★)
〜見知らぬ他人のセキュリティ不備でネット大影響〜
【第3位】 経済産業省「情報セキュリティ総合戦略」を発表 (☆)
〜しなやかで高信頼な社会へ・・・舵は切れるか〜
【第4位】 ニューヨーク大停電の教訓 (★)
〜繰り返される社会システムへの警告、危機管理は?〜
【第5位】 住基ネット本格稼動 (☆)
〜ゆれる住基ネットの安全性論議、実験は意味があるのか〜
【第6位】 ネットカフェに盗聴ソフトで1,600万円不正入手 (★)
〜具体的なセキュリティ指標の欠如が事件の背景〜
【第7位】 個人情報保護法の成立、事件は減るか? (★☆)
〜個人情報 漏洩すると 牢へ〜
【第8位】 情報セキュリティ監査制度始まる (☆)
〜情報セキュリティは成熟への道を踏み出せるか〜
【第9位】 ブロードバンドユーザ1,200万加入突破 (★☆)
〜ネット社会は外形から、中身や安全はこれから〜
【第10位】 SARSの脅威、ワクチン開発で収まるか (☆)
〜さぁ、ずーっと流行るのか〜

<2003セキュリティ十大ニュース> 選定委員・解説
編集長・大木栄二郎/秋山みゆき/飯田助尚/大多和篤夫/片山幸久/
 川口哲成/岸田 明/小屋晋吾/小山 覚/斉藤克敏/櫻井弥生/
 杉浦 昌/竹内和弘/竹内秀夫/則包真一/松岡重樹/村岡洋一/星山慶子
【第1位】8月12日 ブラスターウイルス脆弱なPCを攻撃 (★)
        〜Windowsの脆弱性 ネットに繋ぐだけで感染〜
 8月12日に出現した「W32/MSBlaster」は Windows に脆弱性[MS03-026] がある場合に、ネットワークに繋ぐだけで感染することが特徴であり、クライアント系 Windows OS の脆弱性を狙ったネットワークワームとしては初めて流行した。
 また、脆弱性が悪用される際、サービス(RPC)が不安定になり、結果としてシステムがシャットダウンしてしまうということも、一層混乱を招いた。

 ところで、本ワームはポート135 及び 4444 を経由して侵入することから、企業などでファイアウォールを適切に設置している場合はワームが侵入することはないと思われたが、企業でも被害が拡大した。これは、感染したノートPCなどを内部ネットワークに接続したり、想定していない外部との接続ルートが利用されていたりといった、ポリシー違反によっておこったものと考えられる。

 また、対象となった脆弱性[MS03-026] は7月14日に公開されたものである。脆弱性発見からウイルス登場まで短くなる傾向にあるが、約1ヶ月の間に対策を行っていれば本ワームへの対策はできた。

 今後脆弱性を悪用し、一瞬にして感染が広がるこのようなタイプのワームは増加するだろう。また、いわゆるゼロデイアタックといった、全く対処する時間がない攻撃も予想される。これから重要なのは、より強固なセキュリティ対策とポリシーの徹底、また事故時の対応も先に想定しておくことである。


【第2位】1月25日 わずか376バイトのSlammerにネットワーク混乱 (★)
      〜見知らぬ他人のセキュリティ不備でネット大影響〜
 ネット犯罪など過去発生したインシデントの多くは、ホームページの改竄などサーバーやシステムへの侵入が中心だった。しかし、最近はワームによるネットワーク混乱型のインシデントが増加している。

 1月25日土曜日の14時30分頃、突然韓国向けの通信が途絶えた。インターネットの世界では韓国が消失したかに見えた。オペレータの多くは装置の故障を疑い、韓国ではサイバーテロ説まで流れた。しかし、その犯人はわずか 376バイトの Slammer(ワーム・ウィルス) だった。

 Slammer は自分を複製し増殖を繰り返す以外の悪事は働かない。ところが猛烈な感染パケット(最大600Mbps) に多くのネットワークが混乱し、システムはダウンした。まさにトラヒックの暴力である。

 トラヒックの暴力による嵐が吹き荒れると、たとえセキュリティ対策が万全なユーザでもインターネットのサービスが利用できなくなる。インターネットは、見知らぬ他人のセキュリティ対策の不備の影響を受けてしまうことを Slammer は教えた。インターネットが社会基盤として定着した今日では、常に安全で安心して使えるインターネットに進化することが求められている。


【第3位】10月10日 経済産業省「情報セキュリティ総合戦略」を発表 (☆)
       〜しなやかで高信頼な社会へ・・・舵は切れるか〜
 10月10日経済産業省より「情報セキュリティ総合戦略」が発表された。本十大ニュースにもある様に情報セキュリティを取り巻く情勢が日々急速に変化している中、過去の各省庁の対策発表から月日が経過し今日的でなくなって来ており、新たな情報セキュリティ対策策定が求められていた。

 本総合戦略は、1.しなやかな事故前提社会システムの構築、2.高信頼性を強みとするための公的対応の強化、3.内閣機能強化による統一的推進、からなっておりタイミング的、また内容的に的を射たもので、大多数の賛同を得られる戦略である。

 ただ我々として強く期待したいのは、この戦略の具体的推進であり、省庁の壁を超えた協調が必須である。

 具体的には省庁間の意見調整を行う推進連絡会の設立、戦略推進の中心となる内閣の人的強化、また戦略の実現を可能とする予算の裏付け措置が必要であると考える。
また民間にあってはこの戦略を積極的に支持し、主体的行動を開始すべきであり、加えて産官学連絡会議の設立も有効である。


【第4位】 8月14日 ニューヨーク大停電の教訓 (★)
       〜繰り返される社会システムへの警告、危機管理は?〜
 8月14日、ニューヨーク・カナダで実に 29時間もの大停電が発生した。
 今回送電が停止した電力量は約6,000万キロワットで、東京電力の供給量に匹敵するという。最も基本的なインフラである電力供給システムがいとも簡単に崩壊したことに正直驚きを覚えた。

 一方、我が国においては、ガス・石油タンクの爆発事故、タイヤ製造工場の火災事故等が頻発し、製造設備被害及び逸失利益で数百億円規模の被害が頻発した。世界の先端を走る我が国の製造現場でも、十分な危機管理が機能していなかったこともその後明らかにされた。

 今まで比較的危機管理が進んでいると思われていた基本的なインフラにさえ、十分な危機管理のないままトラブルが発生していることは、我々の社会システムへの警告と真摯に受け止めるべきであろう。情報ネットワークも情報社会に欠かすことの出来ないインフラであり、まだまだ危機管理が一般化されていないことを考えると、今後も多くのトラブルが発生することが予想される。

 今年発生した事故を契機に、多くの関係者が、再度自らのリスクを認識し、統合的な危機管理を行うきっかけになることを期待する。


【第5位】 8月25日 住基ネット本格稼動 (☆)
      〜ゆれる住基ネットの安全性論議、実験は意味があるのか〜
 あの Blasterワーム騒ぎも治まらぬ残暑の最中、住基ネットが本格稼動を始めた。住基ネットは、99年8月に改正住民基本台帳法(改正住基法) の成立を経て、国がこれまで地方公共団体独自に整備・運用されてきた従来システムを、全国一律の閉域ネットワーク化し、住民情報を共有する大規模ネットワークとして再構築してきたものだ。

 住基ネットをめぐっては、個人情報保護法の成立や、社会一般的な事件や事故、情報セキュリティに関する運用体制を危惧する話題が後を断たないことから、地方公共団体側と国との間で、接続是非をめぐる議論が今もなお続いている。

 今年9月から11月にかけ、解決の糸口を見出そうと長野県と国(総務省)で、住基ネットに対する安全性検証試験(通称、侵入実験とも呼ばれる)が行われた。
長野県では主にインターネット経由の試験、庁内LAN、住基ネットの入り口を、国側は東京都品川区内で、主に住基ネット入り口、CS(コミュニケーション・サーバ)、CS端末での安全性の検証を行った。
詳細は公表されていないが、国側は「問題ない」、長野県側は「個人情報の改ざんが可能であった」としており、両者の検証結果に大きな食い違いが生じている。

 これまで、安全性と接続是非をめぐり、机上の空論を続けてきたようにも見えるが、「真に国民のための住基ネットを目指す」取組みが、着実に始まることを願うばかりである。


【第6位】 3月6日 ネットカフェに盗聴ソフトで1,600万円不正入手 (★)
      〜具体的なセキュリティ指標の欠如が事件の背景〜
 3月6日、インターネットカフェにキー・ロガーと呼ばれる盗聴ソフトを仕込んで他人の銀行口座の暗証番号を入手し、1,600万円を不正に引き出したとされる犯人が逮捕された。

 手軽さゆえに広く利用されているインターネットカフェだが、不特定多数の人間が1台のパソコンを共用する危険性についてはあまり知られていない。もちろん、カフェの運営者がしかるべき費用と手間をかけてセキュリティ対策を行えば、その危険性を大きく減らすことは可能である。

 しかし、せっかくセキュリティ対策を行ってもそれを一般の利用者に具体性をもってわかりやすく示す指標がないため、セキュリティ対策のための投資に二の足を踏んでいる運営者も多いと聞く。そしてこれは、インターネットカフェに限らず、多くの組織に共通する悩みでもあるようだ。

 現在のところは利用者側でインターネットカフェの危険性を十分に承知した上で利用するしかないが、将来は、具体的なセキュリティレベルを示すわかりやすい指標が作られ、それを参考にして利用者がカフェを選択できるようになることが望まれる。そしてその指標が広く用いられるようになれば、多くの組織にとって、それはセキュリティ投資を行う際の客観的な判断材料となるはずである。


【第7位】5月23日 個人情報保護法の成立、事件は減るか? (★☆)
       〜個人情報 漏洩すると 牢へ〜
 5月23日参議院本会議において個人情報保護法など関連5法が成立した。個人情報の「適正な取り扱い」について、OECD8原則に沿い、電子データにとどまらない個人情報の収集制限、収集目的の明確化、利用や提供の制限、情報の正確性・安全性の確保などを義務づけており、公開、参加を個人の権利として保障する法整備がようやく実現した意義は大きい。

 その一方で、法案成立後も個人情報漏洩事件は後を絶たなかった。某県のWebサイトでは、検索サイトのキャッシュという過去のホームページの内容を保存、表示する機能から、最長 9ヶ月にも渡って個人情報を流出させてしまった。また、何十万人もの会員情報を流出させてしまったコンビニエンスストア大手の事件では、流出原因・経路を特定できないまま、不審なダイレクトメールの送付だけでなく、架空請求などの被害が発生してしまった。

 個人情報保護法の公布・一部施行により、情報セキュリティに対するポリシーを制定する意識は確実に高まっているが、策定するだけでなく、いかに適切に実行していくかに今後は焦点をあてて欲しい。
個人情報漏洩事件は、セキュリティーポリシーの策定だけでは防ぐことはできず、個人情報を取り扱う組織内での管理・運用を徹底すること以外に防ぐ近道はない。


【第8位】 4月1日 情報セキュリティ監査制度始まる (☆)
      〜情報セキュリティは成熟への道を踏み出せるか〜

 2003年4月1日、経済産業省による「情報セキュリティ監査制度」が施行された。これは、独立かつ専門的知識を有する専門家に、自らの情報セキュリティ対策の有効性の評価を受ける監査制度を情報セキュリティの分野にも適用することによって情報セキュリティの公正性かつ公平性を公に示すことを目的としている。
 また、この制度をこの制度を着実に浸透させていく為の運営体として、「特定非営利活動法人日本セキュリティ監査協会(JASA)」が設立された。

 これまでもISMS適合性評価制度によって我が国の行政団体、企業における情報セキュリティの認識と実践が加速されたが、今回の監査制度により監査人による「第三者による客観的な評価」が得られるようになる。

 この情報セキュリティ監査とシステム監査の大きな違いは、システム監査の監査対象が「情報システム」にあるのに対し、情報セキュリティ監査の対象はより範囲の広い「情報資産」にある。「情報資産」に対するセキュリティ確保状況が管理基準にどれだけ適合しているかが監査基準となる。

 今後、企業間のセキュリティ相互認証や消費者に対する信頼度向上を目的としたこの監査制度の利用が考えられるが、監査を受ける側としては地道なセキュリティ活動を続けること、監査する側としては監査方法のさらなる精度アップの両方が求められると考える。



【第9位】 10月末日 ブロードバンドユーザ1,200万加入突破 (★☆)
       〜ネット社会は外形から、中身や安全はこれから〜
 国内におけるインターネットのブロードバンドサービス(DSL,FTTH,CATV) の利用者数は、本年5月に 1,000万を、9月末には 1,200万加入を越えた[※]。

 セキュリティの観点から DSL,FTTH,CATV といった接続形態の普及が社会に与えるインパクトは、アクセス回線の高速化以上に、接続形態が本質的に変わったことだろう。つまり、常時接続(定額接続) の普及により、一般家庭ユーザの端末がインターネットに接続している時間は、ダイヤルアップ接続に比べてはるかに長くなった。その結果、情報セキュリティ意識が必ずしも高くないユーザの機器が、大量にインターネットに接続されつづけ危機にもさらされることになる。

 今後、Blaster のようなネットワークに接続するだけで感染するワームが、あっという間に感染拡大しインターネットそのものを麻痺させる、といった危険性は益々増大してくる。情報セキュリティの啓発がますます重要となることはいうまでもないが、一般家庭ユーザまで対象としたセキュリティ啓発には限度があろう。

 知識をもっていない人でも、簡単に・安全に・安心してインターネットを利用できる社会の実現がますます急務になってきた。そのためには、OS を提供するソフトベンダ、機器を提供するハードベンダ、ネットワークサービスを提供する ISP、それぞれが情報セキュリティで果たす役割はますます重要になる。

※総務省の発表 http://www.soumu.go.jp/s-news/2003/031128_2.html


【第10位】 12月5日 SARSの脅威、ワクチン開発で収まるか (☆)
       〜さぁ、ずーっと流行るのか〜
 12月5日、共同通信によれば、新型肺炎(SARS)に対するワクチン開発にようやくめどがつきそうな様子である。SARS の脅威は、感染する原因がわからなかったこと、人命が危機にさらされること、それほどの危険があるため感染が確認されると、感染者が所属し、従事している事業所までも閉鎖されてしまうということであろう。「感染」というものの恐ろしさがここにある。閉鎖された事業所は、「法人」としての命を絶たれることもありうる。

 我々情報セキュリティに携わるものとしては、つい、コンピュータウイルスやワームと重ねあわせて考えてしまう。即座に人命に関わるようなことが少ないということが救いであるが、昨今のワームを考えると、ネットワークの利用ができなくなり、事業の継続性を損なう可能性は同じである。

 また、目に見えないという点でも共通しているが、ワームに関しては、対処方法も確立されだしてきており、重要な脆弱性についての情報共有や攻撃コードの有無、ワーム化の情報なども集められだしてきている。このような動きは、予防の重要性が身にしみてわかってきたことの現われではある。
SARS に関しては、台所用洗剤が効くというニュースも耳にしたが、真偽は定かでは無い。

 発症から半年経っても対処方法が確立されない SARS と違い、ワームやウイルスは予防や対処が可能であり、対処することにより、確実に被害を抑えることができる。
◆本内容は、必ずしもNPO日本ネットワークセキュリティ協会(JNSA)の見解を示すものではありません。