• 2012年
• 2011年
• 2010年
• 2009年
• 2008年
• 2007年
• 2006年
• 2005年
• 2003年
• 2002年
• 2001年

　2004年は、情報セキュリティに警鐘を鳴らす時代からその出来具合で淘汰される時代への大きな転換期であったに違いない。
　大規模な個人情報漏洩事件が次々に発覚し、多くの市民が企業等に預けた自己の個人情報の安全性に疑心暗鬼になった。これらの事件を他山の石としてセキュリティの取り組みを強化する企業もあれば、漏洩事件を経験した企業の中にも、これに懲りて本格的な情報セキュリティのマネジメントの確立に乗り出し、一定の成果を上げるところも出てきた。一方で、個人情報保護法の施行を間近にひかえて、省庁からのガイドラインも続々出始め企業の本格的な対応が急ピッチで進みつつある。

　しかし、仔細にそのような企業の取り組みを眺めると、手放しで喜ぶだけでは足りない。もちろん本格的な取り組みが功を奏して成果を挙げるところもあるが、表面的な対策で取り繕うところや、本質を取り違えて労力をかけてはいるが逆効果に陥りかねないところも見受けられる。中には、表面化した課題の対症療法にとらわれるあまりに、本来業務の意味や社員の会社生活の一部を犠牲にするものまで聞こえてくる。
　このような取り組みの本質的な違いが、少しづつ表に見え始めてきた。結果として本格的な対策の出来ている企業とそうでない企業の二極化が始まっている。そんな色模様がはっきりしてきた一年ではなかったろうか。

　同時に、ITの利活用やセキュリティ対策が進むにつれて別の種類の課題がクローズアップされてきた側面も見逃せない。それは脆弱性情報の取扱いに代表される公開か非公開かの議論であり、セキュリティとプライバシーのジレンマの問題でもある。今後、各界の英知を傾けて取り組まねばならない課題であろう。

　来年から淘汰が本格的になるのであるとすれば、本質的な情報セキュリティ対策をまじめにやった企業団体が生き残り、そうでないところが淘汰されるようなまっとうな時代が到来することを切に望みたい。
　このような時代を作るのは、もちろん政府の政策もあるであろうが、そこに生活する市民の支持があり、企業団体の努力があってはじめて実現できることである。
　そう考えると、本メルマガのタイトルとして設定した「警鐘」「啓発」「契機」も、三年を過ぎてそろそろ看板のかけなおしを考えなくてはならなくなったようである。

 

　今年の十大ニュースは、選定したセキュリティ事象を六つのトピックスにまとめて解説する。
各トピックスに対応する順位は【　】で示した

＜TOPICS 1＞ 個人情報漏洩対策の特効薬は何？　【第１位】【第３位】

　2月に起きたインターネットプロバイダの451万人の個人情報漏洩を筆頭として、本年は個人情報の漏洩事件が毎週の様に報道された。通販会社、石油会社、クレジットカード会社、鉄道、製造業、病院、警察、学校とあらゆる業種に亘っている。その様な中2005年には個人情報保護法全面施行が予定され、各企業組織はその準備に追われている。個人情報保護に関するアカウンタビリティの一つとしてＰマーク取得は活況を呈し、12月の認定料金の値上げも相まって、Ｐマーク取得申請が殺到し11月22日には新規認定累計が1,000社を超えるに至った。またＰマークと対比して語られる情報セキュリティマネジメントシステム（ISMS）の認証数も急速に伸び12月には561事業者と、世界一のISMS大国である。

　この様に個人情報漏洩事件多発から、対策推進を後押しする保護法の施行、アカウンタビリティとしてのＰマーク／ISMS取得と一連のサイクルが回り、正に歓迎すべき事象である。しかしこれは手放しで喜んでもいられないのが現状である。それは認定／認証取得事業者で漏洩事件が起きている事に典型的に現れている。認定／認証取得が目的であってはならない。それよりも重要なのは各組織においてセキュリティ対策のＰＤＣＡサイクルをしっかり回す事であって、認定／認証は結果である。しかしそれでも個人情報漏洩を完全に防ぐ事は出来ず、これがセキュリティの難しい所である。

---

＜TOPICS 2＞セキュリティ強化に潜む罠　【第５位】

　最近セキュリティ対策強化に関する記事や読み物をよく目にするようになったが、その中で、何点か気になることがある。
ISMS等の認証取得が増えてきているのは非常に良いことでセキュリティ対策に対する意識向上をうれしく思いつつも、コンピュータシステム、ネットワークの脆弱性の調査を行いリスクの把握、分析がなされるような動きもついてきているのだろうか。確かに、このような動きも増えてきているように感じるのだが、現存するシステムに関してのみではなく、新規に導入するシステムにセキュリティターゲットを定めるなどのセキュリティ要件が検収条件に盛り込まれるなど、根本的な対策が進められているのだろうか、などと考えてしまう。

　個々の対策が、経営方針やビジネス戦略に則ったポリシーの上でなされていれば良いが、ともすれば、何か問題があったところに対する対症療法的な、本質的な対応ではなく、わかりやすいという理由のみで安易な対策が好まれる傾向を感じずにはいられない。

　PCの持ち出し禁止を打ち出している企業もあるが、利便性を犠牲にして、厳しい制限をかける事が真に正しい対策なのであろうか？ある企業、あるシステムではその対策が正しい場合もあるだろうが、そうでない場合の方が多いと思われる。

　コンピュータ、セキュリティに対するリテラシーが低い経営者がある日突然、セキュリティ対策に目覚め、これまた名前だけのセキュリティコンサルタントの言いなりに、むやみやたらに厳しい制限をかける。

　守るべきもの、利便性、リスク、実効性、投資などの要素をバランスよく保つことが重要で、それらを忘れたセキュリティ対策はくさいものに蓋をすることに他ならない。

---

＜TOPICS 3＞ウイルス作成者の変化　　【第２位】【第９位】

　読者の皆さんは“ピンポンダッシュ”といういたずらをご存知であろうか？他人或いは知人の玄関のチャイムを鳴らし、出てきて怪訝な顔をする住人を見て喜ぶと言うたわいもないが迷惑ないたずらである。今までのウイルスはこの“ピンポンダッシュ”に似ている。愉快犯的な意図であちこちのメールアドレスやIPアドレスにウイルスを投げつけ、感染者やその感染に沸く社会を見て楽しみ、仲間内で自慢しあうものだった。今のウイルスは違う。“ピンポン！”とチャイムがなり、出るとそこにはあなたが預金している銀行の営業マンにそっくりな人物が居てあなたにこう言う。「あなたの預金が盗まれそうです、今すぐ私にキャッシュカードと暗証番号を教えてください。それらを変更してあげますから。」
　かくしてあなたはその財産を失う脅威に遭遇する。

　時代は変化した。インターネットの向こう側の誰かはあなたの財産を狙っている。
一般的にPhishing（フィッシング）詐欺といわれるオンライン詐欺は海外のみならず日本でも被害が出始めている。さまざまな手口であなたの財産を盗もうとするそれにコンピュータウイルスが使われているケースもある。セキュリティはムービングターゲットである。常にキャッチアップしていかねば安全とはいえない。

※2004年度ウイルス感染被害年間レポート
http://www.trendmicro.com/jp/security/report/report/archive/2004/mvr2004-12s.htm
(Trend Micro 2004-12-21)

---

＜TOPICS 4＞情報家電のセキュリティ対策に注目が集まる　　　【第４位】

　10月4日 株式会社東芝は、同社製 HDD＆DVDレコーダのスパムメールの踏み台にされる危険性を告知。セキュリティ設定を徹底するよう呼びかけた。
http://www.rd-style.com/support/info/security/security.htm
　この事案が契機となり急速に家電のセキュリティ対策に関する議論が耳目を集めるようになった。PCの家電化という言葉も耳にする昨今である。PCと情報家電の違いとセキュリティ対策を考えてみたい。

　PCと比較して家電は利用できる機能が限定的である。言い方を変えれば「ユーザが利用方法を考える」ものがPC、「メーカが利用方法を提案する」ものを情報家電と言うことができる。家電はメーカが動作保証をしている反面、PCのようにユーザ任意で機能拡張を行うことが出来ない。PCと比較しても動作不良に遭遇する頻度も低いため、PCのセキュリティ対策を心がけるユーザも情報家電のセキュリティ対策はおろそかになりがちだ。

　情報家電には、HDD＆DVDレコーダなどPCから派生した「PC家電」と、従来の家電にIPネットワーク機能を付加した「ネット家電」、そしてカメラ付き携帯電話などに分けられる。特に「PC家電」はLinux等をOSに使いCPUやHDD・DVDにイーサーネットなど、まるでPCそのものであり、PC同様のセキュリティ対策が求められる。

　しかし、PCのセキュリティ対策に関してもユーザのリテラシー不足など課題山積の状況下で、PCと同様の対策を家電に推奨しても良い結果が得られるとは考えにくい。やはり情報家電のセキュリティ対策は、家電メーカの実態や業界の慣習やユーザの認識などを考慮した取り組みが重要である。構造がPCと類似しているからPCと同じセキュリティ対策を家電業界に要請するのは無茶ではないだろうか。

　むしろ家電業界には世界一の製品品質を誇った「モノづくり」に対するノウハウがある。低コスト化と高品質を両立し、PL法（製造物責任法）にも対応しながら、ユーザに「夢」と「価値」を提供しつづけた家電業界は、情報セキュリティ対策に関しても世界一になる可能性を秘めているのではないだろうか。
　PCなどIT業界が参考とすべきセキュリティ品質を情報家電は実現していただきたいものである。今後の家電業界の取り組みにエールを送りたい。

---

＜TOPICS 5＞情報セキュリティ対策の新たな光となるか　　【第７位】【第８位】

　5月に「地方公共団体セキュリティ対策支援フォーラム」（http://lg-sec.jp/）が設立された。有識者、民間企業、関連団体、地方公共団体などが構成メンバーで官民及び地方公共団体同士の連携が強化されており、地方公共団体が抱える数多くの課題への対応方策が研究され、相談や助言などの具体的な支援とバックアップがこれから行われることになる。フォーラムには６つの部会が設置されており、個人情報保護宣言の作成、内部アセスメントのあり方や情報セキュリティレベル認定制度の検討、人事（資格）制度と研修の連携の検討、セキュリティ・個人情報保護にかかわるガイドブックの作成、小規模団体のインシデント対応のSLAにまとめや遠隔レスキュー、セキュリティ基盤技術の整理などが先ずは行われるようだ。

　政府においては、政府全体として情報セキュリティ対策の統一的・横断的な総合調整機能を強化するための体制整備が進められている。その主な内容は、「国家情報セキュリティセンター（仮称）」※を設置し、各府省庁に対して脆弱性情報等の警戒情報を早期に提供するための起点として、被害情報等の分析を行い、対処方法を提供するというものである。
※首相官邸ホームページ（IT戦略本部）
http://www.kantei.go.jp/jp/singi/it2/kettei/041207minaosi.html

　いずれも早期の対応が望まれる事項ではあるが、段階的でも着実に歩を進めてほしいものだ。これらの取り組みから、電子政府・電子自治体がより安全で有益に機能することを期待したい。

---

＜TOPICS 6＞情報の公開と非公開のバランス　　　【第６位】【第10位】

　5月、京都府警はファイル交換ソフト Winny を開発した上、不特定多数の相手に対して無料でそれを公開していた国立大学の職員を著作権法違反で逮捕した。Winny はコンピュータ同士を直接接続してファイル交換を行ういわゆるP2P(Peer to Peer)ソフトの一種である。特定のセンターサーバを必要とせず、インターネットに接続された個々のコンピュータが暗号で通信を行う上、個々のコンピュータが通信を中継する機能があるため、極めて高い匿名性を持つという特色がある。その高度な機能とあいまって P2P利用の新しい可能性を開くソフトとして注目を集めた一方、違法に著作物の複製が可能となってしまうため、大きな問題となった。
　今回の逮捕は、著作権違反に対する当然の処置であり安易に著作物を複写しがちな風潮への警鐘であると快哉を叫ぶ意見がある一方、一部には3月に京都府警の捜査データが本ソフトによってインターネット上に公開されたことへの報復措置あるいは見せしめとする穿った見方もある。いずれにせよ、IT時代の著作権のあり方とその技術を開発する者の責任の問題、インターネットにおける匿名性と追跡性の問題、そして、大きな可能性を秘めている P2Pソフトの今後のあり方について、さまざまな議論を巻き起こした重大な事件となった。

　Winny の場合、通信が匿名で行われる点に大きな特徴があり、問題が生じたわけであるが、今年は、情報の公開と非公開の折り合いをどのようにつけるか、また、公開するにはどのような形で行うべきかが問われた年でもあった。

　11月、都内で開催されたセキュリティ関係のカンファレンスにおいて、長野県が昨年実施した住基ネット（住民基本台帳ネットワーク）の侵入実験を担当した米国人技術者の発表が中止となった。
　事前に発表資料を見た総務省側が、住基ネットと庁内LAN とが混同されている事、脆弱性が具体的に示されている事を理由に主催者側に修正を求めたものの調整がつかなかったためとも言われているが、現在、米国人技術者側から表現の自由の侵害に基づく損害賠償請求が出されており、事態は混迷を深めている。
　侵入実験を実施するにあたっての契約や講演の内容、双方の言い分や協議の詳細な内容が公表されていないため、その真の原因は不明だが、脆弱性の指摘とその公表の問題、調査を担当する技術者の契約上の守秘義務と倫理の問題、担当者の資格や資質の問題等、セキュリティ検査、セキュリティ監査の難しさがあらためて浮き彫りとなった出来事であった。