• 2012年
• 2011年
• 2010年
• 2008年
• 2007年
• 2006年
• 2005年
• 2004年
• 2003年
• 2002年
• 2001年

　2009年、どうも明るい話題で書き始められない年であった。リーマンショックに始まった金融不況から脱しきれない中で、日本人は変化を求めて政権交代を選択した年である。その新政権が従来の政権とは違うとばかりに政治主導を旗印に矢継ぎ早に変化を演出している。
　しかしながら、その変化の先に何があるのか、何を目指そうとしているのかは、残念ながら見通せないままに時間が過ぎ去っていく。日本のIT政策はどうなっていくのか、情報セキュリティの取り組みに政府はどうかかわっていこうとしているのか、それはこれからの日本の社会にどのような効果を及ぼすのか、新政権からはこのような方針が一向に見えてこない。

　米欧からは、クラウド・コンピューティングがこれからの世の中を大きく変えるという変革のメッセージが津波のように押し寄せてくるが、国内は不況のトンネルの切れ目から差し込むささやかな光も、もやっとした雲の向こうにちらりと見えたかと思うと、またトンネルに突っ込んでいく印象がぬぐえない。

　この一年は、残念ながらこのような暗い年であったとしか言えない。しかし、より長いタイムスパンで考えると、情報社会が本格化する過程の一年であったと後年言われるに違いないことは確信できる。
　 地球温暖化は、間違いなく工業社会の落とし子である。この地球規模の危機を救うのはもはや工業技術には頼れない。これからの情報技術を以ってしか、この問題の本質的な解決は難しかろう。そのような視点で今年を見る余裕を持てば、2009年もまた一つの通過点であったと振り返ることができよう。

　来年も、すぐには明るい話題には恵まれないかもしれないが、人類社会の大きな転換期にあり、その転換を象徴する情報セキュリティの世界に身を置くものとして、現実に真摯に向き合いながら、明るく輝く日々に向けた着実な一歩一歩を記していきたいものである。

【第１位】 3月29日 クラウド台頭、セキュリティは雲の中
　　　　　　　〜所有から利用へのシフトに伴うリスク〜

　3月29日、IBM,サン・マイクロシステムズ,Cisco,SAP,EMC,AT&T,Novell,OMG,Red Hat,VMwareなどがOpen Cloud Manifestoを発表した。このクラウド・コンピューティングは、昨今の経済不況の中で低コストで活用できる新たなIT資源として脚光を浴びている。しかしながら、定義に関しては、今はまだ正に雲のような状態であるが、はっきりしているのはIT資源の「所有」から「利用」へのシフトである。

　このようにIT資源を所有しない形態における考慮点、懸念点はいろいろ提起されているが、必ず入ってくるのはセキュリティへの懸念ではないだろうか。例えば、仮想化に伴う新たなセキュリティ対策とか運用管理面での複雑化、業務の通信依存度の増大とBCP、サイバーテロの攻撃目標化への憂慮、ベンダーそのものの事業継続性と預けているデータの保全性、情報の所在地の不透明化に伴う機密性への危惧、そもそも自社の重要情報を社外に出すという不安や心配等々、システム的にも運用管理的にも、あるいは心理的にも、様々な懸念点を抱えているのが現状である。

　この「利用」する、言い換えれば「借用」するIT資源に情報セキュリティの3要素、すなわち機密性、完全性、可用性をどこまで依存できるかというのは、これからのベンダーのサービス内容に関わるものであるのと同時に、ユーザー側のリスクの考え方、対応によって大きく変わってくるものでもある。

　いずれにしろ、ユーザーは、今現在自社で所有しているシステム、情報の価値を保全と活用の両面から改めて評価する必要があるのではないだろうか。

【第２位】 5月20日　長引く不況でセキュリティ投資低迷
　　　　　　　〜裏ビジネスは好況になる？〜

　5月20日、内閣府が発表した発表した2009年1-3月期の実質国内総生産（GDP）は、年率ベースで15.2％減となり、戦後最大の減少率を記録した。昨年9月のリーマンショック以降続くこの不況は100年に一度の不況とも言われ、特に日本は、円高の影響もあり、輸出関連企業が軒並み業績を悪化させている。
　そして、企業はリストラや派遣切りを行った。
　少し前には、不況になると3K（交通費、交際費、教育費）からカットされるといわれていた。今、セキュリティ対策がそれら3Kと比較して重要視されているとは、とても思えない。職を失った人たちが、生活の糧を得るために、参入障壁が低いと言われるネットワーク関連の裏ビジネスに手を染める機会も増えてくるのではないかと危惧される。
　「人」にお金を使えないのに、守るだけで何も価値を産まないと思われがちなセキュリティ対策の扱いはどうなるのであろうか？このこともまた、結果として裏ビジネスを利することになるのではないかと懸念される。
個人の立場からみると職探しのための情報を検索、あるいは、残業が減り、時間に余裕が出てくるため、インターネットを利用する。ついつい興味のある話題に釣られ、また、「ウイルスに感染している」というウソの警告に脅され、ネット犯罪の餌食になってしまう。
　節約のために、アンチウイルスを入れない、更新しないという人もいるだろうが、後で後悔しないためにも必要な事はしっかりやるべきである。

また、企業の立場でも、お金をかけずにできる対策もあるはずだ。例えば、運用ルールを見直すとか、また、ルールに沿った運用が本当になされているかなど、この状況を悲観的に見るだけでなく、今一度、再考する契機と捉えてみてはいかがだろうか？

【第３位】10月8日　台風18号、通勤客をもてあそぶ
　　　　　　　〜安全基準の差がもたらした混乱？〜

　10月8日、大型の台風18号が本州を縦断した。首都圏を直撃したわけではないが、8日の午前中、JR東日本（以下、JR東と呼ぶ）の首都圏在来線がほぼ全て運休し全線復旧まで約5時間を要し、通勤客約296万人に多大な影響を及ぼした。物理的に線路や車両に被害が発生したわけではなく、風速がJR東で規定している基準値を超えたために運転を見合わせたことが原因である。一方、首都圏の私鉄は1時間半程度で運転見合わせが解除されていた。私鉄の中には、風速はその会社が規定する基準値には達していなかったが、運休したJR東からの振り替え輸送客による混雑が原因で運転を見合わせたところもあったようである。JR東は、突風により電車が脱線・横転し乗客が死亡した平成5年の事故の経験から、安全面を重視し風速の基準値をより厳しく設定したとのことである。
今回の混乱の原因は、もちろん、台風18号による強風であるが、このような大きな影響が発生した要因として次の3点が考えられるのではないだろうか。
（１）線路は物理的につながっていなくとも、乗客の振り替え輸送という、異常時に発生する関係性があった。
（２）事故未然防止のための運転見合わせ、つまり、サービス停止及び再開の判断基準は、当然、各社ごとのリスク判断により決定されてしかるべきものではあるが、各社での基準値が異なっていたことより、乗客の流れがアンバランスになった。
（３）サービス向上のために実施している相互乗り入れという、複数会社間での物理的な関係性が存在する区間もあった。

　今回は鉄道という物理的な世界での事象であったが、近年、脚光を浴びているクラウド・コンピューティングでの雲の中の論理的な世界でも、互いに連携して処理を提供するサービス提供事業者間での、サービス停止や再開のための判断基準の違いや、異常事態発生時に発生し得る関係性などの影響も考慮することも必要なのではないだろうか。鉄道ネットワークの混乱に、コンピュータセキュリティの世界でも参考とすべき論点があるように思われる。

【第４位】 10月8日　Winny開発者に高裁で逆転無罪判決
　　　　　　　〜無罪判決に様々な見方広がる〜

　ファイル共有ソフト「Winny」を開発した金子勇氏(元・東京大学大学院情報理工学系研究科助手)が一審判決で著作権法違反幇助罪に問われ控訴していた裁判で大阪高裁は一審を破棄し無罪を言い渡した。

そもそもWinnyの何が悪いのか。

　著作権侵害を手助けするソフトウェアと見られがちだが使用者の意図によって変わってくる。使用者が著作権侵害にあたるコンテンツをファイル共有ソフトでインターネット上に流せば法的罰則が課せられて当然。一審では、この点で幇助にあたるとして有罪になった。二審では、「著作権侵害の用途のみで提供したとは認められない」との事で無罪となった。著作権侵害のみに限定しなくてもどのように使われるかはWinnyを考案した時点で容易に考えられ、開発技術者の立場において道義的責任は重いのではないか。

　但し、技術面からみると暗号化や匿名性をもってファイル交換を実現しており仕組みは優れている。このような問題によって国内の技術開発の芽を損なってはならないし、もっと世の中に出てこなくてはならない。

　また、ファイル共有ソフトで交換されるコンテンツには非常に多くのウィルスが侵入しており、Winny使用者からの情報漏洩が後を絶たない。同じファイル交換ソフトのShareを使って著作権法違反容疑で11人が一斉摘発されたニュースは記憶に新しい。「自分は大丈夫」との自負からなのか「見つからないから大丈夫」と思っているのか、いまだ多くの使用者がいる。著作権法が不備と考えるなら正当な手順で法律を変えていくべきであり、主張していくべきであろう。

　平成22年1月施行の改正著作権法では違法ファイルのダウンロードが禁止される。

【第５位】 3月30日　パンデミックが明らかにしたBCPの不備
　　　　　　　〜新型インフルエンザで見直しへ〜

新型インフルエンザは、本年3月30日米国サンディエゴの少年が豚インフルエンザに感染と断定されて以来、4月27日WHOによる警戒水準のフェーズ3からフェーズ4への引き上げ、4月28日日本政府による「新型インフルエンザ対策本部」の設置、4月29日WHOの警戒フェーズ5への引き上げ、5月8日日本人の感染者の判明、6月12日WHOによる警戒フェーズ6への引き上げ、そして12月現在の国内推定感染者数1546万人（厚生労働省12月18日発表、「インフルエンザ定点報告」）と爆発的に広がった。

　世界は「強毒性」の鳥インフルエンザの発生に備えパンデミック対策を敷いて来たが、今回の「弱毒性」の豚インフルエンザは、大悲劇を前に神の与えた千載一遇の「パンデミックの予行演習」のチャンスであり、我々は人知を尽くして多くの事を学ばなければならない。

先ずは、水際対策を柱とした国内発生状況と国外発生状況に分けた対策の有効期間の短さが挙げられる。更に医学的根拠のない「収束宣言」、ニュース性が乏しくなった段階でのマスコミの無報道など、先の「新型インフルエンザ対策行動計画」では重要視されていない「社会心理学的側面」からの見直しが必要と思われる。
　特に政府は正確な情報を常時迅速に提供する必要があり、現行の報道発表だけではなく、例えば「新型インフルエンザWebサイト」等の開設の検討を望みたい。また企業・組織・個人にあっても、最終的に「経済活動を優先せざるを得ない」現実を踏まえた、「新型インフルエンザ対策」の見直しが必要であろう。

【第６位】 10月23日　IPv4アドレス枯渇、いよいよカウントダウンか！？
　　　　　　　〜IPv6で割り振り　Worry-free〜

　インターネットを利用するために欠かせない存在であるIPv4アドレスだが、早ければ2011年から2012年にかけて在庫が枯渇すると言われている。

ところが10月、世界的にIPアドレスの管理を行っている組織であるICANNの事務総長Rod Beckstorm氏が「IPv4アドレスの新規割り振りは2010年10月に終了する」との発言を行ったと報道された。2010年10月は発言時点からちょうど一年後であり、従来の予測よりもはるかに早く枯渇することになる。後日この発言は訂正されたが、それでもIPv4アドレスの割り振りが困難になりつつある状況に変わりは無く、迅速に何らかの対策を打つことが必要である。

　現在有効な対策として、分配済みIPv4アドレスの効率的な活用、NAT技術の利用、IPv6の導入等が検討、実施されている。しかしながら、分配済みアドレスの活用については延命できる期間は高々数ヶ月と言われており、NAT技術については多段NATによる通信への影響が懸念され、IPv6についてはIPv4で行っていた運用管理がまったく同じように行えるのかどうか、セキュリティ装置の全機能が今までどおりに動作するのかといった不安がつきまとい、すべてを満たす決定的な対策とは成り得ていないのが現状である。

　いずれにせよ、利用者が爆発的に増え続ける以上何らかの対応は必要となる。今後もIPアドレス割り当ての動向には注視すべきであろう。

【第７位】 9月11日　政権交代で後退する？セキュリティ政策
　　　　　　　〜情報セキュリティをどう仕分けるのか〜

　残念ながら「新政権＋セキュリティ」と検索してヒットするのは米国の記事ばかりである。内閣官房情報セキュリティセンターの「What's New」は9月11日を最後に３ヶ月以上も更新されていない。政権交代の混乱期にあることを差し引いても寂しいものがある。民主党のマニュフェストの中にも「情報セキュリティ」という言葉は見当たらず、まるで情報セキュリティ政策そのものが事業仕分けの対象になったような印象を受ける。

　ICT が社会基盤として必要不可欠になったいま、情報漏えいインシデントの発生など情報セキュリティ対策の不備が法人の信用を失墜させ、国民生活にも影響を及ぼすようになっている。しかし、情報セキュリティ対策は直接的な利益に繋がりにくいため、政府や業界団体が作成するガイドラインが民間の情報セキュリティ対策の推進に大きな役割を果たしてきた。

　米国ではサイバースペースの安全保障政策の強化が報じられているが、ひとつに繋がったインターネットの世界では、他国に遅れをとることが致命的なリスクとなりかねない。我が国の競争力強化の為にも情報セキュリティ政策の充実を期待したい。

【第８位】 7月23日 アリコジャパン、犯人特定に苦戦
　　　　　　　〜今年も起きた情報漏えい〜

　今年も数多くの個人情報流失事件があったが、その中でも、最も世間を騒がせたのはアリコジャパン(以下アリコ社)のカード情報報流失事件だろう。

　7月23日、アリコ社から顧客のクレジットカードカード番号が 社外に流出している可能性があると発表があった。流出件数は9月に18,184件と発表された後、11月にはさらに14,175件が追加され、計32,359件のカード情報が流出したとの公表にいたる。本件では、カード会社からの不正利用の照会が6,537件(12月17日現在) にのぼり、実際にカードの不正利用が行われる深刻な事態となった。犯人はいまだ特定されるにいたってはいない。

　流出元は、アリコ社がシステムの開発・管理を委託した中国企業で(内部犯行)、情報保存先の米国のホストコンピューターに中国から直接接続してデータを抜きとった可能性が高いとのこと。被害者は国内の人達であるにもかかわらず、日本を経由せずに不正行為が行われたことが、日本国内での捜査の困難性を高めていることも、注目すべき点である。

　近年システムコスト抑制のため、外国の企業への開発や業務の委託(いわゆるオフショア開発)や、外国に設置されたホストの利用も多く行われている。その結果、国内のユーザの情報が日本をまったく経由せずに国をまたがって流出する。大量のカード情報の流出とその結果の不正利用は大きな問題であることはいうまでもない。本件は、情報のデジタル化により必然的にグローバル化していく情報化社会、その発達に伴い生じる問題の、新たな一面を呈示したといえるのではないだろうか。

【第９位】 7月29日　P2Pによる意図的な情報流出でついに逮捕者
　　　　　　　〜しかし個人情報の再放流行為自体は取り締まれない？〜

　7月29日、警視庁は、P2Pファイル交換ソフトを介して取得した情報をさらに広く流布させる行為、いわゆる「再放流」行為を行った、八王子市の無職の男(50歳)を逮捕した。"winny（「ウィニー」）"のネットワーク上に流出した神奈川県立高校生徒の個人情報を、別のP2Pファイル交換ソフト"Share（「シャレ(仮称)」）"のネットワークに意図的にアップロードした疑いがもたれている。
　最初の流出を引き起こした神奈川県教育委員会から業務を受託した企業が再放流者に関する情報の開示をプロバイダに対して要求したものの、それが認められなかったため、東京地裁への申立てを行った結果である。

　しかし、逮捕の理由は個人情報の再放流行為そのものではなく、著作権法違反となっている。再放流したデータの中に漏えい元の企業が作成したファイルが含まれており、それを許可無く流布したという理由である。現在の日本では個人情報の再放流行為自体を規制する法律が無いため、苦肉の策とも言える。
　もとよりネットワーク上においても通信者の個人情報は、秘密にされ保護されるべきではあるが、たとえいったん流出してしまった個人情報ではあっても、通信者の意図的な拡散を図るような行為までもが保護されるのは、社会的に問題がある。意図的な個人情報の拡散行為を禁止する、法的な枠組みが、今求められているのではないだろうか。

【第10位】 5月19日　Gumblerウイルスによる改ざん被害
　　　　　　　〜もっと対策をガンブラーないと！〜

　5月19日　JPCERT/CCはTroj/JSRedir-R　他に「Gumbler・GENO」と呼ばれる不正プログラムに対する注意喚起を行った。この不正プログラムは正規WEBサイトを改ざんし、アクセスしたユーザーを不正WEBサイトに誘導する。さらに誘導されたユーザーのPCにAdobe社製品の脆弱性が存在すると別のウイルスを送り込みFTPアカウント情報を盗み出す。日本でも多くの正規WEBサイトが改ざんされ、多くのユーザーのPCが感染した。

　この不正プログラムの特徴は、いくつかの攻撃手法を組み合わせていることだ。それぞれの攻撃手法は過去にも存在しているが、それらを組み合わせた点で攻撃力を高めている。この背景には皮肉にもセキュリティ耐性の向上があるのではないかと見る。OSはバージョンアップ毎に不正プログラムの攻撃への抵抗力を増し、アンチウイルスソフトの使用率も向上した。ユーザーの全体的な対策レベルは向上しているのだ。よって不正プログラムも単発の攻撃では意図する結果を得られなくなり攻撃を組み合わせるようになった。
　つまり全方位攻撃に変化しつつあるのだ。守る側も全方位の対策が出来ていないと感染の憂き目に合う。OS、アプリケーション、セキュリティソフト、そしてソーシャルエンジニアリング対策、これらすべてを気に掛ける必要がある。弱い者を狙うのは攻撃の常。自身の対策が世間の対策レベルに比べてアベレージ以上に保てるよう、常に己を磨く必要があるのではないだろうか。12月現在、未だGumblerの感染報告は絶えない。戦いは今も続いているのである。

セキュリティ十大ニュースは、2001年から毎年ネットワークリスクマネジメント協会（NRA）から発表してきましたが、この度、NRAの解散に伴い日本ネットワークセキュリティ協会（JNSA）が引き継ぐことになりました。このすばらしい活動を長年にわたって支えてこられたNRAに敬意を表するとともにJNSAが受け継ぐことを快く認めていただいた選者の方々に感謝いたします。また、読者の皆様におかれましてもこれからもよろしく御願いいたします。

さて、情報セキュリティに関して世の中は「少々お疲れ気味」ではないかと思っていた今年前半、後半は雲がモクモクモクと湧き上がって、方向感を失っていた情報セキュリティ業界が俄然騒がしくなってきました。来年はどのような年になるのでしょうか。

情報の拡散を極限まで抑えると、それは権力を構成するが、リスクは低減します。権力をすべての民衆に等しく留めておくためには情報は限りなく拡散し、そのリスクは増大します。この間のどこにバランスするのか。このバランスするときに情報セキュリティは重要な役割を担うと考えます。 十大ニュースがこの揺れを少しでも可視化できるものであればと願いつつ、この一年、皆様、御苦労様でした。来年は明るいニュースで一杯になりますように。