冒頭で、総合セキュリティ評価基準をJNSAという中立の機関が制定することの意義を氏は説かれていたが、セキュリティ評価基準というものが存在しない現状を考えると、自然な方向であると思う。何をもって「中立」というのは難しいが、JNSAというネットワークセキュリティに携わっている業界団体で制定することの意義は、発表でも言われていたが、特に総合セキュリティ評価を受けるべき潜在ユーザの経営層にアピールするうえで強力なものになろう。次に、氏はセキュリティ評価サービスを提供している企業に対してJNSAとして行ったアンケート結果を発表した。結論から言うと、総合セキュリティ評価を実施している企業の90%がそのお客様から好評を得ているが、検査サービス実施企業の50%が総合セキュリティ評価までは行ってない、ということである。このことは、総合セキュリティ評価はお客様にとって非常に有意義であるが、それを行っている検査サービス実施企業が現状ではまだ少ないことを意味していると考えられる。

またアンケート結果から総合セキュリティ評価を実施しない理由として、明確な基準がないと答える企業が多かったという。この点に関してからも、JNSAとして早急に総合セキュリティ評価基準を制定する意義があると感じた。また、氏はセキュリティ評価WGで作成されつつある総合評価基準について、現段階でのドラフトについて説明された。既存の診断ツールのレポートを参考にしつつ、応答のあったポートの検出とセキュリティホールの検出の二要素を盛り込んだ総合評価基準をWGで検討中であるという。第一要素であるポートの検出に対しては、ポートが開いていれば（その時点においてそのポートを通しての脆弱性が報告されていなくても）、潜在的に脆弱性が存在すると定義している。そして、各ポート（サービス）ごとに脆弱性ポイント（点数）を設定して点数化を行っていく、ということである。

ポートが開いているだけで脆弱性ポイントが付いてしまうことに対しては異論があると思うが、ポートが開いていればそのポートを利用した新手の攻撃が存在する可能性が当然考えられるわけで、この定義は肯定できると思う。評価基準の第二要素であるセキュリティホールの検出に対しては、そのセキュリティホールを利用した攻撃の「実現性」の難易度と攻撃を受けた場合の「リスク」の大きさ（被害の大きさ）をマトリックス（評価要素）にして脆弱性ポイントを決定していくということである。

今後、他の要素の組み入れや、点数付けが重要な検討課題になると考えられる。「実現性」、「リスク」の項目についても詳細に検討されつつあるようで、これらの項目が網羅的かつ具体的に決定できれば、総合セキュリティ評価を受けるユーザにとっても受け入れやすいものになろう。結論として、総合ポイントの算出は、100点を満点として、100点からポート脆弱性ポイント及びセキュリティホール脆弱性ポイントを減算する方式をとっている。氏が話された検討課題にもあったが、説得力のある整合性のとれた点数付けが今後重要な検討課題になると考えられる。さらに、氏はMSのWebサーバIISのシステム（NT4.0＋SP6aデフォルトインストール）に対して、この総合評価基準を適用した事例を紹介した。適切なパッチを適用する前後では総合ポイントが劇的に変化し、この総合評価基準のわかり易さ、明瞭性を示している好例という印象を受けた。今後は、総合ポイントのガイドラインであるクラスAからクラスEの総合評価を受けた場合、それらは何を意味するのか、またそのクラスの評価を受けた場合どのような対策をとるべきかなど、具体的な指針を制定していくことが今後WGに期待されることであろう。最後に、氏は本WGがエンドユーザに対するセキュリティ評価サービスについてアンケートを予定していることを紹介した。結果が非常に楽しみなので、別な機会にぜひ紹介頂きたいと思っている。

横河電機
坪田　一郎