個人情報保護法施行以降も情報漏えいは止まらず、部分最適から全体最適のセキュリティ対策が求められている。コンプライアンス時代を乗り切るために、「攻めのセキュリティ」にどう取り組んだらいいのか、独立行政法人 情報処理推進機構 セキュリティセンター　情報セキュリティ技術ラボラトリー　ラボラトリー長 小林 偉昭氏とＮＥＣソフト MCシステム事業部 事業部長代理 大谷 俊一とで語り合った。

プロフィール

小林偉昭

独立行政法人 情報処理推進機構　セキュリティセンター　情報セキュリティ技術ラボラトリー　ラボラトリー長。1970年、早稲田大学理工学部応用物理科卒業、1972年、東京工業大学理学部物理学専攻修士課程修了。同年（株）日立製作所入社。2006年情報処理推進機構セキュリティセンター出向。 情報セキュリティ技術ラボラトリー長として、脆弱性関連情報流通業務及び組込みシステムセキュリティなどの調査・研究に従事。

大谷俊一

ＮＥＣソフト株式会社　MCシステム事業部 事業部長代理。1977年、日本電気ソフトウェア株式会社（現ＮＥＣソフト株式会社）入社。ACOSの通信ソフト開発、UNIXミドルソフト開発を経て、1994年からインターネットSIビジネスの立ち上げに従事。2000年、ITソリューション事業部セキュリティソリューション部長、情報セキュリティビジネスの立ち上げに従事。以降、セキュリティソフト製品化、認証システム構築・SI等、情報セキュリティビジネスの推進担当。2004年、MCシステム事業部セキュリティ部長、2005年～2006年JISA（情報サービス産業協会）情報セキュリティ部会・部会長、2006年 現職。

企業にとって最大のセキュリティリスクは情報漏えい

小林

依然として情報漏えいが大きな課題です。Winny以降、流出してしまった情報をうまく回収できず、どこにどんな火種が出てくるか予測できない状況です。流出した情報をどう回収するか、そしてさらに情報が流出しないようにするかが課題です。BCP（Business ContinuityPlanning）という側面からしっかり考えていかねばなりません。つまり、企業として今の経営をどう持続させていくか、事故が起きるということを前提として、何を守っていくべきか優先順位をつけて考える姿勢が重要です。ここ2年くらいで一般企業でもこういう考え方を取り入れ始めたように思います。内部統制やJ-SOX法にも関連してきますが、こうした「リスク管理」を真剣に考える時期に来ていると思うのです。

大谷

そうですね。企業にとって最大のリスクは情報漏えい、これに尽きると思います。私どもで調べたところ、2006年の1年間で報道されたセキュリティ事故の原因の約50％がWinnyあるいはShareの問題でした。次がメール関連（約10％）、情報紛失（約8％）。この上位3件だけで全体の3分の2を占めていますから、やはり情報漏えいが最大のリスクだと考えていいでしょう。ウィルス関係ではボットに注目しています。利用者の意図しないところで勝手に入り込まれてしまう。日本での感染率は数％だと思いますが、ワクチン対応が難しいようですから、今後、対応を急ぐべきテーマだと考えています。

小林

去年くらいからウィルス等の「見えない化」が進んでいます（情報セキュリティ白書2007年版、http://www.ipa.go.jp/security/vuln/20070309_ISwhitepaper.html）。今までは、明らかに視覚で判断できるものがほとんどでしたが、いつの間にか入ってきて、PCの中でどう動いているか利用者になかなかわからない。これは、すでに身内の中にリスクを持っている状態であり、今後の大変な脅威だと思います。企業の方には特に注意してほしいですね。

大谷

米国では25％くらいのPCがボットによってゾンビ化しているのではないかといわれています。

小林

日本では40 ～50万台くらいといわれています。昨年末に経済産業省と総務省のジョイントで、CCC（Cyber Clean Center、https://www.ccc.go.jp/）を立ち上げ、IPA他が連携して運営しています。PCだけではなくネットワークも含め総合的な施策を推進しているところです。現状では、CCCがボットを見つけると、その検体を解析して、その駆除ツールをユーザーに提供しボットを除去します。それを公開することによって周知も進めていくというやり方です。

大谷

企業サイドで今できることは、クライアントファイアウォールをベースに、アンチウィルスソフトのパターンファイルを早期に出すとか、チャットのポートを閉塞するなどの対策になると思います。

小林

「ストレージのないPCを使え」「USBもHDDも持ってはいけない」と指示する経営者も出てきているほどです。仕事がやりにくくなろうが、情報漏えいだけはするなということですね。

「どんな脅威から何を守るか」を明確にすることが原点

大谷

個人情報保護法の施行以降、いろいろな対策をしているにもかかわらず、事故が起きているところに現実的な問題点があります。企業のリスクマネジメント、コンプライアンスを強化することが大切で、改めてステークホルダーからの信頼を獲得しなければいけない状況です。情報セキュリティガバナンスを強化していくことをベースに、マネジメントサイクルを回していくところに帰結すると思います。

小林

結局はリスク管理ですね。「企業にとってのセキュリティとは何か」というのが根本の課題です。言い換えれば「どんな脅威から何を守るか」ということです。セキュリティによるビジネス継続性という考え方を、経営者・従業員含めて全員が持たないとセキュリティはうまくいきません。

大谷

これまではクライアントPCの暗号化とかウィルス対策など、個別対策が中心でしたが、会社としての情報セキュリティ、リスクマネジメントをきちんと考えていかないといけない。トップダウンでそういうことをやっていくことが全社員の意識を高めていくと思います。現場としては、情報セキュリティに何のために取り組むのかが原点です。事故を未然に防ぐというところを主眼に置かなければなりません。例えば、ISMS(Information Security Management System）：ISO/IEC27001の認証取得に踏み出すと、一般の社員の意識がまるで変わっていきます。机の上に書類が山積みになっていることはなくなり、PCでさえ帰宅するときには片付けてしまう。そうした意識がようやく習慣化しつつあるところです。これを、さらにパートナーと共に取り組むことが重要です。

小林

各企業でWebサイトを持つのは今や常識ですが、ソフトウェア製品に比べたら、Webサイトの脆（ぜい）弱性のほうが断然多いのです（ソフトウェア等の脆弱性関連情報に関する届出状況［2007年第2四半期（4月～6月）］http://www.ipa.go.jp/security/vuln/report/vuln2007q2.html）。Webサイトを構築する場合、Web制作会社に依頼するケースが圧倒的に多いのですが、制作会社にもいろいろあって、脆弱性に対する考え方や経験がバラバラです。ここが最大の落とし穴。したがって、外注で制作する場合は検収時のチェックが大切になります。また、発注契約の中で脆弱性についてきちんとケアすることを義務づけていく。最初からWeb構築依頼先にも意識を共有してもらう必要があります。

コミュニケーションレベルでのセキュリティ確保

大谷

企業間・個人間のコミュニケーションレベルでのセキュリティで見れば、メールも含めてコンテンツのセキュリティが大事になります。システムがWeb化されていて、Webの中に文書管理、ワークフロー、様々なコンテンツがある中で、そのコンテンツをどう守るのか？　ここはお客さまからも強く求められる点です。やり方としてはWebメール（添付ファイルを含むコンテンツ）を保護する仕組みや、メールセキュリティ、Webのコンテンツ保護になります。メールのセキュリティではやはりスパム（迷惑メール）が問題で、きちっとしたフィルタリングをかけます。あとは、パートナーやお客さまとの機密情報のメール交換に対しては暗号化したりパスワードロックをかけることで担保しています。

小林

以前のスパムは不特定にばらまくケースがほとんどでしたが、最近は攻めるほうもうまくターゲットを絞っています。ある組織のところに、組織の関係者の名前でメールを出す。そうするとつい開けてしまうのでウィルスが入ってしまう。ネットでは脆弱性を持ったWebサイトをうまく使って、フィッシングなどに引っ張り込もうとしています。Webサイトが脆弱性を持っていると、踏み台に使われてしまう。それで誰が一番被害を受けるかというと、利用者です。企業のWebサイトはその会社の顔でもあるわけですから、その企業を信用してWebを見ていたら何かアクシデントが起きたとなれば、その企業に対する信頼が落ちてしまいます。こういうものもある意味では大きなリスクだと考えるべきです。

大谷

情報セキュリティガバナンスをきちんと支援していく仕組みづくりが大事だと考えています。弊社ですでに導入しているものでは、サイバーアタック対策のPC検疫システムがあります。具体的にいうと、パッチをできるだけ速やかにあてられるような仕組みです。パッチがあたっていないPCが社内ネットに入ってくると、検疫ネットに入れて隔離する。パッチをあてたら実際に使っていくというものです。サイバーとフィジカルの有望領域としては、社員証1枚で入退館から、PCのロック、最近ではプリンターの出力もカードをかざして印刷しっぱなし状態を予防する。その人がプリンターのところに行ってカードをかざさないと印刷しないという仕組みがあります。

小林

脆弱性、セキュリティ上の問題点に対しては、できるだけ早くパッチ対策をしなければなりません。悠長に構えているとその隙を突かれていろいろな問題が起きてしまう。我々としては「日々、出てくるセキュリティ上の対策は忘れずやりましょう！」と声掛けはしていますが、現場レベルでの実行は非常に難しいと感じています。脆弱性の情報をいかに企業の方が入手しやすいようにしていくかがポイントです。JVN（Japan Vulnerability Notes、http://jvn.jp/）では、脆弱性対策情報をデータベース化してどんどん蓄積を続けています。将来は｢JVNを訪ねれば必要な対策情報が必ずあります」という形にしていきたいものですね。

大谷

SIerの立場からは、我々が構築したシステムの脆弱性を予防する活動を始めたところです。お客さまに提供するシステムはこういう製品群でこういうものを使ってやりますと、NECグループで運用している脆弱性予防管理の仕組みに登録しておきます。そうすると、登録しているシステムでこんなパッチが出ていますと知らせてくれる。JVNとも連携して脆弱性情報をとっていますが、いろいろなところから情報を収集します。二次災害・副作用の問題なども含めて、真剣に取り組んでいかなければいけない部分だと考えています。

部分最適から全体最適の攻めのセキュリティへ

大谷

全体最適のセキュリティを確保するには、まず情報セキュリティマネジメントのPDCAサイクルをきちっと回していく中で必要なツールを強化していくことです。その中の一つがサイバーアタック対策かもしれません。さらにJ-SOX法への対応として、ID管理やログ管理を強化していくことで、全体のセキュリティレベルを上げていく必要があると思います。情報セキュリティマネジメントへの取り組みが一つのきっかけとなり全体がレベルアップしていくことになると考えています。我々は今、統合ID管理、Webコンテンツ保護、コンテンツセキュリティといったところにフォーカスしてお客さまへ提案しています。

小林

今までは、セキュリティ上に弱いところがあっても、攻撃されなければ何も問題はなかったのですが、今は攻撃がお金になるというのがわかってしまった。脆弱点があれば必ず狙われるという認識を持って、セキュリティへの対応を始めていただきたいです。さらに、他社との差別化にセキュリティが使えるか使えないかという観点がありますが、少なくともやって損はないというのが私の考えです。

大谷

誰が悪い人なのかわからない世界ですから、内部犯罪というリスクも踏まえて、内部統制を含めてのコンプライアンスが必要です。例えばデータベースについてはパッケージベンダーがセキュリティ機能を強化してデータや表を暗号化する機能を持っていますから、データベース自体を保護するというよりも、外側に出ていくデータをいかに保護するかが大切です。つまり、WebサイトからクライアントPCで見る帳票、ワークフローで見ていく文書などの流出を押さえることが求められます。データベース自体はその奥にある部分なので、さらに要塞化していくことで、外側から保護する方法も考えられます。

小林

内部犯罪が70～80％といわれていますから、そうなると、やはり人間系の部分で権限管理などが必要ですね。

大谷

ID管理、ログ管理で保護していくことが重要だと思います。結局、この辺はCSRにも帰結して、トップダウンでの取り組みが必要です。そこで課題になるのが予算との兼ね合いですが、企業がその社会的責任を追求していく中で、情報セキュリティへの取り組みは避けて通れません。その意識は経営層も高くなってきていると思います。NECでも先ごろCSRアニュアルレポート2007を発行しました（ＮＥＣソフトも9月にCSRレポート2007を発行）が、その中でもリスクマネジメントと情報セキュリティへの対策がひとつの大きなテーマとして扱われていて、ここに注力することで信頼を獲得していくというのがポイントです。

小林

コストを考えれば、すべての情報を同じように扱う必要はありません。情報に対してはどこもランク付けをしているはずですから、「絶対に守らなければいけないのはこれだ」というものについて、きちんと管理、監視できるアーキテクチャーを各企業の中で考えていく。やみくもにやっても、守らされる従業員も大変ですし、先ほども出ましたが、守りをきつくすればするほど業務がしにくくなるのが現状ですから。

全体の意識を高めることが攻めのセキュリティのポイント

小林

情報セキュリティは1回きっちりやれば済むわけではなく、攻撃する側と防ぐ側のいたちごっこが永遠に続きますから、やはり守るべき情報資産に対するID管理が重要なポイントになると思います。

大谷

ＮＥＣソフトでは、大企業向けの統合ID管理のシステム構築をずっとやらせていただき、何万、何十万と管理するような大規模でミッションクリティカルな認証システムを作ってきました。さらに、Webシステムでコンテンツをいかに保護していくかを含めてやってきているのが我々の強みなので、今後はそうした強みを中堅のお客さまに向けてうまく出せるようにしていくことがテーマになると思います。

小林

いろいろな企業がWebで連携し始めていますが、脆弱性のあるWebが混じっているとそこが攻撃されてしまうことになる。日本のセキュリティにおいて、そこをどう底上げしていくかが、これからの課題です。

大谷

Webアプリケーションファイアウォール（WAF）など、新しい素材もいろいろ出てきていますので、そういったところも含めて取り組んでいく必要があると思います。

小林

また、本人認証においては、パスワードより指紋や静脈が安全・使いやすいということで、バイオメトリクスが増えていくでしょう。ただ、そこにセキュリティ上の脆弱性があった時どうするか、そこが課題です。もう一つは組込みシステムの問題があります。携帯電話、デジタルテレビやDVDなどの情報家電、自動車のETCやカーナビもインターネットでどんどんつながってきます。ICカードやRFIDもそうです。あらゆるものがネットワークにつながっていく、そこには必ずソフトウェアが介在します。こういう組込み系の業界は、まず納期優先・品質優先で、セキュリティはその次です。この組込み部分が一つの弱点になる可能性がある。そこも底上げすることが我々の課題だと思います。

大谷

バイオメトリクスも組込みもそうですが、ISO/IEC15408（情報技術セキュリティ評価基準）の評価・認証取得で製品の安全性を担保していく、プロテクションプロファイルやセキュリティターゲットを明確にしていくことも重要ですね。バイオメトリクス分野では長年NECが指紋認証を研究・開発・製品化していますが、バイオメトリクスそのものに脆弱性があるとすると、例えば指紋だと一生変えられない不変性が一つの脆弱性になり得る。そこをどうクリアしていくかが課題です。

小林

生体認証だと、模倣されてしまうとどうしようもない。模倣されるのか、蓄積しているデータが盗られるのか、どちらかでしょうね。

大谷

そうですね。ですから、ICカードの中に入れていくのか（個人所有モデルなのか）、ネットワーク型にするのか（DB化モデルなのか）、考え方はいろいろあると思います。また、偽指の対策としては、指紋ではなく血流や体温などを見るとか。そこはセンサーの進歩で、将来的にはかなりカバーできそうです。

小林

いずれにしても、セキュリティが不可欠な世の中であり、ITなくしては企業も回らない。情報セキュリティは、企業の持続のために必ずやっていかなければいけない問題です。

大谷

やはり基本となるのは、情報セキュリティマネジメントで、リスク分析からPDCAサイクルを確実に回していくことだと思います。その中で、我々を含め全体の意識を高めていくことが「攻めのセキュリティ」につながると思います。目に見えにくい、地道な努力ですが、事故を未然に防ぐ、事故を起こさないというところに注力していくことが重要です。我々としては、ISMSをきちんとやっていくことで、お客さまにもそうした提案をしていきたいと思っています。

小林

セキュリティ事故が起きた場合には、多額の対応費がかかります。一つのWebサイトに脆弱性が見つかると、企業全体での対策に数千万円かかってしまうということもあります。したがって、前段階で早めに脆弱性を取り除くという意識をしっかり持っていただきたいと思います。IPAでは毎日脆弱性の届出を受け付けていますが、土日を除いて毎日平均して2件ずつ脆弱性が発見・届出されているのが日本のITインフラの現状です。製品だけでなくWebサイトにも脆弱性がある。定期的に診断テストを受けるなど、できる限り油断をしないでいただきたい。IPAのセキュリティセンターのホームページを適宜見ていただくと、いろいろなセキュリティ関連情報やセキュリティ対策自己診断テストなども載っていますので、ご参考ください。