ウイルスの歴史とこれから
~歴史から振り返る対策の課題点~
内田勝也 情報セキュリティ大学院大学名誉教授
2013/2/14  3/3ページ

内田氏:私は「セキュリティ製品は、本当に正しい人をきちんと守る為の製品」だと話しています。ユーザIDとパスワードを個人に与えれば、ログをすべて取ることができます。情報漏洩が起きた時も「犯人ではない」という証明ができます。だから私はいつも「セキュリティ製品は正直な人を守るためのものですよ」と話しています。セキュリティ製品が普及した現在でも、そういう発想をしている企業は少ないです。


―リスク管理についてはいかがですか?

内田氏:昔、ある組織の経営者が「スパムを“ゼロ”にしてほしい」と言ってきたそうです。私だったら、「インターネットをやめ、手紙とファックスでのみやり取りすれば、スパムは“ゼロ”になります」と教えます(笑)。こういうスパムメールを「ゼロ」にするという考え方は、リスクが解っていない典型です。リスクは「ゼロ」になりませんね。


 何せITのリスクは様々です。2006年に江戸川の高圧線にクレーン船がひっかかり大規模停電が起きたことがありました。停電になるとIT関係のシステムやデータセンターは大きな打撃を受けますから、これも十分なリスク要因です。こういう幅広いリスクを考え、 “ゼロ”を目指すのは、IT関係だけでなく全て同じです。“ゼロ”を目指す努力を続ける必要はありますが、完全に“ゼロ”にすることは不可能でしょう。

リスクとの向き合い方も仕組みづくりが必要だ
リスクとの向き合い方も仕組みづくりが必要だ

今後の対策は…?

―対策に関する未来図を教えてください

内田氏:サーバ用のアンチウイルスソフトというか「有害プログラム対策ソフト」と言ったほうが良いかもしれません。「未知のウイルス」を発見する場合でも、「侵入検知システム」を監視している要員がそれに当たるようなことを想定しています。「未知のウイルス」をパソコン利用者に「未知のウイルスらしい」と警告をしても、判断できないと思います。もっと、サーバ部分で対応できる仕組みが欲しいと思っています。こうした仕組みづくりができれば、有害プログラム対策も変わってくると思います。


 また、ソーシャルエンジニアリングが増えるということは、ハッカーのような技術的なプロよりも、詐欺師が有害プログラムを流行らせるかもしれません。もちろん、そういったサイバー攻撃に対しても対策できる人材が必要になるでしょう。「セキュリティに人材を割いていたら、企業から優秀な人間がいなくなる」と言う組織もあります。しかし、漏洩情報が「知的財産権(知財)」やM&A情報であれば、企業が倒産する可能性もあると思っています。


 リスクを、情報システムのレベルで考えるのでなく、もっと広い組織全体、経営レベルでリスクマネジメントを考える時代になったと思っています。この辺りは、情報セキュリティを情報システム部門の中だけで考えていることが原因ではないかと最近思っています。

(井上宇紀)

注釈

*1:有害プログラム
内田氏はウイルス、ワーム、トロイの木馬などの総称として「有害プログラム」と著書などで呼称しているため、本記事ではこちらの表現に統一した。

*2:パターンマッチ
ウイルスのリストを作成し、それとプログラムを照らし合わせ、一致したものを排除する現在アンチウイルスで使われている主流技術のこと。

内田勝也氏

【内田勝也氏 プロフィール】うちだ かつや
現在、情報セキュリティ大学院大学名誉教授、横浜市CIO補佐監。 著書に『有害プログラム―その分類・メカニズム・対策』(共立出版)共著、『セキュリティハンドブック』(日科技連)共著、『電子情報通信ハンドブック』(電子情報通信学会)共著など。情報セキュリティマネジメントシステム、情報セキュリティ心理学、リスクマネジメント、有害プログラム(Malicious Software)等の調査・研究を行っている。