サイバー犯罪の脅威とデジタル・フォレンジックの役割とは:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > サイバー犯罪の脅威とデジタル・フォレンジックの役割とは
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

上原哲太郎 京都大学学術情報メディアセンター准教授に聞く「サイバー犯罪の脅威とデジタル・フォレンジックの役割とは」

京都大学学術情報メディアセンター准教授
上原 哲太郎
「サイバー犯罪の脅威とデジタル・フォレンジックの役割とは」

社会生活全般がITシステムに依存する中、サイバー犯罪、個人情報漏洩など様々なリスクが地方自治体や民間企業、一般市民を取り巻いている。この現状をどう解決していくのか。情報セキュリティの研究にとどまらず、「サイバー犯罪に関する白浜シンポジウム*1」の運営や、自治体の個人情報保護審議会に参画するなど、多方面で活躍されている上原哲太郎氏にお話をうかがった。


上原哲太郎 京都大学学術情報メディアセンター准教授
上原哲太郎 京都大学学術情報メディアセンター准教授

セキュリティ研究に携わるまで


―上原さんのご経歴について教えてください。

上原氏  1986年に京都大学に入学し、博士課程まで行きました。その間はスーパーコンピュータのコンパイラ*2開発を研究していました。当時大学にあったサーバは、今でいう技術職員があまりケアしてくれなかったので、若い教員と大学院生が共同で管理していたんです。京都大学全学のメールのゲートウェイになるマシンの管理をしていましたね。一介の学生が管理者権限を持っているという、今では信じられない話ですけど(笑)。

 システム管理を認められて1996年から7年間、和歌山大学で講師をする傍ら、大学全体のネットワークとコンピュータシステムに携わっていました。スーパーコンピュータの研究だけだとやっていけないので、システム管理負担を軽減する技術や、ネットワークアタックの検出や影響を軽減するなどの研究をしていました。 この間に和歌山県とのコネクションができました。というのも、当時和歌山大学は県内唯一の国立大学で、しかも情報系のスタッフでネットワークやセキュリティをわかっている人間が少なかったのです。和歌山県では、県域ネットワークの導入にかかる外部評価、それから個人情報保護条例に関しての懇話会で委員を務めるなどしました。

サイバー犯罪対策との関わり

―上原さんがセキュリティ分野に携わるきっかけは何だったのでしょうか。

上原氏  和歌山県警が「コンピュータ犯罪に関する白浜シンポジウム」(以下、白浜シンポジウム)を開いていて、ここにお誘いを受けたのがこの世界に入るきっかけでした。白浜シンポジウムは今年で13回目ですが、私は3回目からスタッフとして本格的に加わりました。2回目までは和歌山県警がバックアップしつつ、ISACA(Information System Audit Control Association:情報システムコントロール協会)の大阪支部が主催という形でしたが、これを実行委員会体制に組み替えて、和歌山県、白浜町、県警、ISACA、和歌山大、後には近畿大学生物理工学部が協力する形にしました。シンポジウムではプログラムの編成などを担当していましたが、ここ数年はシンポジウムのテーマ設定をして、それに沿った講師を探してくるという仕事をしています。
参考資料:2008年の白浜シンポジウムの様子
参考資料:2008年の白浜シンポジウム
の様子 (クリックすると拡大します。)
 白浜シンポジウムに関わったのは和歌山大が主催に入っていたからで、全国に情報発信できるという面白みもありました。和歌山大を離れてからも白浜シンポジウムに関わっているのは、シンポジウムのスタッフを母体に作ったNPO「情報セキュリティ研究所」の理事をしていることが大きいです。このNPOで、当時50あった和歌山県下の自治体を回って、セキュリティポリシー策定の支援をしていました。総務省が都道府県別にセキュリティポリシー策定状況を3ヶ月ごとに発表していたのですが、それによると和歌山県が最初に全市町村のセキュリティポリシーを策定できたということです。

―白浜シンポジウムのテーマというのは一貫して情報セキュリティ、特にサイバー犯罪に特化していたのでしょうか。

上原氏  白浜シンポジウムが立ち上がる一番のきっかけはオウム真理教の事件だと聞いています。日本の警察にとってあれがサイバー犯罪対策のターニングポイントとなったそうです。中央省庁はそれで取り組みを始めましたが、じゃあ地方はどうするんだ、ということで和歌山県警の方が危機感を覚えて、まずは「勉強会からしよう」ということで始められたのだそうです。

 私が運営にかかわり始めてからでも、最初は警察の方が勉強するところで、産業界と情報交換するところという雰囲気でしたが、次第に一般市民や研究者の参加も多くなってきました。現在シンポジウムに参加している警察関係者は3分の1くらいでしょうか。テーマも第7回、8回あたりからは「コンピュータ犯罪」というよりも、「ネット社会のセキュリティ全般」という具合になってきました。その頃からサイバーセキュリティというものが社会的に大きな認知を得て、白浜以外でも関係するシンポジウムが開かれるようになりました。ですので、最近はゆり戻し的に警察に近い、具体的な犯罪やネット犯罪が比較的強く出たテーマ設定にしています。

 今年の白浜シンポジウムのテーマは「マルウェア(悪意のあるソフトウェア)」にしようと思っています。これには私の個人的な思いもあるんです。少し前にボットネットが問題になって、それ以降政府によるサイバークリーンセンター*3などの取り組みでなんとか抑えられてきたかと思いましたが、最近になってまた攻撃側の圧力が高まってきているのではないかという印象を強く持ったからです。2007年はマルウェアの認知数が爆発した年で、1つのターニングポイントとなっています。F-Secureというフィンランドの会社が公表した数字が衝撃的だったのですが、2007年の1年間に見つけたマルウェアの数が50万件と、2006年までの20年間の数に追いついてしまったのです。2008年の発見数はさらにその3倍だそうです。言い方は悪いですがマルウェアの生産性が劇的に上がっており、しかも単なるいたずら目的でなく、違法行為でお金儲けをする手法として使われているという、大変危機的な状況と認識しています。「ウイルス」という言葉にユーザが耳慣れてしまい、知っているけれどそんなに怖いものではないだろう、と思っているところに「本当の脅威がきた」と思っています。

自治体の情報システムの実態


参考資料:リスクコミュニケーション
参考資料:リスクコミュニケーション
(クリックすると拡大します。)
 上原氏 研究とは別に、いくつかの自治体の個人情報保護審議会などに加わっています。審議会は、自治体で新たに個人情報を取り扱う業務が発生した時や、複数の担当部署に個人情報が渡り歩くよう業務形態が変更されたときなどに、それを許可するかどうかを決定するところで、個人情報が不透明な使われ方をしていないことへの担保の役目を持っています。私が審議会に参加している大阪府枚方市でもそうですが、多くの自治体ではこれに加えてオンライン結合*4、電算処理をするときにも、審議会の許可を得なければならない仕組みになっています。ところが、審議する委員がテクニカルな部分を理解しているかといえばそうではない。委員のほとんどは、弁護士や市民運動家など、必ずしも技術のことは詳しくない方々です。ですので、私はこれらの技術的な判断をする一方で、他の委員に対してオンライン結合についてどういうリスクがあるかなどについて説明するというのが審議会での仕事となっています。

 この活動をして思ったのは、自治体は情報システムの良し悪しやセキュリティ的に良いか悪いかをきっちり判断する部門が民間に比べてあまりにも貧弱だということです。ある程度の規模の企業であればIT部門があって、特にITが基幹業務にコミットしている企業はIT専門部隊を抱えていますよね。外部委託にしていてもそれなりの情報収集をしてコスト削減など努力をしているはずです。ところが、私がかかわった自治体にはしばしば、コストメリットのバランスの悪いシステムが多く見受けられました。これから地方自治の時代なのに、それでは増加するばかりの自治体業務を情報システムを用いて効率的に処理できるわけがありません。そこを是正するために、セキュリティだけではなく、もう少し大きな意味でのテクノロジマネジメントを自治体にも広めていかなければならないと思っています。

Next


お問い合わせ

  コラムトップページへ▲