ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > 「第13回サイバー犯罪に関する白浜シンポジウム」が開催(2)
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

セミナーレポート
「第13回サイバー犯罪に関する白浜シンポジウム」が開催

 2日目の後半では、警察庁情報通信局情報技術解析課の國浦淳氏が代表的なマルウェアに着目し、その技術的変遷を解説した。國浦氏は過去の歴史から、様々なマルウェアの特徴を紹介した。

警察庁・國浦淳氏の講演を熱心に聴く参加者
期間中は289人の参加者の熱気が会場を包んだ
警察庁・國浦淳氏の講演を熱心に聴く参加者
期間中は289人の参加者の熱気が会場を包んだ
 1995年の「Concept*1」1996年の「Laroux*2」(ラルー)では感染拡大だけで、破壊などの活動は見られなかったものの、1999年の「CIH*3」(チェルノブイリ)では壊滅的な破壊活動が伴い、「Happy99*4 」「Melissa*5」では詐称メールの送信など、顕著な被害が現れるようになった旨を説明した。

 さらに、脆弱性を攻撃するマルウェアの登場について、2001年に発生した「Nimda」はWindowsの複数のソフトウェアを感染に利用する初の複合型ワームとして猛威をふるったと指摘。さらに2003年に発生した「Slammer*6」(スラマー)は Microsoft SQL Server の脆弱性を攻撃して自己増殖を図り、ネットワークをダウンさせたと解説した。また、最近のメールによる標的型攻撃の実事例をもとに、複数の脆弱性を攻撃が存在するなど技術的脅威について紹介した。

 同氏はマルウェアがもたらす脅威として、
1.マルウェアがもたらす直接被害などのネットワークユーザへの脅威
2.金銭被害や情報流出などの現実社会活動への脅威
があるとし、「我々インターネット利用者はその利便性という恩恵を享受する傍ら、リスクを背負っているという認識は持ち続ける必要があるのではないか」と提言した。

講演する総務省総合通信基盤局の高村信氏
情報セキュリティに関する官民の動向を独自の視点で
意見を述べた
講演する総務省総合通信基盤局の高村信氏
情報セキュリティに関する官民の動向を独自の視点で 意見を述べた
 2日目の最後には、総務省総合通信基盤局・電気通信事業部の高村信氏が、個人的な見解としたうえで、講演を行った。同氏は「OECDで1992年に制定された情報セキュリティガイドライン*7」ができてから、かれこれ20年弱となる」とし、いまだに全ての基本であるところは変わっていないことを述べた。
 そして、このガイドラインでは情報セキュリティの目的を「情報システムに依存する者を、可用性、機密性、完全性*8の欠如に起因する危害から保護するということ」と定義していることについて触れた。
 同氏は「もともとシステムの使用目的は『情報を利用したい』ということ。システムを使っていない人が間接的に巻き込まれるということは考えられていない。しかし直接的にシステム管理者、ユーザが被害に遭うということがこのガイドラインでは考えられている」と話した。その上で、マルウェアを考えること自体が機密性への挑戦であるとした。
 また、OECD情報ガイドラインの9つの原則の中でも、比例の原則*9は特に重要とし、「守るべきものが10万円だったら、10万円以上、費用を投資しても意味がない。つまり、いくらまでかけていい話なのかをきちんと考えることが必要」とした上で、その原則がすでに1992年のOECDの場で出ていることを評価した。

 一方、「この時にセキュリティマネジメントの概念を導入したことなどが、結果的に情報セキュリティの自己目的化の原因であると認識している」と述べ、「情報セキュリティ対策は、組織内の手段・慣行・手続きの中で『調和的に』導入されるべきもので、そんなに難しい話ではなかったはず」と主張した。
 さらに「セキュリティ原理主義の登場」を今回の講義の新たなテーマに設定。企業が「セキュリティ対策に最大限の努力をしています」と言わないと、許してもらえない雰囲気があると話した。そして、実際に2009年のプライバシーマークは付与事業者が10000社を超え、ISMS認証の取得企業数は3000社を超えるなど、ウナギ上りの状態になっていることについて触れたが、「認証をとって安心することに留まっていないだろうか」と警鐘を鳴らした。

 その他、業務継続と異常対応について、民間企業(特にインフラ系企業)にとって、「役務を止めない」ことは、何よりも優先される事項であり、一方で、その場しのぎの対応は、原因究明の証拠を破壊する行為でもあると、その危険性を示した。

 同氏は、情報セキュリティについて、「ある情報が『本当に守る必要があるのか』『漏れたら困るのか』『使えないと困るか』『化けたら困るか』を、もう一度考えてみる必要がある」とし、独自の見解を述べた。

学生対抗情報機器管理コンテストの様子。
トラブルに迅速に対応するために各学生とも
真剣に取り組んでいた
学生対抗情報機器管理コンテストの様子。 トラブルに迅速に対応するために各学生とも 真剣に取り組んでいた
 同シンポジウムでは、情報危機管理コンテストが同時開催された。今回から、優勝チームには経済産業大臣賞が手渡されることになり、注目された。
 コンテストでは予選を勝ち抜いた同志社大学、東京電機大学、関西大学、帝塚山大学、カーネギーメロン大学日本校から5チームが参加し、顧客対応から技術対応、レポート作成に至るまで、一連のトラブルへの対応のスマートさを競った。その結果、カーネギーメロン大学日本校のチームが最優秀賞を獲得した。
 獲得した要因としては、インシデントの発生原因の究明やその対処について、チーム内での議論が活発であり、チーム一丸となって障害を起こしたシステムを復旧しようとしたことが評価された。同チームはさらに、別のシナリオでユーザのログイン情報から管理者権限が奪取されたことを突き止めるなど、技術的な対応が優れており、競技本部が想定していた以上のチェックを実施しただけでなく、復旧作業が適切に行われた点が高く評価された。

 今回のシンポジウムは産学官が、1つの場でマルウェアについてそれぞれの専門領域から意見を述べるだけでなく、講演者と参加者がディスカッションできる機会が設けられたことに意義があった。「白浜町」一か所に集まり、議論を交わすことによって、会場の出席者の間に一種の連帯感も生まれ、互いの知識を高めようとする雰囲気が感じ取れた。また、公務員向けの情報漏洩に関する研究の場とする「セキュリティ道場in白浜」を試験的に行うといった試みも設けられ、充実したプログラムであった。
 今後も、情報セキュリティ業界にとって非常に有意義な啓発・研究や交流の場となるよう、白浜シンポジウムが毎年継続していくことを切に願う。


「第13回サイバー犯罪に関する白浜シンポジウム」セミナーレポート(1)


第19回白浜シンポジウム・迫るマイナンバー施行への対応とは?(2015/6/16)
第19回白浜シンポジウム・内部不正が起きた時に企業はどうしたか?(2015/6/16)
第19回白浜シンポジウム・サイバー攻撃に対して政府の取り組みは?(2015/6/16)
第18回白浜シンポジウムはネット上の誹謗中傷が焦点に(2014/6/12)
第17回白浜シンポジウムはパスワード・暗合について講演(2013/6/13)
第16回白浜シンポジウムはサイバー攻撃の危機管理が話題に(2012/6/21)
第15回白浜シンポジウムはクラウドセキュリティの課題を追及(2011/6/16)
第14回白浜シンポジウムは有害サイトの被害がテーマに(2010/7/8)

※この講演とセキュリティプラットフォームは一切関係ありません。




注釈

*1:Concept
ソフトの処理の自動化をするプログラムを利用し、次から次へと条件さえ一致していれば感染していくウイルス。目立った害は無い。

*2:Laroux(ラルー)
マイクロソフト社の表計算ソフトであるExcelで動作するマクロウイルス。このウイルスに感染すると、他のExcelファイルを開いたときに、そのファイルに自分自身をコピーして感染させる。

*3:CIH(チェルノブイリ)
比較的新しいウイルスで、発病するとコンピュータが起動できなくなるような致命的なダメージを与える。感染したファイルを実行するとメモリ上に常駐し、他の実行型ファイルに次々と感染してゆく。

*4:Happy99
自己増殖を繰り返しながら破壊活動を行なう「ワーム」プログラムの一つ。1999年初頭に猛威を振るった。電子メールやNet Newsの記事に添付ファイルとして寄生してユーザに配信されてくる。

*5:Melissa
電子メールを利用して大規模に感染を広める、最初の大量メール送信ウイルス。

*6:Slammer(スラマー)
Microsoft SQL Serverのセキュリティ上の脆弱性を利用して感染するコンピュータウイルスの一つ。2003年1月24日、(SQL) Slammerが何者かの手によってインターネットに放たれると、最初の10分間で、世界で感染する可能性のあるサーバの90%に感染したと推定されている。

*7:OECDで1992年に制定された情報セキュリティガイドライン
OECD(経済協力開発機構)が策定した、情報システムやネットワークなどのセキュリティ確保に関する指針。1992年に策定され、2002年に改訂されている。セキュリティの観点から、情報システムやネットワークを利用する際に意識すべきことなどが9原則にまとめられている。各国の企業やユーザにセキュリティ意識を普及させることを目的としている。

*8:可用性、機密性、完全性
可用性=データ、情報、情報システムが適時に必要な様式に従い、アクセスでき、利用できること。機密性=データ及び情報が、権限あるものが、権限あるときに権限ある方式に従った場合のみ開示されること。完全性=データ及び情報が正確で完全であり、かつ正確さ、完全さが維持されること。

*9:比例の原則
セキュリティへの要求は、個々の情報システムによって異なるのであって、セキュリティのレベル、コスト、手段、慣行、及び手続は適正であり、かつ情報システムの価値と要求される信頼度、セキュリティが破れた場合の被害の深刻度、発生の可能性、広がりに比例したものであるべきである、という原則。


お問い合わせ

  コラムトップページへ▲