●内閣官房情報セキュリティ対策推進室とIPA中心の「ご指名ではない攻撃」対策体制 現在の「ご指名ではない攻撃」対策は、どうなっているのだろうか? 啓蒙活動は、地道にさまざまな情報発信が行われつつある。また、さまざまなPC、IT系雑誌が、こぞってセキュリティの記事を掲載していることも啓蒙に一役買っている。とはいえ公的機関が行っているセキュリティに関する啓蒙活動に実際に触れたことのある人は、少ないのが現状である。まだまだ、不足している。「インパク」の大々的なプロモーションに比べると、手を抜いているとしか思えない。 ちなみに、「インパク」は、国民の多くが予想したとおり、あまりインターネット関連産業の活性化には、役立たなかった模様である。 2001/09/27発行の「全国インターネットサービスプロバイダ実態調査」に掲載されている、ISP 225社のアンケート調査結果では、アクセス増加や会員増加の効果は、ほとんどゼロであった。 「全国インターネットサービスプロバイダ実態調査」 http://vagabond.co.jp/vv/ps-isp01.htm閑話休題。 啓蒙活動が「インパク」などのムダ使いに比べて、きわめて優先度が低く、不十分なことは、容易に推測できる。 問題発生時の情報収集、分析、配信体制は、どうだろうか? CodeRed 、Nimda のような事件の時の情報収集、整理・分析、対策発信・徹底という3つの段階でみてみる。 主として「情報収集」の部分を担っているのはIPAなど経済産業省の外郭団体と考えられる。IPAなどの収集した情報は、内閣官房情報セキュリティ対策推進室で整理され、各種公的機関に対して配信される。 実際には、情報収集ルートは、jpcert(経済産業省が資金支援)など他にもあるし、軍事評論家として著名な 江畑 謙介氏が参加する情報セキュリティ調査会などもあるのだが、単純化するとこんな感じではないかと考えられる。 しかしながら、IPAは、民間企業からの出向者の集まりであり、数年たつと担当者はもとの企業に帰ってしまう。そのため、セキュリティに関する知識やノウハウが蓄積しにくいという現実がある。官公庁の担当者は、2年で異動してしまう職場である。個別に優秀な方がいるとしても、全体的には経験不足の担当者が情報収集、分析にあたっているという感はいなめない。 企業でシステムを守らなければならない立場から見ると、このルートでの情報は遅く不十分である。H.U.Cの対日攻撃の時は、民間のボランティア活動の方がはるかに役立った。 対 日本サイトアタック情報掲示板(代表的なボランティア活動組織) に寄せられた情報のまとめ(2001.3.2) https://www.netsecurity.ne.jp/article/1/1731.html 例えば、9月21日付けで内閣官房情報セキュリティ対策推進室が流した Nimda の第2報には、アンチウィルス各社がすでに情報掲載を行っているにもかかわらず、シマンテック社だけのURLが掲載されていた。別な時には、トレンドマイクロ社だけ掲載されていたこともある。なぜか、タイミングと内容がちぐはぐなのである。内部の基準で複数の情報を弁別しているのかも知れないが、そうであれば情報の受信者に、特定のベンダしかとりあげない基準も明示して欲しいものである。●脆弱な「ご指名ではない攻撃」対策体制 問題は対応の速度や質だけではない。深夜、土曜と日曜に機能していないという時点で危機対応の組織として致命的な欠陥をかかえている。クラッカーは、週末でも活動を休むわけではないし、自動的に攻撃、繁殖を続けるワームは、24時間、365日、活動している。 現在の体制が、深夜、土曜、日曜に機能していないことは、筆者の推定であるが、おそらくあたっているであろう。 ベリサイン、ボルチモアという認証の代表的なベンダが、改竄被害を受けた時には、情報収集体制は、機能していなかったと推定される。そうでなければ、休み明けまで対処が遅れるようなことはなかったであろう。 認証ベンダが、そろって連続改竄、対応遅れというのも情けないが、公的機関でチェックも指導しないというのも信じられない話しである。 認証システム大手2社の事件では、当事者である2社は、もちろんだが、公的機関の情報収集、対処の遅さも責められるべきである。 これで電子政府を実現しようというのは、無理があると思うのは筆者だけではあるまい。 日本ベリサイン、再び改竄被害 数日で複数回の改竄(2001.8.6) https://www.netsecurity.ne.jp/article/1/2590.html 日本ボルチモア テクノロジーズ連続改竄事件の事後対応の問題点(2001.10.9) https://www.netsecurity.ne.jp/article/9/2978.html 内閣官房情報セキュリティ対策推進室とIPAのご担当者を責めるつもりは、毛頭ない。担当レベルでは、一所懸命対応に努力してくれているとは思う。 そもそもの組織のあり方に無理があるため、対応の遅さや情報の不十分さが目立つ結果になってしまっている。 また、内閣官房情報セキュリティ対策推進室は、民間企業や民間人を助けることが本来の目的ではない。 このように見てくると「ご指名ではない攻撃」への対応体制は、脆弱(というよりも体制がないのを無理矢理現場対応でしのいでいる)といわざるを得ない。●「ご指名ではない攻撃」=大量無差別攻撃に脆弱な本当の理由 政府では、今後の課題として、サイバーテロ対策を掲げている。このような脆弱な体制がそのまま続くわけがない。筆者をふくめ多くの方は、そう思いたいところだろう。 しかし、サイバーテロ対策には、「ご指名ではない攻撃」への対処は含まれていない。これが、大量無差別攻撃への脆弱性を放置している本当の原因ではないかと思われる。 そもそも、サイバーテロとは、どのように定義されている言葉なのだろうか?われわれが、イメージする一般的な定義は、おそらく下記に近いものであろう。 サイバーテロとは(富士通総研 サイバービジネスの法則集) http://www.fri.fujitsu.com/hypertext/fri/cyber/hotkey/cyberterro/cyberterro.html web改竄など中小企業やSOHO、個人への攻撃へも含んだインターネット上での攻撃を指すとイメージしている人は多いと思う。 総務省(旧郵政省)の定義するサイバーテロとは、国家の重要システムをターゲットにしたものに限定されている。こちらでは、明確に、個人が被害を受けるものとは異なるとしている。 「情報通信ネットワーク安全・信頼性基準の整備」(郵政省 2001/03/22) http://www.yusei.go.jp/pressrelease/japanese/sogo_tsusin/010322_4.html 現在、日本政府のネットセキュリティ対策は、横断的な組織が作られているので、この総務省の定義は、共有されているものと考えてよいだろう(というか、共有されていないと意味がない)。個人や中小企業への攻撃は、サイバーテロとは呼ばないのが、わが国の官公庁における定義といえる。 古くはH.U.C、最近では Code Red など、特定の目的をもった攻撃と推定されるものもサイバーテロの定義からはずれることになる。 サイバーテロ対策をうたっている「ネットワーク情報セキュリティマネージャー」のカリキュラムが、中小企業では導入が不可能な高価セキュリティ製品(製品そのものが高価である上に、製品と同じかそれ以上の費用のかかるトレーニングなどが必要なのである)を用いているのも、その定義に基づいてカリキュラムが組まれているためと考えれば納得できる。●わが国のセキュリティ対策体制そのものが巨大なセキュリティホール このサイバーテロの定義にあてはまる攻撃は「ご指名の攻撃」である。すでに、のべたように「ご指名の攻撃」と「ご指名ではない攻撃」では対策が異なる。 したがって、サイバーテロ対策がいかに進んでも「ご指名ではない攻撃」にさらされる個人、SOHO、中小企業は救われないことになる。 ナショナルセキュリティの観点では、重要なインフラや政府諸機関を守るのは、重要であろう。中小企業やSOHO、個人の対策よりも優先度をあげることも理解できなくはない。 だからといって、中小企業やSOHO、個人を危険な状態に放置しておいてよいわけではない。 個人、SOHO、中小企業の保有する大量のサーバが、踏み台にされ、利用されることは、ナショナルセキュリティ上も大きな脅威となる。DDos攻撃といった直接的な利用もあれば、公的機関の業務を子請け、孫請けしている業者から機密がもれたりトラップをしかけられることもある。過去にオウム真理教の関係会社の作成したソフトを使っていた公的機関もあった。その可能性は決して低くない。「ご指名の攻撃」「ご指名ではない攻撃」は、いずれの対策も必要であり、どちらかがおろそかになれば、それが、もう一方にとっての脅威になる。関係官庁、公的機関の方々には、現在のような「ご指名の攻撃」偏重のセキュリティ対策をバランスのとれたものに、修正して欲しいものである。 このままでは、わが国のセキュリティ対策体制そのものがセキュリティホールといわれかねない。注)なお、警察庁の定義するサイバーテロは、組織の性格上、われわれがイメージするサイバーテロに近いようだが、残念ながらその定義のドキュメントを見つけることはできなかった。[ Prisoner Langley ] (詳しくはScan本誌をご覧下さい) http://www.vagabond.co.jp/vv/m-sc.htm
