タイトル【MacWIRE配信予定】シマンテックが記者会見を開き米国のセキュリティ事情を解説カテゴリーサーバ, 業界動向
作成日2002/1/15 19:3:41作成者新居雅行
2002年1月15日、シマンテックは帝国ホテルで記者会見を開き、シマンテックコーポレーションのマーケティングインテリジェンスディレクターであるローレンス・D・ディエッツ氏が会見を行った。もともとはチーフテクノロジーオフィサであるロブ・クロイド氏の会見の予定であったが事情により来日ができなくなったため、ディエッツ氏が代わりに来日したと説明があった。テーマは、米国におけるセキュリティの最新事情である。

まず、成田明彦社長よりの話から始まった。ディエッツ氏は米国の陸軍大佐の経歴がある。昨年来さまざまなウィルスの発現や、9月11日のテロにより、セキュリティに対して関心が高まっている。シマンテックのセキュリティ製品は昨年の10月から3か月で40万本の出荷があるなど、驚くべき関心の高さとなっている。IPAには2001年には24000件の被害報告が寄せられているなど、ウィルスの被害は広がっている。今年もウィルスの被害は広がるだろうが、それらの対抗できる製品をシマンテックは顧客に対して提供し続ける。また、日本のユーザに対するインターネットのセキュリティに対する啓蒙活動も積極的に行う。

そして、ディエッツ氏よりの話に移った。シマンテックでは市場調査の仕事をしており、政府関連の窓口も担当している(政府に対する活動と言うのは売り込みではなく、たとえば大学でのセキュリティコース設置の働きかけや、さまざまな情報提供を行っている)。シマンテックはセキュリティ関連の会社としては最大規模で、1年間で10億ドルの売り上げを達成している。インターネットユーザの伸びとインターネットのアタックの統計グラフを示し、ユーザの増加よりも高い割り合いでアタックが増えているという実情を紹介した。コンピュータウィルスの経済的な影響のリサーチでは、被害額やダウンタイムの増加などの打撃を与えている。そして、ハッカーによる被害額は年間1兆6000億ドルとなり、クレジットカードの番号は100万も盗まれているという調査結果がある。米国では政府機関のNational Infrastructure Prectection Centerが情報の保護に当たっている。FBIの調査によると、370社程度の回答から、内部からのアタックよりも外部からのアタックが数を上回っている(従来は給与データの盗み見ることなどの内部アタックが多かった)実態が明らかになった。外部および内部からのネットワークのぜい弱性があるが、組織によってそのぜい弱性は異なる。通常は攻撃を行うには技術の高いインサイダーであることが多い。だが、退社した従業員のパスワードが有効なままであるような場合もある。そうした人事情報との関連性もセキュリティとして考慮しなければならない。
サイバーテロリズムとは、ネットワーク攻撃をぜい弱性に付け込んで、コンピュータに対するテロ行為をすることである。結果的には物理的な被害を与えることにもつながる。セキュリティの第一歩は、セキュリティポリシーの策定であり、防御をどうするかいったことを決定することから始まる。そして、そのセキュリティが確かなものかといった測定を行うことである。そこから、最終的な技術や手続き、ガイドラインの策定を行う。

米国におけるセキュリティのスタンダードについてを一覧で示した。ISO17799のベストプラクティスは、技術だけでなく、人事や物理的なセキュリティもカバーする。そして、セキュリティを実践している例として、以下のようなVISAのセキュリティルールが紹介された。

  • インターネット経由でアクセスできるデータを防護するために、ネットワークファイアーウォールを設置し維持する。
  • セキュリティパッチを更新する
  • インターネットからアクセスできるデータは暗号化する
  • ネットワークを介するデータは暗号化する
  • アンチウィルスソフトウエアを使用し、定期的に更新する
  • ビジネス上「知る必要」のあるデータへのアクセスを制限する
  • コンピュータのデータにアクセスするひとりひとりに固有のIDを渡す
  • 固有のIDによってデータへのアクセスを追跡する
  • ベンダーから供給されたデフォルトのパスワードやセキュリティのパラメータを使わない
  • 定期的にセキュリティシステムとプロセスをテストする

VISAが厳しいルールを守る理由は、クレジットカードすなわちお金にかかわることであるからだ。これらのルール自体はシンプルだが、日本の中小企業ユーザにも適用できる内容である。セキュリティパッチを出すだけではなく、更新し続けることが大切である。大企業ではたくさんあるサーバなどに対してパッチの更新がなされているかをチェックすることはほぼ無理である。そこではぜい弱性の管理が必要になる。さらに、アンチウィルスソフトを使うのだが、できるだけ自動的に更新されることが望ましい。10個あげられた項目のうちの5つでも確保できれば、攻撃の8割ほどは防げるとされている。パスワードの管理は難しい問題で、個人の記憶では追い付かない。そこで、複数の覚えやすいパスワードを利用することを勧める。そして、不必要なネットワークサービスを使わないようにする点は強調したい。
米国政府に関するセキュリティイニシアティブについての説明に移った。Richard Clarke氏がクリントン時代に任命され、大統領が変わった現在でもその任務は続いている。そして、ISAC(Information Sharing and Analysis Centers)を開設し、業界が情報を共有できる場を設けた。そして、政府内のイントラネットであるGOVENET、軍で使われているNMCIがある。

続いて「複合型の脅威」の説明に入った。ウィルスとワームの違いについては、ワームは人の介在がなくても自ら増殖できるものであると説明した。特徴としては、感染したところで被害を及ぼすと同時にそこからさらに別のところに攻撃をすることである。シマンテックがこうした脅威に対する戦略として、3階層に分割して検討している。1つはネットワークの入り口であるゲートウエイ、そして2つ目が各種のサーバで、3つ目がクライアントである。こうした階層の保護としてはお城を考えればよい。お城は、掘や城壁など複数の層で守られている。つまり、各層でのさまざまな側面でのセキュリティ管理が必要になる。そして、その管理を共通の基盤で行うということが必要となり、ポリシーとの整合性などをチェックする。こうした環境を実現するために、今年の夏に製品をリリースする。さらにアウトソーシングにも対応する。
脅威に対する対策のうち、ぜい弱性の管理は、必要なパッチがすべて正しく適用されているかをチェックするためのものである。さらにファイアーウォールを設置して不要な通信を遮断する。そして、ウィルス対策の技術がある。被害を最小限にするには、不正侵入を検知することや、ディスクのミラーリングを行う。問題があるところにフラグをたてるようなことを行うが、万一破損があると、ミラーリングにより短時間で元に戻すということが可能となる。
最後に結論として、重要なことは、企業のトップマネージメントが情報管理にかかわり、予算や資源の配置をしなければならないということであると指摘した。そうしないと成功はしない。米国ではトップが配慮しない場合に問題が発生した場合には、責任問題ともなる。今はセキュリティに関してはチャレンジがある。誰でも攻撃することが可能だからだ。そして、対応する側としてはセキュリティの機能を高めないといけない。シマンテックはエンタープライズだけでなくコンシューマの分野にも強みを持つ。そして、クライアント、サーバ、ゲートウエイの3つの層に対してセキュリティ製品を提供している。サポートは迅速に対応する体制が整っている。また、財務体質が健全であることから、対応もしっかりできている。

会見では、不正侵入が常時接続で増えているが、踏み台にされた会社が訴えられたり、賠償を払ったことがあるのか? 個人が訴えられることがあるのか? といった質問が出た。ディエッツ氏による答えは次の通りだ。踏み台にされた「ゾンビ」が適切な処置をしていない場合において、訴えられたというケースは知らない。企業だけでなく大学のコンピュータでもそうしたケースはあるが、今後は訴訟の火種になりかねない。考慮すべき5つの要素として、被害の度合い、被害の可能性、被害の阻止するコストの全体との対比、ケアの責任、ケアに関するスタンダードとの対比がある。訴訟では最後の2つが重要であると考えられ、まだ確立されていないところである。ソンビになったのが初めてでそれを知らない場合、原告が以前にゾンビになったことがあるのなら、原告が有利であろう。また、家庭で使っているユーザが訴えられるとは思えない。賠償能力がないからである。
関連リンクシマンテック