通信総合研究所が、情報セキュリティに関する研究を推進するための「情報セキュリティセンター」を1月に設立、それを記念したシンポジウムを開催した。通総研は4月には通信・放送機構(TAO)と統合することになっており、センターの設立とあわせ、情報セキュリティに関する研究開発を拡大させる意向だ。

「IT封鎖」

基調講演に登壇したのは、東京大学の安田浩教授(国際・産学共同研究センター長)。安田教授は「日本の情報セキュリティ研究開発の在り方」と題した講演を行った。

安田教授は、現在の急速に拡大している国内のブロードバンド環境について触れ、「何も考えないで、行動をしたら必ずネットワークがついて回る世界、それを安心して使える状況を2010年には実現したい」とし、ネットワークに依存する社会へと大きな変革が起きている、と述べる。

インターネットの普及により、情報がすべて電子形態でやりとりされるようになり、TCP/IP1つでデータをやりとりするため、「情報は簡単に統合され、まとめて壊したり盗んだりできるようになった」(安田教授)。

安田教授は実例として2002年10月に起きたルートサーバに対する大規模DoS攻撃、SlammerやBlaster、Sobigといったワーム被害、米国における製造会社や銀行システム、電話会社のバックドア設置、電力会社の安易なパスワード設定とダイヤルアップ回線の防御不足、といった事例を提示。特に電力会社の事例では、原子力発電所の炉心の制御棒乗っ取りが可能という危険な状態にあった、という。

こうした攻撃は、現在は愉快犯的な個人レベルの攻撃にとどまっているが、サイバーテロのような組織的攻撃やテロリストグループ、国家といった大規模、組織化された攻撃に移行した場合を問題視する。また日本政府のサイバー犯罪条約批准に見通しが出ており、仮にこれに批准した場合、踏み台にされた企業や個人についても罪に問えるようになることも指摘。つまり、意識的な攻撃をしなくても、セキュリティ対策をせずに他者へ被害を与える踏み台となった人も犯罪者として扱われてしまうのだ。

また、1997年に米国防総省が実施した「Eligible Receiver」と呼ばれる実験では、ハッカーを装った職員が同省のコンピュータに対し、4万回のテスト中36回侵入に成功したという。おおよそ1,000回に1回の割合で侵入に成功したということだが、「人間は1,000回に1回ミスをする、といわれている」(同)ことから、1,000回侵入を試みれば、人為的なミスで1回は成功する、ということになる。これを防ぐためには、2人で守ればいい。こうすると2人が同時にミスをする確率は100万分の1になり、「絶対に入れなく(侵入されなく)なる」(同)。侵入される確率を減らし、定期的なメンテナンスをすることで攻撃者があきらめるようにするわけだ。

もしそれができない場合はどうするか。「危険なものはつなぐな」というのが安田教授の主張だ。セキュリティ対策をしないことでウイルスの発信源になったりDoS攻撃の踏み台になったり、情報が漏えいしたりと、セキュリティの問題はその個人や企業だけの問題にとどまらない。そのため安田教授はそういった個人や企業はネットワークに物理的につながせない「IT封鎖」をすべきなのだという。

ブロードバンドによる常時接続で、そうした危険性はますます増えてきている。ネットワークは「悪いやつも必ずつながっている」(同)。現在は小手調べ(偵察)の段階で、さらに危険は増す、と安田教授は警鐘を鳴らす。

何も考えなくても安全なネットワークを

また安田教授は、ネットワークセキュリティ対策について「階層型防御」「環境適応型個人認証方式」「セキュリティ認証基準」「オープンソースソフトウェア」という4対策を挙げる。特に個人認証については「本人特定が一番問題」と強調。なりすましが完全になければ「99.99%、ネットワークの安全は守られる」(同)。コストの問題などから100%解決できず、また携帯電話などのモバイル環境での本人認証をどうするかがポイントなのだそうで、「今その時点での環境の中でもっともうまく働く認証システムがないとほとんど役に立たない」(同)と言う。

今回の本題とも言うべきこれから推進すべき取り組みについては、「安心・安全」をキーワードに、何もしなくても安心・安全な状態にしてくれる機構への期待を述べる。「99%の人はそちら(セキュリティ)の知識を持とうとは思っていない。それがなくても幸せに暮らしていい。そのような知識や意識を持たない人も巻き込まれないシステムを作りたい」(同)。

つまり、すべてのセキュリティ対策をユーザー側に実行させることは限界があり、セキュリティの確保されたネットワークを実現すべき、というのが安田教授の考えであり、それを構築するための基礎技術の研究開発を求めた。