情報セキュリティに関する総合イベントである「第1回情報セキュリティEXPO」が9日まで開催されている。2日目の8日は、基調講演として米Microsoftのネットワークセキュリティ担当ディレクターであるロビン・ムーア氏と、元経済産業省 商務情報政策局 情報セキュリティ政策室の山崎琢矢課長補佐が登壇。それぞれの立場から情報セキュリティについて語った。

ロビン・ムーア氏	山崎琢矢氏

1カ月10万の攻撃に対処するMicrosoftのセキュリティ対策

ムーア氏は、MicrosoftのIT部門におけるネットワークセキュリティの責任者であり、Microsoftの社内体制を中心に、ネットワークセキュリティのリスクをいかに軽減するかを語った。

ムーア氏によれば、Microsoftは全世界で5万7,000人の従業員を抱え、30万以上のネットワークに接続するデバイス、6,000のデータセンターサーバー、9万のメールボックス、36のメールボックスサーバーを含む110のExchange Serverといった環境を備えており、1カ月に2,600万の音声通話、1日に600～700万通のEメールがやりとりされているそうだ。

これだけ大規模になるとセキュリティ問題も多く、多いときは1カ月に10万件以上の攻撃・スキャンなどを受けており、1日に500万通のEメールがスパムやウイルスメールとしてフィルタリングされているという。

こうした状況下で社内のセキュリティを担当しているムーア氏は、リスクを評価し、どこに危険性があるかを判断、セキュリティポリシーを構築して、さらにそのポリシーが実際にきちんと運用されているかを確認、最後に監査する、という手順をミッションとし、悪意ある攻撃を防いで、知的財産の損失を防ぐことを目指している。

そうした中でムーア氏が取り上げたのが「Enterprise Risk Model」。これは実際に同社が取り入れている手法で、各部門の責任者に対し、それぞれの部門にある資産や情報価値はどの程度か、それらが侵害を受けたときのインパクトはどの程度かを推定させ、それに対して攻撃を受ける可能性をムーア氏の部門が探ってリスクを算出する、というもの。このリスクを軽減するのが目標となるわけだ。

リスクの評価においては、資産の評価・脅威・ビジネスへのインパクトと、脆弱性・脅威の軽減策・リスクの可能性を総合したものが現在のリスクレベルだとしており、ムーア氏は、リスク軽減のために使える資産は有限であることから、リスクを戦術的な判断から優先付けして脅威を下げていくリスク管理が重要だとした。

ムーア氏は、パッチのあたっていないデバイスの管理、IPsecを用いたネットワークの細分化、セキュアなリモートアクセス、IDとICカードなどによる2重の認証、といったような例を挙げ、リスク軽減の戦術を立てることの重要性を説いた。

「セキュリティは経営者がコミットしなければならない」。ムーア氏は、情報セキュリティを強化するためには経営層が主導する必要がある点を繰り返し訴えるとともに、社員全員が修正パッチの適用をする、といったように、セキュリティの実現は社内全員で取り組まなければならないと強調した。

日本のセキュリティ対策はどうあるべきか

続いて登壇したのが山崎・元課長補佐。山崎氏は7月1日付で内閣官房に異動しており、講演を引き受けた時点では経産省の立場で話をする予定だったため、元経産省の肩書きで講演を行った。ただ、山崎氏の現職は内閣官房情報セキュリティ対策推進室の参事官補佐で、各省庁のセキュリティを統括する立場にあるため、内容は情報セキュリティにおける政府のビジョンが中心だった。

山崎氏は、現在の「情報セキュリティ」について、その対策の重要性や、対策が単なるウイルス・Webサイト改ざん対策だけではない、という点については総意が得られている、としつつ、セキュリティベンダーなどの供給側の機運が盛り上がっているものの投資が思うように進んでいない、政府・自治体のセキュリティは「堅牢だと思われているが、そうでもない」(山崎氏)、重要インフラのセキュリティも「インターネットに直接つながっていないから問題がないというわけではない」(同)と問題点を指摘。

さらに頻発する個人情報漏えい問題についても、お詫び名目の金品などの直接的な損害などが発生するため企業は警戒をしているものの、漏えいした個人情報の「価値」の議論が置き去りにされている、と主張する。

山崎氏は個人情報を漏えいさせた企業の対応が原因調査委員会の設置や外部監査、社員教育実施の「3点セット」がほとんどで、十把ひとからげのステレオタイプ的な対応は危険と述べ、個々のケースに応じた対応が必要との認識を示す。

またマイクロソフトの脆弱性情報の公開とそれに対する攻撃コードの出現、そのコードを使ったウイルスなどの発生時期が短くなっている点を指摘。山崎氏が経産省情報セキュリティ政策室課長補佐に就任した2002年は、経験的に脆弱性情報公開から攻撃コード出現まで半年ぐらい、といわれていたものが、脆弱性情報MS04-011公開から攻撃コード出現までわずか11日だったことを例示する。

山崎氏によれば、経産省がパッチ適用によってサーバーが停止するなどの副作用が出た経験を持つ企業を調べたところ、ほとんどの企業が経験していたそうだ。そのためパッチ適用の検証に2～3週間かけている企業が多いのだが、攻撃コードが11日、ウイルスが17日で登場したSasserワームのような場合、パッチ適用が間に合わなくなるわけだ。

それらをふまえて山崎氏は、「事故前提社会」という視点を提案する。事故が起こってからあわてて対応するのではなく、「事前に起こりうるケースをどれだけ想定し準備していたか」が問われる時代になっている、という。

今まで、供給側のいわば押しつけ型で導入されてきたセキュリティ対策について、今後は「ユーザサイドセキュリティ」になるべき、と山崎氏は強調。そのアプローチとして、今までセキュリティ対策は「こうあるべき」という基準の提示だったが、もっと詳細に「こうすべき」という対策レベルを提示することを挙げる。

これに対して経産省は、セキュリティ対策の指標となる「対策ベンチマーク」の検討を決めた。さらに「IT事故データベース」を構築してベンチマークと連動させることで、「このレベルまで対策した企業がこうした事故を起こした」といったことが分かるようになり、たとえば保険やセキュリティ監査、企業の格付けなどと連携させることを目指しているそうだ。

基本的に山崎氏は、セキュリティ対策は企業の自主性に任せて「単なる推奨」の段階で普及を目指すことが望ましい、としているものの、有価証券報告書にセキュリティ項目を用意するなど対策を行っていることをIRへ反映させたり、政府調達基準に一定のセキュリティレベルを求めるなどの方向性も提示。一定の対策を義務づけることについては消極的だった。

その上で山崎氏は政府の政策の現状について、重要インフラの対策、インシデントレスポンス、電子署名法や監査制度などの制度的基盤、技術開発といった施策によって「道具」はそろってきた、と表現。その道具を有効に活用して官民連携基盤の構築を目指すとした。

8日から開始されたIPA・JPCERT/CCの脆弱性届出制度もその一環であり、同時に発表されている業界団体を含む6団体による「情報セキュリティ早期警戒パートナーシップガイドライン」も同様のスタンスと言える。

さらに山崎氏のいる情報セキュリティ対策推進室の運営による情報セキュリティ基本問題委員会が、今後情報セキュリティ分野の政策の問題について一元的、集中的に議論、中長期的な計画を策定して政府のIT戦略本部に報告していくほか、各省庁の施策についても、政府全体として横断的に整合性、効率性、実効性などを検証していくそうだ。

山崎氏は2004年度の展望として、政府レベルで「ナショナルセキュリティ」を進展させ、官民連携による早期警戒システムなどの社会インフラの整備、重要インフラ対策の見直し、内閣機能強化によるセキュリティ対策の推進を図る。民間についても、「ユーザサイドセキュリティ」を繰り返し、情報セキュリティ対策を行うことが企業価値向上につながるためのメカニズムの構築を目指していく。