【レポート】

Internet Week 2004 - 情報家電はセキュリティ+設定ゼロが必要

佐藤晃洋  [2004/12/03]

Internet Week 2004・2日目となった1日は、JNSA(日本ネットワークセキュリティ協会)・JPCERT/CC(JPCERTコーディネーションセンター)・Telecom-ISAC Japanの3団体共催の「Security Day」が開かれ、昨今のハイテク犯罪の概況や情報家電におけるセキュリティ問題など、セキュリティ業界の様々な話題について幅広いセッションが行われた。

左から水越一郎氏、山崎俊之氏、福澤淳二氏(IPAセキュリティセンター)

同じく奥天陽司氏、三輪誠司氏

その中でも本稿でご紹介するのは、情報家電のセキュリティに関するパネルディスカッション。今回同パネルの司会を務めたJPCERT/CCの水越一郎氏は、冒頭で情報家電においてセキュリティを確保するために問題となる3つの要因として「使用形態」「バージョンアップ」「開発モデル」の3つを挙げ、それぞれについてパネリストが意見を交わすという形で議論が進められた。

情報家電はセキュリティを確保しつつも設定ゼロでなくては普及しない

使用形態の面について、多くのパネリストから出たのが「情報家電も家電である以上、設定項目は限りなくゼロに近い形でないと、いくらセキュリティ機能を用意してもユーザは使ってくれない」という意見。NTTコミュニケーションズの山崎俊之氏は、現在同社が家電メーカー等と共同で情報家電を開発している立場から「現在はセキュリティ以前に、ネットワークの基本的な設定さえユーザには無理という風に考えているところが多い」として、セキュリティも含めた基本設定をZero-Configurationの形で自動的に行えるようにしないと一般への普及は困難であると語った。

またマイクロソフトの奥天陽司氏も「今日はあくまで個人の立場での発言」と前置きしながら、「これまで3年間パソコンのOSをやってきて思ったのは『何でも使える情報家電はあり得ない』ということ」「家電は数個のボタンで操作できるようなものでなくてはだめで、PCとは異なる、家電ならではのカスタマイズが求められる」と述べ、山崎氏の意見に同調。NHKの三輪誠司氏も「(情報家電を)いろんな風に使えるようにするとなると、いろんな設定ができるようにしなくてはならないが、設定項目が多いと使うのが大変になるため、利用者層に応じた設定が可能になるようにするしかない」と述べ、基本的には同意する姿勢を見せた。

家電にバージョンアップの概念を持ち込むことへの問題は?

またバージョンアップについては、奥天氏が「先日(マイクロソフト・セキュリティチームの)小野寺氏がオーディオアンプを購入した際、その後メーカーからバージョンアップの案内が来たのはいいが、そのためには40kgぐらいあるアンプをメーカーのサポートセンターに持ち込まなければならなかった」「それに対しパソコンはオンラインでアップデートできるのがメリットであり、ユーザへの負担が少ない」と語り、PCと比べて家電では、バージョンアップのためのデータをどう配布するかが問題になるという認識を示した。

バージョンアップやパッチ当てにおいては、従来のバージョンとの互換性の確保等の問題も考えられるが、この点について山崎氏は「家電ではユーザーランドでできることが大きく制約されているので、互換性の検証が必要な部分が限定される」と述べ、家電の方がそのリスクは低いと述べたのに対し、奥天氏は「例えばユーザI/F部分にJavaを使っている機種で、Javaエンジンに問題が出たりした時とかのことを考えると(家電と言えども)決してメンテフリーにはならないと思うし、これは我々の踏んだ轍」と語り、決して家電といえどもリスクは少なくないと主張した。

このような状況を受けて三輪氏は「利用者にそこまで(の作業を)求めるべきかと考えると、情報家電の必要性と天秤にかけてどちらが重要か、ということを考えたりする」と述べ、ユーザの立場としては、そこまで面倒なら情報家電そのものを使わないという選択肢も考えられる、との立場を露わにした。

また、現在衛星放送用のチューナ等で一部採用されている、放送波にバージョンアップ用のデータを乗せて配信するような形態を、パソコンや情報家電全体に広げるようなアイデアについては、奥天氏が「確かにいいアイデアだとは思うが、万が一第三者の手で改ざんされたパッチが放送波で出回った場合に、放送事業者が責任を負う可能性を考えると、そこまでのリスクを負ってまで配信してくれる事業者がいるかどうか疑問」と語り、ソフトウェアベンダーとして、パッチの信頼性を保証するためには、今のところ自分自身が直接データを配布する以外の方法はない、との考えを示していた。

脆弱性情報をどのように報道すべきか、依然残るメディアとベンダの温度差

今回のパネルを通じてたびたび話題に上ったのが、先日発覚した東芝のHDDレコーダにおける脆弱性の一件。これについては三輪氏がメディアの立場から「今回の問題のようなことについては、もっと声を大きくして伝えていくべきだと思うが、それがベンダには理解されない」「今回は実際の被害はそれほどでもなかったが、ベンダ側もWebに情報を載せたとはいえ、ニュースリリースすら出さなかった」と語り、情報公開に消極的なベンダの姿勢を指摘。また「他のメーカーにも同様の問題がないか確認した際も、どこも『うちは問題ない』の一点張りで、どのような方法で問題がないことを確認したのかを聞いても教えてくれない」と語り、問題は東芝に限らず多くの企業で存在すると指摘した。

これに対し奥天氏は、日ごろWindowsの脆弱性情報を扱っている立場から「本音では包み隠せるものなら隠したいという気持ちはあるが、実際にはメディアの協力を得ないと大事な情報が伝わらないので、そのためには包み隠さず情報を出さざるを得ない」と、ベンダ側の複雑な心情を吐露した。

また報道の仕方についても、三輪氏は「Blasterワームのときに、あれだけメディアが報道しても感染した人が相当数いたことを考えると、問題があることを強調するような報道は必要だ」「(脆弱性情報を)『欠陥』と表現することについては、マイクロソフトを含め多くのベンダから文句を受けるが、視聴者に重要な問題であることを伝えるために、我々は一貫してその表現を使っている」と述べ、危機感をあおるような報道も、多少であればやむを得ないとの姿勢を示したのに対し、奥天氏は「『欠陥』という表現が多くのメーカーを萎縮させているのも事実」「我々の場合は過去の経験でそれなりに体制ができているが、そうではない組織も多い」と述べ、メディア側とベンダ側に依然として温度差がある様子がうかがえた。

実際水越氏は、冒頭で「今回のパネルでも家電ベンダさんに声をかけてみたが残念ながらご参加いただけなかった」と語り、情報家電の脆弱性を語ることについてベンダ側のアレルギーが依然根強いことをうかがわせており、この温度差が解消するには時間がかかりそうだ。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

Twitter Facebook Google+ はてな スーパーマーケットのハローズ、需要予測型自動発注システムを導入
[18:52 5/24] 企業IT
ZMP、実車とドライブシミュレーターを用いた実験走行サービスを開始
[18:50 5/24] テクノロジー
読売新聞「yomiDr.」がCMSを刷新 - アクセス数耐性が3倍、運用コストを50%削減に貢献
[18:41 5/24] 企業IT
熊本地震被害は最大4.6兆円 - 内閣府試算
[18:37 5/24] マネー
G-Tune、ストVのトーナメント大会「RAGEマスターリーグ 玄武杯」に協賛
[18:37 5/24] パソコン

特別企画 PR

求人情報