ビジネスの継続リスクにおけるコンピュータシステムへの考慮が不十分

その後行われたパネルディスカッションでは、上記で各パネリストが語った話題はもちろんのこと、脆弱性情報の公表方法やビジネスの継続性の確保に関する話題まで多岐に渡る議論が行われた。

中でもサイバーテロが起こった際にどのようにビジネスを継続し、また重要インフラを守るかといった点については、岩下氏が「日本では地震などの自然災害対策としてのBCP(Business Continuity Plan)の検討は進んでいるが、システムトラブルやサイバーテロとBCPを結びつけて考えているところが少ない」と述べた。その一例として、今年4月に発生したウイルスバスターのパターンファイル更新を巡るトラブル(新規に配布したモジュールのバグにより、CPU使用率が100%になるなどPCの使用が事実上困難になった)が起こった直後に、主な企業のBCP担当者に話を聞いた際に「このトラブルをBCPの問題として捉えている担当者が全く存在しなかった」(同氏)ことを挙げた。

これに対しては小屋氏も「弊社のソフトの問題で恐縮ですが……」と前置きしながら、当該トラブルの後に主要官庁に呼び出されて事情説明に回った際、「今回の一件で、アンチウイルスソフトがOSの次に重要な存在になっていることが初めてわかった」と多くの官庁関係者に言われたとのエピソードを披露。そして「OSやアンチウイルスに限らず、実際にはいくつかしかソフトの選択肢がない分野は多数存在するのではないか」として、業界ごとにそのような重要ソフトに関する情報を共有するようなフレームワーク作りが必要だとの見解を示した。

三輪氏は「もっと細かいレベルの話で言えば、いわゆるパッチ当てや(セキュリティ対応のための)設定変更について、それらを行うことで逆にサーバが落ちたりアプリが動かなくなったりするリスクをも考慮して、パッチ当てを行うべきかどうかを判断するような人が多くの場合存在しない」と述べ、ビジネスの継続性を確保するためにはそのような判断を行う人の存在が不可欠になるとの姿勢を示していた。

脆弱性情報はセグメント化して公開するが、一般への公表はインパクトのある形で

また脆弱性情報の公開方法についても、佐々木氏が「バイオメトリクスの世界に関しては、脆弱性がアナウンスされてから対策までに与えられる時間が少なすぎるのではないか」との疑問を提示すると、小屋氏が「(情報公開と事前対策をうまくバランスさせるためには)ある程度脆弱性を公開する相手をセグメント化していくしかないのではないか」と返答。この点については岩下氏も「いわゆるoffice事件もそうだが、技術者が脆弱性を見つけてしまった場合、取扱に困るという側面は実際存在し、もし善意で脆弱性を通報した人が脅迫扱いで逮捕されるようになってしまうと、研究者は萎縮してしまう」として、情報公開と対策のバランスについて「社会政策的判断が必要だ」と語った。

だからといって一般向けに情報公開を控えてしまうと、今度は「一般向けにはある程度強烈な形で情報を見せないと対策が進まないし、しつこく言わないとわからない部分がある」(岩下氏)。三輪氏も「その脆弱性がどの程度ニュース等で大きく扱われるかなど、情報公開の度合いにより実際に対策を行うユーザ側のやる気が違ってくる」と述べ、やりすぎは良くないもののある程度センセーショナルな形で情報を公開し、ユーザの危機感を煽らなければならない局面があることを認めていた。