今回が初開催となる新たなセキュリティ・カンファレンス「東京国際セキュリティ・カンファレンス 2005」(Tokyo International Security Conference 2005: Tokyo Intersec)が、東京・六本木ヒルズで開かれた。

本稿ではその中から2日目の基調講演を行った総務省・CIO補佐官の大塚寿昭氏の講演、そしてCheckPoint FireWall-1のよくありがちな設定ミスに関する分析結果を発表したテルアビブ大学のAvishai Wool氏の講演をご紹介する。

我々が相手にしているのは今や犯罪のプロ組織である

大塚氏は冒頭で自らのことを「総務省で合計28人いるCIO補佐官のうち唯一のセキュリティ担当です」と語り、総務省の情報セキュリティ関連の最近の状況を中心に今後気をつけるべき内容について解説した。

まず大塚氏は2005年4月から全面施行された個人情報保護法関連の事件・事故の発生状況について触れ、2005年8月上旬までの状況では個人情報が漏洩した事例のうち約4割が紛失によるもので、盗難の約3割を上回っていることを紹介した。同氏はこの点について「金融機関が(自らの保有する個人情報の状況について)一斉スクリーニングをかけたことの影響もあるが、それを差し引いても紛失の割合が高い」と現状を分析した。

その上で大塚氏は、最近の情報セキュリティ関連の事件が、以前のようなIT技術者の腕試し的な内容のものから犯罪組織の専門家が行うような、より直接金銭的な被害に結びつく形態に変化していることについて、特に2005年は米国で大規模なクレジットカードの偽造事件が発覚したり、日本でも複数のネット銀行を舞台にフィッシング詐欺などが行われたりしている事例を紹介した。その上で、「元々このような企業のセキュリティ対策は(一般的な企業に比べ)高度に行っているはずなのに、それでもクレジットカード偽造の事例では半年もの間、問題に気づかなかった」と述べ、「これは明らかに企業側の監視体制を知っていてそれをすり抜ける手口をとっており、高度な犯罪組織が関係していないと行えない犯行だ」と語った。

大塚氏は、カード情報を処理する企業から情報を抜き取る手口について「外部のネットワークとのトランザクションが急増するとそれだけで事件が発覚してしまうので、おそらくはカード情報を通常のメールぐらいのサイズに分割した上で時間を分けて送信していたものと思われる」といった事例を紹介。「現金化のためにはそのカード情報を元に大量にクレジットカードを偽造する必要があり、その点でも組織の存在が不可欠である」と語った。またフィッシング詐欺の事例では「いわゆる振り込め詐欺と同様に他人名義の口座をあらかじめ用意し、またパケットの発信元には暗号化されていない無線LANのAP(アクセスポイント)を利用するなどの工作も行っていた」と指摘した。

これに対し「銀行側のセキュリティの体制は(いわゆる第3次オンラインシステムの構築以降)この20数年変わっておらず、組織犯罪者がITの知識を持っていたらもっと早くから被害が出ていただろう」と大塚氏は語り、「我々は今や従来のハッカーと明らかに違う人種を相手にしている」として、参加者に警戒を呼びかけた。

思わぬところに存在するセキュリティリスク、常にその存在を抱える覚悟を

ただこれに対する対策は一筋縄ではいかないことも大塚氏は指摘する。例えば実際に大塚氏が体験した事例では「総務省では外部へのデータの持ち出しを制限するためにいろいろな対策を行っていたが、ある日私が自分の私物のノートPCをオフィスに持ち込んで作業していたところ、突然隣のノートPCとの間でネットワークがつながってしまった」という。原因は双方のノートPCにあった赤外線ポートで、たまたまポート同士が近接した場所にあったために勝手にネゴシエーションを始めて接続してしまったらしく、大塚氏は慌てて部下にビニールテープを持たせて省内のノートPCの赤外線ポートをふさぐ作業に追われたとのこと。

このようにセキュリティリスクは思わぬところに潜んでいる一方で「社会的に影響の大きな分野にまでPCは浸透してしまった」(大塚氏)。特に新しい分野においては技術者がセキュリティに精通していない場合も多く、セキュリティ技術者にとっては常識レベルのセキュリティですら実装されていない例も多いという。大塚氏はその例として、いわゆる老人や子供の安全確保などを目的に開発されている「見守りロボット」を挙げた。

同ロボットはその性質上、見守る対象となる人物の医療情報や過去の行動記録などプライバシーに関わるデータを内部に保存しているのだが、例えば何者かが勝手に筐体を開けて中のHDDを取り出したり、あるいはロボットごとどこかに持ち去ったりしたら、内部のデータが盗まれプライバシーが丸見えになってしまうのではないかという点について大塚氏が開発者に指摘したところ「技術者はハングアップしてしまった」とのこと。

またいわゆるセキュリティホール等の問題についても大塚氏は「プログラムは社会情勢や技術の変化に合わせて更新する必要がある以上、例えば10年間同じプログラムを使い続けるということは今やありえない。しかし、更新を行うということはそれだけバグが混入するリスクも高まる」と述べ、常にソフトウェアのバグのリスクを抱え込んだ状態でシステムの運用を行う覚悟が求められることを参加者に訴えた。

大塚氏は講演の最後で、情報セキュリティを守る上では暗号化やアクセス制限などのシステムレベルのセキュリティの確保、セキュリティポリシーの制定・運用などのマネジメント、入退室管理や監視カメラの設置・物品の管理などの「ヒト・モノの管理」(これを大塚氏は「ハード・セキュリティ」と呼んだ)の3要素のバランスが取れていることが重要だと述べ、特に「デジタル情報を扱う世界では紙の取扱が軽視されがちだが、実際は紙もデジタルも同じレベルで守る必要がある」ことを参加者に呼びかけていた。