ブロードバンド時代、セキュリティのあり方は変わるか？ 三輪信雄 株式会社ラック コンピュータセキュリティ研究所 2001/05/

　いよいよやってくるブロードバンド時代。これによってシステムが直面するセキュリティの脅威も、新たな局面を迎えるのだろうか。今回は、「セキュリティ・ポリシーでネットビジネスに勝つ」(NTT出版)などの著書を持ち、企業情報システムのセキュリティ問題について幅広く講演・執筆活動を展開されている株式会社ラック　コンピュータセキュリティ研究所　三輪信雄氏に話を聞いた。

（聞き手：吉田育代）

――　ブロードバンド時代が到来すると、セキュリティを危うくする新たな問題が生じるでしょうか。

三輪：それはあるでしょう。回線容量が100倍になるということは、通過できるパケット容量も100倍になるということです。その中にひそむ不正アクセスのパケットを検知するのは容易ではないでしょう。

　また、ネットワークコストが下がって家庭でも常時接続環境が気軽に持てるようになりますから、サーバを立てる人が増えるでしょう。セキュリティに対する個人の認識はまだまだ十分とはいえないので、個人のパソコンが狙われたり、踏み台になったり、スパムメールの送信元になるという被害に遭う可能性は非常に高いです。

――　では、こうした問題に対処するためにセキュリティもブロードバンド時代ならではの特別な対策が必要になってきますか。

三輪：ネットワークやシステムがどう変わろうと、セキュリティの基本というのは変わらないんですよ。ブロードバンド時代向けの特効薬というのはありません。何かを買って、何かを導入すればパーフェクトという簡単なことではないんです。それこそ完ぺきに備えようとしたらきりのない世界です。重要なのは、自分たちはどこまでのセキュリティを確保するのかという考えをしっかり持つことと、必須といわれる事項を確実に実行することです。

――　ブロードバンド時代だからこれをしなければならないということはないんですね。では、セキュリティを確保するための必須事項とは何でしょう。

三輪：その前にまず考えてみていただきたいのは、そのサーバは絶対に自分たちで守らなければならないのか、ということです。今はWebホスティングサービスやASPサービスがたくさん出てきていて、何が何でもシステムを自ら運用管理しなくてはならないという時代ではなくなっています。忙しい本業のかたわらセキュリティにも気を配らなければならないという状況なら、いっそのことサーバごと管理をアウトソーシングするというのも1つの解決策だと思います。

まずはサーバを安全に保つことが重要だ

――　なるほど。確かに、サーバを自前で管理しなくていいのなら、それでセキュリティに気を使わなくてよくなるというわけではありませんが、気持ち的には楽になりますよね。ベンチャーやSOHOの方などには有効な手段だと思います。では、アウトソーシングを検討したけれども、やはり自分たちで管理したいと決めた場合はどうでしょう。どのようにしてセキュリティを確保すればいいですか。

三輪：サーバを安全に保つこと。これにつきます。

――　具体的にはどうすれば？

三輪：システムで利用しているソフトウェアに関して、ベンダーから出る修正パッチをこまめに当てて、設定を常に最新の状態に保つことです。これをとにかくずっとやり続ける。

――　よく“バージョンによって修正パッチを当てた後の動作を保証しないとソフトウェアベンダーがいっていて、だから最新のパッチが当てられない”などという話を聞くんですが。

三輪：そんなのベンダーと闘えばいいんですすよ。修正パッチというのは修正するためにあるんだから、入れてはいけないという方がおかしな話なんです。日本のユーザーは最初からあきらめてしまっていますよね。“ソフトウェアにはバグがつきもの”などといっているベンダーの言い分を認めて、引き下がっていてはいけないんです。パッチを当てて不具合が出るなら、“対応しろ”とベンダーにどんどん迫らなければ。

――　しかし、ECなどでサーバを24時間稼動させる必要があって、修正のチャンスがないという場合もありますよね。

三輪：そんなことをいっていて顧客データを盗まれたりしたら、それこそ取り返しがつきませんよね。

――　何よりも優先すべきはセキュリティである、と。

三輪：そうです。問題があるとわかっている部分をそのまま放置しておいてはいけないんです。
――　はい、ではサーバを常に安全な状態に保たねばならないことはわかりました。次にしなければならない必須事項は何ですか。

三輪：ファイアウォールを入れることでしょうね。技術的には、パケットフィルタリングはもはやファイアウォールの専売特許ではなくなっているので、絶対ファイアウォールがなければいけないというわけではありません。しかし、この製品はセキュリティ対策の基本という位置付けを得てしまったから、入れておかないと何かあったときに“ファイアウォールも入れてなかったのか”と糾弾されることになります。社会的責任を果たすために入れておいたほうがいいでしょうね。

――　その次は。

三輪：IDS（Intrusion Detection Systems、侵入検出システム）の導入ですか。これもサーバのセキュリティを高めてくれるという点では有効ですが、万能ではありません。こういうタイプの攻撃を検出するという目的を決めて、侵入行為を特定して利用する必要がありますね。

――　必須事項としてはこの3つぐらいですか。

三輪：そうですね。あとは人間系の危機管理体制でしょう。平日の昼間以外の連絡網を整えたり、システムに問題が生じたときの対処マニュアルを作成しておくなど、いざというときに迅速に動けるしくみを確立しておくことです。

やる気とお金があれば、新技術の導入もよし

三輪：でも、セキュリティ対策って、何か身に差し迫ったことがないと真剣に考えないというのはありますね。現実の世界と同じです。近所の家がピッキングの被害にあったから、そこで初めて危ないと思って鍵を変える。もし何も起こっていなければ、そこで鍵を変えるという発想は出てきません。そういう意味では、私たちが必死になって“セキュリティ対策を！”と訴えるより、一度痛い目に遭ったほうがその大切さはよく理解できます。「セキュリティは転んだあとの杖」と私たちは呼んでいますが（笑）。

――　それはそのとおりですね（笑）。しかし、その一方で、痛い目には絶対遭いたくないと考え、新しいセキュリティ対策製品を積極的に検討されている企業もあるようです。こういう姿勢についてはいかがですか。

三輪：新しい製品はノウハウが確立されていないため、導入するとたいてい苦労することになります。

――　では、飛びつかないほうがいいのでしょうか。

三輪：いや、やる気があってお金があるのなら、どんどんチャレンジした方がいいと思います。苦労はしますよ。苦労はするけれども、確実に他の企業より一歩前に出ることができるし、一足早くノウハウを蓄積することが可能ですから。

――　日本企業にはなかなかこうしたイノベーターがいないというのが定説ですが。

三輪：以前は確かにそうでした。しかし、最近は製造業を中心に、果敢にセキュリティ対策に乗り出している企業がたくさん出現していますよ。日本の製造業は世界を相手にビジネスをしていますから、セキュリティの重要性については理解も、取り組みも進んでいます。

単純なものはより単純に、複雑なものはより複雑に

――　最後に、新しいセキュリティ対策製品のトレンドを伺いたいのですが。

三輪：基本的には、単純なものはより単純に、複雑なものはより複雑に、というのが大きな流れですね。

　ファイアウォールなどというのは、やがてはルータがその機能を肩代わりをするようになって消えていくのではないかと見ています。

　その逆にインテリジェントになっていくのがIDSで、最近ではネットワーク型IDS、ホスト型IDSと持ち場を特化した製品が出現するようになっています。また、複数の情報源から得たデータを、マイニング的なエンジンを使って総合的に考え合わせ、“このアクセスは怪しいと思われる”、“通常こういうアクセスは起こり得ない”という風に、IDSが推論するというようなことも可能になってきました。

――　人間のかわりに考えてくれるわけですね。

三輪：その推論の確からしさはまだ議論の余地があると思いますが。

――　これまでになかったセキュリティ対策製品というのは出てきていますか。

三輪：目新しいところでは「社内犯罪摘発ツール」ですか。対象を企業内のエンドユーザーに絞り、禁止されているサイトへのアクセスや不自然な時間帯のアクセスなどを検出して知らせるというものです。

――　企業で起こっている犯罪の半数は社員によるものだといいいますから、出てくるべくして出てきた製品といえるんでしょうね。

三輪：でも、これを導入したからといって、社内犯罪が完全撲滅はできません。製品はあくまで部分的な機能を提供するだけです。

　重要なのはどんなツールを導入するかではなく、どんなセキュリティ・ポリシーを持って、どう運用するのかという基本方針の存在です。この部分だけは自分たちで考えなければ誰も提供してくれません。

　ブロードバンド時代の到来で、変わっていくことはありますが常識が覆るわけじゃない。
今することは、現在のセキュリティ・ポリシーが十分かどうか、もう一度足元を見つめなおすことだと思いますね。