「保護法下でも個人情報の有効活用を」--ISS高橋CTOが主張

田中好伸(編集部)

2005-11-25 17:35

 「セキュリティ対策が産業の発展を止めるようなことがあってはならない」--。インターネットセキュリティシステムズ(ISSKK)で最高技術責任者(CTO)を務める高橋正和氏は11月24日、施行6カ月が経過した個人情報保護法に対する現状をまとめ、同法に対する企業の取り組みに問題があるとの認識を示した。高橋氏は、11月1日付で最高情報責任者(CIO)からCTOに就任、現在はエグゼクティブ・セキュリティ・アナリストを兼任している。

 高橋氏は「個人情報保護法は本来、理性的な法律」と見ているが、実際の企業の同法への対策について「個人情報の保護に重きを置いているために、利便性を落とすことになっている」(高橋氏)と指摘した。

200
「保護法施行後でも情報漏洩はなくなっていない」高橋正和CTO

 「個人情報の保護と活用はトレードオフの関係にあると言われるが、このことを額面通りに理解すると利便性を落とす」(高橋氏)ことになってしまう。高橋氏は「個人情報を適切に保護しつつ、健全に活用すべき」と主張している。

 企業の個人情報保護法対策が過敏になってしまった原因として、高橋氏は「個人情報保護法は企業がセキュリティ対策を講じるうえで、法務担当部門が初めて加わったケースであること」を挙げた。このために「とにかく、法を順守することを重視してしまった」(高橋氏)。

200
「ボットはUnixからでも感染する」守屋英一シニア・セキュリティ・エンジニア

 また高橋氏は、同法施行後にPtoPソフト「Winny」からの個人情報を含めた情報漏洩が続出していることについて、「これらの事件の背後には、個人情報保護法に関する“コンフリクト”が存在する」と語る。このコンフリクトとは「建前としての保護法対策と保護法対策の実効性との間に存在する」(高橋氏)もの。

 「保護法対策でノートPCの持ち出しを禁止されているが、仕事に要求されるスピードは変わらない。そのためにどこかで帳尻を合わせる必要がある。そこで、会社のPCからデータをUSBメモリなどで持ち帰って、自宅PCで仕事せざるを得なくなっている」(高橋氏)

 そのために「仕事のデータをUSBメモリで持ち帰ることを許可され、自宅PCで仕事をしていたら、たまたまWinnyから流出してしまったというかわいそうなケースが存在する」(高橋氏)という。

 高橋氏は現在、個人情報を保護するうえで新たな脅威としてボットにも注意すべきと警告している。ボットは、分散サービス拒否攻撃(DDoS)や迷惑メール(スパム)送信などを展開することで脅威とされているが、「銀行口座やクレジットカード番号、オークションIDなどのスパイウェアとして活動することもある」(高橋氏)という。

 ISSKKでシニア・セキュリティ・エンジニアを務める守屋英一氏は「ボットの主な感染経路はWindowsの脆弱性を利用している。しかし最近では、新たにUnix上で動作するアプリケーションの脆弱性を利用して感染するボットが確認されている」と説明している。

 脆弱性を利用されたUnixのアプリケーションは、「AWStats(6.2以前)」と「XML-RPC for PHP(1.3.0以前)」。AWStatsは、ウェブサイトのアクセスログを解析して、HTML形式でログの統計情報をグラフなどで表示できる、Perlスクリプトだ。一方のXML-RPC for PHPは、PHPユーザー向けのオープンソースのライブラリ。どちらもリモートの攻撃者から任意のコマンドを実行することができる脆弱性を利用されて、ボットの感染経路となっている(どちらも最新版では、脆弱性は修正済み)。

 最近の傾向として守屋氏は「特定の国に向けた攻撃を仕掛けるボットが出てきている」と説明。「Zeroboard」と呼ばれる掲示板ソフトは韓国で多く利用されているが、このソフトがボットの感染経路となって、9月8〜9日というごく短期間で韓国を標的とした攻撃を展開したことが確認されているという。

 高橋氏は、ボットの傾向として「今後はより目立たなくなっていくだろう。潜伏化して、大規模なDDoSなどの事件が起きて初めてボットの存在に気がつくということもあるだろう」と見ている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

関連キーワード
セキュリティ

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

  4. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

  5. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]