情報システム部門が対応できない部分(上)

呉井嬢次(Johji Kurei) 2005-10-05 09:27:00

 企業の情報システム担当者は、セキュリティ対策を行っているが、どうしても対処できない部分もある。ひとつは、国のインフラに関する部分、もうひとつは、インシデントの対処に関わる部分である。2回に分けて解説する。

政府のサイバーテロ演習の報告は原則非公開

 昨年度、経産省が電力分野に対してサイバーテロ演習を実施した。その結果を知っている人はどれだけいるだろうか。そして来年度は総務省がサイバーテロ演習を実施する予定だ。ただし、演習結果を公表する予定はないようだ。国の重要なセキュリティ事項に含まれるので公開する必要はない、という意見もある。ただ、億単位で予算を要求している(経産省のケースを参考)。その配分、レポートは公開されていない。一方、米国では毎年GAO(会計検査院)が各省庁単位で情報システムの脆弱性を調べ、結果をインターネットで公開している。この差はずばり、日本はセキュリティ対策の費用対効果という観点が欠如していることを表している。財務省は、これからも国土交通省など他省庁からのサイバーテロ演習も続々と認めていくのかもしれない。ちなみに、米国で実施された過去10年間のサイバーテロ演習は情報公開されている。一部はインターネットを経由して詳細を入手できる。まぁ、結果を全てを公開していると、単純に考える必要はあるのだが。

ウィークリンクを探すサイバーテロ演習

 日本のサイバーテロ演習の流れは、経産省は電力分野、総務省は通信分野、専門とする分野に対してサイバーテロ演習は行われていく傾向がある。この方法で注意したいのは、国の情報インフラにおけるウイークリンクの存在だ。ウイークリンクとは、情報システムが複雑になり、鎖のように接続されている場合、最も弱い接続箇所をいう。通常のテロでも同じだが、巨大なシステムの中で、最も脆弱な箇所を攻撃することで、攻撃側のリスクやコストを少なく、そして効果を最大にすることができる。サイバーテロ演習も同様で、分野別に行われた場合、組織間の境界部分、ネットワークから独立したシステム、多重化したネットワークなどでウイークリンクが発見できない可能性が高い。このような点を踏まえて横断的なサイバーテロ演習が必要だろう。

サイバーテロ演習の対象外システムが要注意

 サイバーテロで重要となってくるのは、対象外のシステムである。財団法人に任せていたり、実質的に地方自治体で運用管理しているシステムは、サイバーテロの演習対象外となりやすい。つまり、省庁の監督できる民間企業の情報システムにはセキュリティ対策を求めるが、身内の団体が動かしている情報システムは、蚊帳の外だったりする。カカクコムのように、既存脆弱性を攻撃されたケースを取り上げ、演習を行う一方で、個人情報、センシティブな個人情報を取り扱っているシステムにこそ、サイバーテロ演習は重要だ。民間企業では、過去に数百万単位で個人情報が漏洩したが、政府のシステムでは一千万単位で情報が漏えいする可能性がある。

 過去に国の一部のシステムに対してセキュリティ度合いを調べたことがある経験(もちろん合法的にです)から言わせてもらえれば、サイバーテロ演習では、重要インフラと呼ばれるシステムに対して様々な攻撃を行っていく。もちろん日常生活には影響を与えない範囲で細心の注意を払って行う。攻撃する側の行動も、第三者がチェックされる場合があるが、その攻撃手法が次々登場しており、手順、技法は未だ十分に確立されているとはいえない。詳しい内容は、契約上、公開できない。しかし、どんなテストをしているのか、どんな結果が発生し、注意すべき点を公開していけば、サイバーテロ演習に参加していない民間企業の情報システムにも参考になると思うのだが・・・

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR