独立行政法人 情報処理推進機構(IPA)は10月3日,主催イベント「情報化月間 記念特別行事」において,「情報セキュリティの新たな脅威と対策について」と題したパネル・ディスカッションを開催した。パネル・ディスカッションでは,「ボット」「BCP(事業継続計画)」「脆弱性情報公開」などについて議論された。
モデレータは東京電機大 教授の佐々木良一氏,パネリストは日本銀行 金融研究所 情報技術研究センター長の岩下直行氏,ラック 代表取締役社長の三輪信雄氏,トレンドマイクロ 戦略企画室 室長の小屋晋吾氏---の3名。
まず,ボットの脅威が改めて議論された。「ボットに感染したPCの持ち込みなどで,企業のイントラネットの多くにはボットが侵入している可能性が高い。しかし,実態はつかめていない」(ラックの三輪氏)。「インターネットとは異なり,イントラネットにおけるボットの実態は当事者からの報告がないと分からない。ある企業からは,ほかでは一切見つかっていない種類のボットが見つかった。その企業を狙って作られた可能性が高い。同じようなボットの侵入を許している企業はほかにもあるだろう」(トレンドマイクロの小屋氏)
クライアントへのボット感染や,サーバーへのボットの“設置”を防ぐには,「地道な“穴ふさぎ”が重要」(東京電機大の佐々木氏)。だが,「半数以上のWebサイトには,“よく見ると”SQLインジェクションなどの脆弱性が存在するのが実情だ」(ラックの三輪氏)。
BCPについても議論された。「従来は,情報システムのトラブルは情報システムだけが影響を受けるものだった。現在は,実際の業務に直接影響を与える。このため,IT事故に関するBCPの重要性は増している」(日本銀行の岩下氏)
ただし課題は多い。例えば,「パッチを当てる,あるいはセキュリティ設定を変更する際には,サーバーを止めなければならない場合がある。こういった場合,BCPを優先させるべきか,セキュリティ対策を優先させるかといった議論が起こる」(ラックの三輪氏)。これについては,「セキュリティ対策などのために,『予定した上で止める分には問題にはならない』というのが最近のトレンドのようだ」(日本銀行の岩下氏)。
ソフトウエアなどの脆弱性情報の公開については,「『デジタル・デバイド』の問題が関連してくる。コンピュータに詳しくない人にどう伝えるのかが重要である。脅威を強調するとユーザーが怖がってしまい,対象製品が評判や売り上げを落としてしまう可能性がある。かといって,はっきり言わないと分かってもらえない。強く言うのか,弱く言うのか,このさじ加減が難しい」(日本銀行の岩下氏)。
この意見に対して,トレンドマイクロの小屋氏は「伝える対象をある程度セグメント化するとよいのではないだろうか。対象ごとに,伝え方や伝える内容を変えたほうがよいだろう」とする。また,「脆弱性の脅威のランク付けについては,発表者によって基準が異なる。いくら脅威のランクを公表しても,その基準を明確にしないと,ユーザーには分からないだろう」(同氏)と付け加える。
発見者が脆弱性情報を公表しようとする背景についても理解する必要があると三輪氏は強調する。「発見者がベンダーに脆弱性を報告しても,ベンダーによってはすぐに対応しない。対応のスピードはベンダーの都合によって変わってくる。このため発見者から,『早く対応しないと脆弱性を公表するぞ』といった話が出てくる」(ラックの三輪氏)
