写真1●セミナーで講演する内田勝也・横浜市CIO補佐監
写真1●セミナーで講演する内田勝也・横浜市CIO補佐監
[画像のクリックで拡大表示]
写真2●セミナーの最後には、国内の暗号研究分野の第一人者である辻井重男・中央大学研究開発機構教授によるハッシュ関数に関する講義も行われていた
写真2●セミナーの最後には、国内の暗号研究分野の第一人者である辻井重男・中央大学研究開発機構教授によるハッシュ関数に関する講義も行われていた
[画像のクリックで拡大表示]

 「ソニーの情報漏洩事件は、夜の新宿で大切なものが入っている屋台を放置していたようなもの。まともなセキュリティ対策は何も施されていなかったとしか思えない」。こうぶち上げたのは、情報セキュリティ大学院大学の名誉教授で、横浜市CIO補佐監を務めるセキュリティ専門家の内田勝也氏(写真1)である。2011年6月22日夜、中央大学の後楽園キャンパスで開催されたセミナー「6月度 情報通信技術研究会」(写真2)でのヒトコマだ。

 講師として登壇した内田氏は、2011年4月末以降立て続けに発生した、ソニーおよび関連会社のネットワークサービスやWebサイトに対する不正アクセスと、それに伴う大規模な個人情報漏洩事件について、各種報道やセキュリティ関連サイトなどから集めた様々な情報を長年の経験に基づいて独自に考察し、同セミナーの場で披露した。

 同氏はまず、今回のソニーの事件に関してよく耳にする「高度な技術を持つ侵入者によるものだった」という意見に対して、正面から異論を唱えた。冒頭で引用したコメントのように、情報漏洩を許したのはソニー(グループ)のセキュリティ対策があまりにお粗末だったからに過ぎないとし、「『あの大メーカーのソニー自身がそう言っているのだから』と日本のセキュリティ専門家の多くはすっかりだまされているのではないか」(内田氏)と批判した。

「CISO職をCIOの下に配置したことについても大いに疑問が残る」

 そうしたソニーによるセキュリティ対策や事件発覚後の対応のお粗末さを如実に示す例として、講演で内田氏が挙げていたのが以下のようなポイントである。

・攻撃されたアプリケーションサーバーの既知の脆弱性をパッチも当てず放置していた
・ハッカーによってサーバーが再起動させられるまで不正アクセスの事実に気付けなかった
・関連会社で漏洩した一部パスワードについては、暗号化(ハッシュ化)を行っていなかった
・事件発覚後の記者会見で、基本的なセキュリティ知識を持っているかさえ疑われるような発言を担当者がしていた
・再発を防ぐための新体制として、新設したCISO(最高情報セキュリティ責任者)職をCIO(最高情報責任者)の下に配置した
・ハッカーコミュニティとの付き合い方のまずさ

 例えば、サーバーが再起動させられるまで不正アクセスに気付けなかった件については、「定期的にログ解析さえしていれば簡単に気付けたはず。そんなごく基本的なことさえしていなかったことは明白」と喝破。関連会社で漏洩したパスワードのハッシュ化が行われていなかったケースについては、「国内では、2010年11月にサミーネットワークスのオンラインゲームサイトで不正アクセスがあり、約174万件の漏洩したパスワードがハッシュ化されていなかったという事件があった。あれ以降多くのネットサービスが最低限、パスワードのハッシュ化をするようになっているのに、こうした過去の教訓からも何も学んでいない」(内田氏)とバッサリ切り捨てた。

 内田氏は、CISO職をCIOの下に配置したことについても大いに疑問が残る対応だとした。「情報セキュリティが経営問題になる組織では、CISOはCIOの配下ではなく経営層により近いところに設置すべきではないか。米国をはじめとする海外の常識からすれば考えられないこと」。ただし、「日本の場合、同様な考え方をしている企業は多い。“日本の常識=世界の非常識”になりつつある」と、この件に関してはソニーに限った話ではないことも補足していた。

 ハッカーコミュニティとの付き合い方についても、ソニーはあまりにもまずい対応をしていたと内田氏は指摘する。「PlayStation 3のJailbreak(ハードウエアハッキング手法)を開発したハッカーであるジョージ・ホッツ氏(ハンドル名:geohot)を米国で訴えたり、関係するハッカーの情報を入手したりしようとするなど、ハッカーコミュニティの相当な怒りを買っていた可能性は高い。彼らとの全面的な対決姿勢が事件の引き金を引いたというのが、米国のIT業界にいる有識者の大勢の見方となっている」。