“暮しの手帖”的なセキュリティ情報を

藤田憲治

2002.03.20

　ほとんどの方が，暮しの手帖（暮しの手帖社）という雑誌をご存知だと思う。「日々の生活の中で役立つ情報を」という目的で，昭和23年に創刊された雑誌である。徹底した実証主義の下，商品を厳しい目でテストし，役立つものを選択する雑誌だ。

　実証主義に基づいた暮しの手帖は，ある悩みを抱えながらセキュリティ問題を追いかけている筆者に，よいヒントを与えてくれている。その悩みとは，オンライン媒体に比べ即時性で劣る雑誌やムックなどの“紙媒体”で，いかに有用なセキュリティ情報を提供していくか，ということである。

　筆者は，この“暮しの手帖”的な実証主義が，紙媒体の特性を生かしたセキュリティ情報を提供するために重要だと考えている。

紙媒体の特徴をどのように生かすか

　相変わらず，ウイルスやワームが次々に出現し，セキュリティ・ホールが毎日のように発見・公開されている。例えば，この原稿を執筆している最中にも，Internet Explorer 6の新たなセキュリティ・ホールが公開された。悪意あるWebページを閲覧するだけで，プログラムを勝手にダウンロードし，実行してしまうという深刻なホールだ（関連記事）。

　メーリング・リスト「Bugtraq[用語解説]」を運営していることで有名な米SecurityFocus社のArthur Wong社長によると，ぜい弱性は2002年に平均して毎週50件のペースで発見されるだろうと言う。同氏は「1998年は平均して1週間に5件，1999年は10件/週，2000年は25件/週，2001年は30件/週だった。伸びは少し緩やかになっているが，右肩上がりの傾向は変わらない。例えば，2002年1月26日は1日だけで29件ものぜい弱性が見つかった」とその根拠を示す。

　ウイルスやワーム，セキュリティ・ホール情報は即時性を求められる。出現・公開された際には，できるだけ早急かつ適切に対処すべきである。この性格上，これらの情報は時間のかかる“紙”ではなく，オンラインで素早く提供するのが適している。

　では，雑誌やムックなどの定期的に発刊する“紙媒体”で，いかに有用なセキュリティ情報を提供していくのか。即時性に優れるオンライン情報に対して，1～2カ月ごとに発行する雑誌やムックは何に適しているのか。

　単純には，オンラインで流れた大量の情報から重要なものをピックアップして正確かつ分かりやすく伝える，ビジュアルな誌面で難解な技術・活用情報を読み解けるようにする，ある期間の統計データを掲載する，などが考えられる。

　しかし，これら以外に特徴は出せないのか。3月18日に市販を始めた「日経ネットワークセキュリティ」なるセキュリティのムックを執筆・編集するにあたって，ここ数カ月，この思いがずっと頭の中にくすぶっていた。

“誰にでも理解できる情報”と“徹底的な検証”が求められる

　この課題は，様々なセキュリティ関係者にもぶつけてみた。この結果，導き出したのが冒頭で記した“暮しの手帖”的な実証主義である。具体的には，セキュリティ関係者から，大きく二つの意見をいただいた。

　一つは「セキュリティ情報は難解すぎる。セキュリティ専門誌を発刊するなら，誰にでも理解できる情報を定期的に提供することを目指すべき」という意見。これによって，コンピュータ・ユーザーのセキュリティ意識の底上げを図るべきだという要望である。

　もう一つは「技術系出版社ならラボ的な機構を持ち，ぜい弱性情報や製品比較を自らで徹底的に検証し，それを掲載すべき」という意見である。

　筆者は今後，この2点を最優先に紙媒体に取り組みたいと考えている。製品情報なら，カタログ・スペックや開発会社の意見を載せるだけでなく，製品を実際に試用し，ベンチマークや使用感などを基に徹底比較する。オンラインにはない「実践的な比較・活用情報」を，雑誌やムックで定期的に提供することで，即時性の高いオンライン情報との相乗効果が見込めるのではないだろうか。

289種類のウイルスを使って調査

　例えば，日経ネットワークセキュリティでは，主要ウイルス対策ソフト7製品を使って，それぞれのウイルス検出率を実際に測定してみた。IPA[用語解説]に届けられたウイルスのうち過去1年間（2001年1月～12月）に日本国内で報告されたウイルス77種と，The WildList Organization Internationalが保持する212種類のサンプルの計289種類のサンプル・ウイルスを実際に用い，それぞれのウイルス対策ソフトの検出率をベンチマーク・テストしたのである。

　この結果，製品によって既知のウイルスの検出率にも差が出た。「既知のウイルスは検出できて当然」という視点に立つと，韓国Ahnlab社の「V3 ProDeluxe」の検出率94％は意外な低さであった。この他にも，ウイルスを検出した際に表示する名称が各製品によってバラバラであることが，あらためて浮き彫りになった。これが筆者の考える“暮しの手帖”的な誌面の一端である。

　時期は決まっていないが，日経ネットワークセキュリティはVol.2も発行する計画である。今後も，ウイルス対策ソフトやファイアウオール[用語解説]，侵入検知ツール（IDS[用語解説]）などの製品，および最適なルールの作成方法やぜい弱性情報などを腰を据えて調査していく。例えば，ウイルス対策ソフトなら，検出率以外にも新たなウイルスへの対応状況や使い勝手など，調査する項目はたくさんある。

　紙媒体でセキュリティ情報を提供する最善の策は，これからも追求していかなくてはならない。ご意見・ご要望をお寄せいただきたい。