警察庁やJPCERTコーディネーションセンター(JPCERT/CC)は,それぞれ2003年10月および11月から「インターネット定点観測システム」を運用している(関連記事)。
インターネット定点観測システムとは,インターネット上にセンサー(侵入検知システムのエージェントなど)を設置して,不審と思われるアクセスのデータ (時刻,送信元IPアドレス,送信元/受信先ポート番号)を収集するシステムだ。収集されたデータは毎週Webサイトで公開される。これを見れば「現在どのような攻撃(ワーム)が流行っているのか」という傾向をある程度つかむことができる。企業の管理者などには有用なシステムだ。
それぞれの組織は,収集データをもとに警告などを出すこともある。例えば,JPCERT/CCは1月15日,TCP 139番へのアクセスが増加していることから,Windows 2000/XPのセキュリティ・ホール対策を再確認するよう呼びかけた(関連記事)。
情報処理推進機構(旧情報処理振興事業協会)セキュリティセンター(IPA/ISEC)も同様の観測システムを持っているようだ。警察庁やJPCERT/CCのようには収集データを公開していないが,2003年8月に「Blaster」ワームが猛威を振るったときなどには,観測システムで得られた情報を公開している。
組織間の壁や縦割り行政が協調を阻む?
これらの組織が提供する情報は,ユーザーや管理者にとって有用ではある。しかし,それぞれの組織が別々に観測しているのを見ると,「それぞれが協力し合えば,より有意なデータをユーザーに提供できるのではないだろうか」と思えてくる。一組織が設置できるセンサーの数には限りがある。センサーの数が少ないと,データが偏るのではないだろうか。協力し合えば,ばらつきが少ないデータを提供できるのではないだろうか――。
そんなことを考えていたある日,警察庁で情報セキュリティに携わっている方と話をする機会があった。筆者の疑問をぶつけると,「組織によってセンサーの設定などが異なるので,それぞれの組織が得たデータを持ち寄っても有意な情報が得られるとは限らない」と言われた。
しかし,データを持ち寄らなくても協力し合う方法はあるだろう。例えば,自分たちのセンサーを設置している場所に,他組織のセンサーを置いてあげるのはどうだろうか。設定はそれぞれの組織に任せる。そうすれば,どの組織でもサンプル数(センサー数)が多くなるので,より有意なデータを取れるのではないだろうか。
いずれの組織も,センサーの数や設置場所は非公開としている。ただし,警察庁に限り,2月27日に観測システムに関する情報を一部公開した。それによると,全国57個所の警察施設に設置された侵入検知システムとファイアウオールから情報を収集しているという。今回警察庁から公開された情報を見る限りでは,組織同士で協力していることはなさそうだ。
公開していないだけで,裏では協力し合っているかもしれないものの,その可能性は小さい。それぞれの組織が提供するセキュリティ情報一つとっても,みんなバラバラで協調しているようには見えないからだ。ある組織では強く警告しているセキュリティ情報が,他の組織のWebサイトには掲載されていない場合がある。
このことについて前述の警察庁の方は「それぞれの組織で,情報を提供する対象が異なるので仕方がない」という。例えば,警察庁の情報は企業の管理者だけではなく一般ユーザーも対象としているが,JPCERT/CCなどの情報は主に管理者を対象にしているという。
危険なウイルスやセキュリティ・ホールは企業にとっても一般ユーザーにとっても危険なはずだ。筆者には,組織間の壁や縦割り行政が協調を阻んでいるとしか思えない。国内のセキュリティ・レベルを上げるために,その壁を取り払ってほしいものだ。
(勝村 幸博=IT Pro)
■本記事は,日経バイトに筆者が連載するコラム「非武装地帯を行く」の3月号掲載分を基に加筆・再構成したものです。
