情報セキュリティと暗号 第 I 部:情報セキュリティ 目次 1 1.1 2 定義・原理 2 重要な概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 情報セキュリティの確立の基本 2 2.1 セキュリティの考えの変化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2.2 コンピュータシステムのセキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.3 情報セキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.4 ネットワークシステムのセキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 コンピュータセキュリティ実例 4 3.1 セキュリティを考慮した構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 3.2 開発時点からの対策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 ICT セキュリティへの脅威 6 4.1 新たな脅威 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 4.2 実例・症例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 4.3 サーバへの脅威 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 3 4 対策 5 9 5.1 技術的対策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 5.2 組織的対策とセキュリティポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 セキュリティ対策の新たな動き 11 6.1 ISMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 6.2 個人情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 6.3 ディジタル・フォレンジック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 6 1 1 定義・原理 1.1 重要な概念 定義 セキュリティ (security, protection, safe):security の語源は心配 (cure) がない (se) と辞書にある.安全, 安心,保護,担保などを意味する言葉である. 要素 セキュリティが成立しているとは次の項目が保証されている状態をいう. *「機密性」(Confidentiality): 例えば,パスワードや個人情報等が他人に知られないこと *「完全性」(Integrity): 例えば,電子取引での取引内容が改変されないこと *「可用性」(Availability): サーバへの不当な攻撃によって,正当な者の利用が妨げられないこと ・ 「真正性」(Authenticity): 例えば,印鑑登録や認証局による保証 ・ 「責任追跡性」(Accountability): 例えば,ログの保存や電子署名で情報作成の動作を保証できること ・ 「否認防止性」(non–repudiation): 同上,契約書の複製 ・ 「信頼性」(reliability): 例えば,システムを二重・三重にしたりバックアップを取ったりする冗長性により 情報の破損,改竄に対し保護する 最初の 3 項目を基本として,残りの項目は補完された考えである. 情報の最も広い定義に「パターン (何かの偏り) を発生させるパターン」というのがある.これから見ても 情報とは始めから社会性を内に含んでいるものである.即ち,可用性は情報の持つ本質的部分である.新しい パターンを生むためにはパターンは互いに干渉がなければならないが,それは同時に他からの干渉を受けるこ とでもある.その干渉がパターン自身の完全性や機密性に影響を及ぼす.これから分かるように上記の要件は 数学の公理・定義と異なり,始めから互いに矛盾した内容を持っている.人々は矛盾の影響を最小化するため に必要な要件を歴史的・経験的に検証して慣例や法律にしてセキュリティを守ってきた.上にあげたセキュリ ティの要素はそれらの要点をなすものである.最後にそのバランスを取ることがセキュリティに係わる人の最 も注意を要する面である. 2 情報セキュリティの確立の基本 2.1 セキュリティの考えの変化 コンピュータ・ネットワーク・システム・セキュリティの考えは時間と環境の変化に対応して変化している. この変化を復習しておくことは以下の議論の問題点を明確にするために有効であると考える. コンピュータは文字通り計算機として開発された.初期の計算機の仕事は各種の数表の計算であり,計算結 果は印刷されて用済みのプログラムは別の計算のために入れ替えられた.やがて大量の情報を蓄えて高速で検 2 索等の処理をするデータベースという計算機の特性を活かした利用法が始まり,蓄えられた情報にも「永続的 データ (persistent data)」という概念が生まれ,情報処理という言葉が生まれた.その結果,計算機には機械 的に故障しないことは当然として,蓄えられた情報を保護するというセキュリティの必要が生じ,データのあ る所に必ず出現するスパイ・泥棒対策であった. やがて計算機の活躍の場は化学プラント,宇宙船,医療等の色々なシステムの制御・管制系を担うようにな り,計算機の責任が増すと共にセキュリティの重要性が増してくる. 2.2 コンピュータシステムのセキュリティ コンピュータシステムのセキュリティに関しては旧通産省がまとめた「電子計算機システム安全対策基準」 がある.その他,旧郵政省,旧大蔵省,警察庁からそれぞれの応用面を重視した基準が示されている. 基準では計算機システムを,(i) 自然災害,(ii) システム構成要素 (部品など) の障碍,(iii) 不正行為などに よって生じるシステムの停止,誤動作,不正使用,および情報の漏洩,破壊,改竄,から保護し,またはこれ らの事象が生じた場合の影響の最小化および回復の迅速化を図るための標準的な対策を網羅的に示している. 基準は,(i) 設置場所や建物を含む設備面の対策基準,(ii) 技術面の対策基準,(iii) 運用管理面の対策基準か ら構成されている.メーカや技術者はこれらに関して RAS(Reliability, Availability, Serviceability) または RASIS (RAS + Integrity, Security) などの標語をかかげて高信頼化を目指している.具体的には,構成部品 の寿命テストなどにより高信頼化を目指す方法の他に,システムを多重にして多数決法で結果を決めたり,誤 り訂正符号を使用したり,状況を解析して故障を早期発見するなどの方法がある.金融業のシステムのように サーバを東京・大阪等複数の場所に置き,トランザクションを同期させてバックアップしてデータを保護して いる.設備面の対策は自明のように思えるが,1995.1.17 の阪神・淡路大震災,2011.3.11 の東日本大震災では 役所の建物が被害に遭いライフラインや住民情報が失われて救援や早期復旧に大変な苦労をした.住民基本台 帳システムも現在検討中の共通番号制度を考えると,市町村,都道府県,国と二重三重にバックアップが必要 である. 2.3 情報セキュリティ 情報セキュリティの基本 セキュリティの項目の中で最も重要な機密性を確立するには,(i) 広くは計算機室への入退出管理から始ま り,(ii) 運用システムの信頼性の向上に基づいて,(iii) 通信回線上や記憶装置内の情報の暗号化,(iv) 読み出 し,書き込み,実行のアクセス管理,(v) パスワード保護,等が要点になる. 情報セキュリティの基本技術 「暗号化」 : 情報 (平文) を暗号文に変換する. 「アクセス制限」 : 情報の入出力機器や格納媒体へ利用する権限 (アクセス権) を管理する.権利には読み出し 権と書き込み権がある. 「本人確認 (認証)」 : 本人確認 (認証) にはパスワードや ID カードの他に指紋,掌紋,瞳のパターン等の生体 3 認証もある. 「メッセージ認証」: メッセージ認証とは,(i) 通信や保存中に改竄や破壊されていないことを検出すること と,(ii) 発信者が本人であることの認証をすることである.本人確認のために公開鍵暗合によるディジ タル署名,破壊されてないことの確認にはハッシュ関数を用いたメッセージ・ダイジェスト法等が使用 される.公開鍵暗号とは発信者が 1 組の鍵を素数論的操作で作り,1 つを公開鍵として認証局などへ届 けておき,発信書類にもう 1 つの秘密鍵を用いて鍵をかける.受信者は発信者の公開鍵を認証局などか ら手に入れて鍵が開けられれば認証になるという仕組みである.メッセージダイジェスト法はハッシュ 関数というテキストをランダムに分割してハッシュ表により別の文字に変換する方法で,発信源で鍵を 作り受領後に同じ方法で鍵を作り発信源の鍵と比較する方式である.通信中や保存中に一文字でも変え られたら鍵が異なるので改竄の検出ができる.なお,公開鍵法を発信者,受信者双方に用いれば (i)(ii) とも保証できるようにできる. 2.4 ネットワークシステムのセキュリティ ネットワークセキュリティに関して設備面はネットワーク管理と呼ばれコンピュータセキュリティと同じ対 策が考えられ,さらに通信業に関しては国際的な基準で厳しい規制が行われているが,情報そのもののセキュ リティに関しては,(i) ステガノグラフィ:通信そのものを隠蔽すること,(ii) トラフィックセキュリティ:通 信していることを隠す必要はないが通信量を隠蔽すること,(iii) 暗号化,(iv) 認証の 4 つの段階が考えられる. 始めの 2 つは軍事上は重要である.通信そのものが攻撃の暗示になる,例えば,旧日本海軍がハワイ真珠湾を 奇襲攻撃したときに通信を封鎖した.一方で,最近の調査で日本軍情報部門がアメリカ軍の広島,長崎の原子 爆弾による攻撃の通信を検知していながら上層部は無視したという TV 番組があった.日常的には後者の 2 つ で十分であると考えられている. 3 コンピュータセキュリティ実例 以上に説明した色々なセキュリティ対策をサーバ級の機械で行っている実施例を見てみる.PC の場合は被 害は限定的であるが,サーバの場合はマルチユーザ対象であるので問題が起きたとき被害の範囲が大きくなり, イントラネットや場合によってはインターネットに障碍を起こすことになり,セキュリティ確保はより重要な 問題になる. 3.1 セキュリティを考慮した構成 利用者の管理 サーバではユーザは,(i) スーパーユーザ,(ii) 管理ユーザグループ,(iii) 一般ユーザの 3 種類のユーザに分 類される.スーパーユーザは OS のインストールや変更の権限を持つユーザで,その機械に関してあらゆるこ とができる.管理ユーザグループは印刷,通信,サーバプログラムの管理,システムの停止などの権限を持つ ユーザである.一般のユーザは自分の作成したプログラムやデータファイルに関してのみ管理権限をもつユー 4 ザである.一般ユーザはさらにグループにまとめられて,複数のグループに属することができる. ファイルの管理 サーバの場合はすべてのプログラムやファイルには,所有者と所属グループがあり,所有者,所属グループ, 一般ユーザ全員に分けて,読み出し,書き込み,実行の権限が定められていて,セキュリティの責任範囲を明 確にしている.どの権限を持つユーザでログインできるかはパスワードで管理され,パスワード管理はセキュ リティの最高度の重要項目である. プロセスの管理 現在のコンピュータはマルチユーザ・マルチタスクで同時に多数の要求を効率的に競合なく処理しなけ ればならないので,セキュリティの面も考慮して,プロセス,ジョブ,リソースを管理する基本プログラ ム (Operating system:OS) や周辺ハードウェアを制御するデバイスと呼ばれるプログラム類,一般利用 者が使うアプリケーション類,アプリケーションプログラムを効率よく開発するための API (Application Programming Interface) 類に分けられていて,ハードウェアを最下層にして,OS とデバイス,API,アプリ ケーションと階層構造になっている.上の階層に属するプログラムは一つ下の階層に属するプログラムの助け を借りて動くという構造になっている. 運用の管理 サーバ機では運用管理の面でも徹底したログ (動作記録) が取られていて,最も厳密に設定するとすべての ユーザが使ったコマンドを実施時刻とともに記録できる.システムのログだけでなく,メール,Web など外部 と通信するサーバプログラムやアプリケーションは独自のログを取っていて,何かの不都合があるとそれを手 がかりに問題を解決することができる.もちろん不正アクセスについても記録が残る. 3.2 開発時点からの対策 十分に考慮されているセキュリティであるが,完全にできないこともありそれが実際に問題になる例がある. プログラム言語とコンパイラの仕様の問題 C 言語の旧版仕様では,配列宣言で宣言されたサイズ以上のデータが入力された場合の処理が明確に定めら れていなかった.また,C 言語ではメモリ上データ領域とプログラム領域が明確に分けられていない.その ために設定されているサイズ以上のウィルスを仕込んだデータを入力してサーバに植え付けられる可能性が 2000 年頃発見された.これを「バッファーオーバーフロー脅威」という.発見後直ちにパッチ (修正プログラ ム) が出て現在は具体的な問題はないが,注意を要する. データ仕様の問題 年号が 20 世紀から 21 世紀に入るときに世界中が緊張した問題に「2000 年 (Y2K) 問題」という問題があっ た.これは古い時代にはメモリが高価であったために,1 ビットでも節約するために年号の後ろ2桁だけを使 5 用していたことによる問題である.データベースのレコード数は数千万件になるからこのような工夫がされ たのであるが,2000 年になると 00 で入力されたデータは 1900 年と扱われて不都合が発覚した.UNIX の 開発者達はいずれメモリの値段が下がるであろうからそのときに修正すれば良い.この事態は 2038 年まで 大丈夫と考えていた.事実,1 年は 365.25 日とすると A = 60 × 60 × 24 × 365.25 = 31, 557, 600 秒,一方, B = 231 = 2, 147, 483, 648 秒であるから,B/A = 68.049 年,UNIX では基準日 (0 秒時) が 1970 年 1 月 1 日 午前 0 時 0 分 0 秒であるから,不都合がおきるのは 2038 年ということになる.世のプログラマー達はこのこ とに気づいていたが,現実に稼働しているシステムをどのようにすれば修正可能か積極的な提案がないまま習 慣的に続けられ期限切れ寸前になって,メディアを巻き込んで大騒ぎになり,1999 年 12 月 31 日に世界中で安 全のために交通が止められたり,ミサイルサイトでは緊張したりしたがシステムエラーによる事故はなかった. 要求仕様の問題 システムの要求仕様特に利用者数の見込み違いによるトラブルがよくみられる.埼京線に統括信号システム が導入されたときにラッシュアワー時の列車数,国会図書館で 1 日の入館者数,東京証券取引所でのネットト レードの利用者数,最近では震災の義援金受付窓口の処理数など想定数が間違っていたり対策がなおざりにさ れていたために起きたトラブルの例である. また,仕様や運営の規定に漏れがあったために起きた問題では,サブプログラムの契約期限が伝えられてい なかったり,規格漏れの ATM が極少数把握できなくてそれがシステム全体に影響した,という例がある. バグを発生させないための対策 対策が難しいのがプログラム更新時に良く起きるトラブルである.更新プログラムにエラーがある例が多い ようであるが,残念ながらプログラムの完全性を証明する理論や方法がない.プログラム言語は形式論理に基 づく文法というルールで定められ,プログラムがそれに従っているかはコンパイラーが検証するが,形式論理 では証明という問題は難しい.それを防ぐためにソフトウェア科学という研究分野では,プログラム開発過程 で間違いを防ぎ開発を効率化するための支援ツールや自動化を含めて開発環境と呼ばれる統合システムの開 発,プログラム言語理論の分野では応用に適したプログラム言語の開発,なるべく明解かつ抽象的な記述法で サイドエフェクトを生じないような仕様記述言語の開発,図・ダイアグラムなど図形・視覚表現を用いたプロ グラム言語やドキュメントの開発等がなされている. さらに,実際のシステム開発では総時間の約半分の時間を実地テストに取っているなどの工夫をしている. それでもバグ (エラー) のあるルーチンに対するテストデータの漏れがあったり,テスト時間不足で実際に稼働 させたときに,稀なケースとしてそのエラーのあるルーチンに入ってしまってエラーが起きたという例が多い. 4 ICT セキュリティへの脅威 4.1 新たな脅威 1960 年頃からネットワークを構築するようになる.1970 年代に電子メール,ftp,telnet などネットワーク 関係の基本プログラム,1990 年代に http(WWW) が開発されて Internet が社会インフラになる要件が確立さ 6 れる.この時点ではユーザは可用性に感謝しながら使用する善人であること (性善説) を仮定していた. 1995 年に民間プロバーダー制度が発足してから,Internet の伝達性と双方向性の機能を一緒に持つメディ アは他になく,社会活動にも不可欠なものとなりソーシャルメディアという概念を生んだ.2011 年に起きた チュニジア,エジプト,リビアの政変には SNS や twitter 等の働きが大きいと言われている.そのためにも可 用性は重要視されるようになった.一方で,それに呼応するようにインターネットの便利な機能を悪用する者 が続々と出てきて,セキュリティの要件である機密性,完全性,可用性の間の矛盾が看過できない問題になっ てくる.可用性を重視すると使用者の認証が得られぬ条件下で安全性の保証されないデータやプログラムを受 け入れなければならない事態に直面するようになった.さらに,可用性そのものへの破壊攻撃が頻発するよう になり,社会インフラになっている ICT 機能への攻撃で社会活動を阻害しようとする行動を発言の自由と主 張する動きすら出現してきた.これらの不特定多数から取得した情報が安全であるかどうかはデータのパター ンによる形式的な判断でしかできないのが現状である. 破壊活動の例としては (i) システムへ侵入して破壊するという直接攻撃,(ii) 大量のメールを同じユーザに送 りつけるメール爆弾,(iii)DoS(Denial of Service) または DDoS (Distributed DoS) 攻撃と呼ばれるものがあ る.(D)DoS 攻撃はネットワークサーバに接続要求を同時に数万件以上仕掛けてサーバの応答機能を麻痺させ るてしまうものである.その際に攻撃機を確保するためにソーシャルメディアで呼びかけたり,攻撃者が特定 されないように管理の甘い PC を踏み台に使用する.この攻撃に対しては回線を遮断する方法しかないので, サービスが停止する.エネルギーや交通等の公共関係の通信が途切れれば大変な社会混乱が起きる. 日常の社会的活動では窃盗・侵入・盗聴・破壊行動に対しては法律による保護と規制がありテロという行為 には社会全体で防衛しようという認識があるが,ネットワークでは被害が従来の概念では把握し難い,加えて 商業活動やイデオロギーから法規制に対する抵抗,不正取得データへの商業活動の需要,インターネットは匿 名であるという誤解 (最も泥棒だらけで捕まえるの難しい) など法律による保護が遅れていたが,最近は法整備 が進んできた.「不正アクセス禁止法」「特定電子メール適正化に関する法律」「特定商取引に関する法律」「電 子計算機損壊等業務妨害罪」 「電子計算機使用詐欺罪」所謂「サイバー刑法」その他従来からある「著作権保護 法」 「個人情報保護法」などの強化などがある.しかし,インターネットの世界は国境がないので,破壊活動の 発信元が国外にあるような場合は国毎に法規制が異なるので国際的連携はまだ十分ではない.このために国家 として「サイバーテロ」という概念で対応しようという動きがある. 4.2 実例・症例 さらにこの問題を考える上で参考になるように実例により説明する. 電子メール媒介 電子メール経由のセキュリティの問題は,(i)spam メール,(ii) メールそのものがウィルス,(iii) 添付ファ イルのウィルスである.迷惑メールの削除に掛かる費用が全国規模で見ると年間で 1 億円近くなると言えば 軽視できない.迷惑メールは発信者が不正にした入手アドレスを使ったり,アルファベットを無差別に並べた 無差別攻撃もある.spam メールの内容はほとんどは反社会的な広告である.次に起きた問題は,メール経由 で入ったウィルスがユーザのアドレス帳を見て,汚染メールをそのアドレスへ自動発信するものである.添付 7 ファイルがウィルスに汚染されている例は,pdf,jpeg などよく使われるアプリケーションの脆弱性を利用し て次に説明するトロイの木馬型のウィルスを仕掛けるものである. メールに対するセキュリティ対策は,1990 年頃までの主な問題であったメール爆弾には監視の民間団体の活 動や MTA にフィルタを付けたりして最近は被害報告がないようである.spam メールやウィルスメールに対 してはプロバイダーがメールの発信制限をしたり,MTA にフィルタを掛けて大きなサイズのメールや文書以 外の添付ファイルの受信制限をしたり,ルールに従ってないメールを削除したり.MUA プログラムを改良し たりしてかなり改善されてきた.添付ファイルについては発信元を知り合い等を騙っているからメールアドレ スの保護も必要になる.これらの対策機能は,MUA と MTA の間に MSA というプログラムを設けることで 実現することが推奨されている. Web 媒介 Web 経由のセキュリティの問題は,(i) ネットショッピングなど個人情報特にクレジットカード情報を横取 りする方法や偽サイトを作って情報を盗み取る phising 詐欺,(ii) 閲覧や取得したホームページにウィルスや spyware を仕掛ける,(iii) 閲覧したホームページが消去できない広告ページであったりするものなどがある. 不正サーバに対する対策は Web ブラウザープログラムの SSL や TSL のセキュリティ設定を有効にしてお くこと,ウィルス対策はウィルスチェッカーを導入しておくことが基本である.危険なサイトを避けることも 必要である. アプリケーションの脆弱性 一般に良く利用されるアプリケーションのセキュリティホールを突く攻撃がある.一時は表計算のマクロを 偽装したいわば見え見えのものがあったが,最近は jpeg,pdf,flash などウィルスの入れ物は普通のファイル でしかも一般に良く利用される形式のものである.攻撃の方法は次に説明するトロイの木馬型が一番悪質であ る.最近の例では知人を騙ったメールの pdf 形式の添付ファイルにトロイの木馬型のウィルスを仕込んだもの がある.アドレスを不正取得して知人を騙ってウィルスメールを送りつける攻撃もあるので,あらゆる通信に 隙を見せてはいけない時代である. 偽装プログラム (トロイの木馬) トロイの木馬とは利用価値の高いフリープログラムや取引企業からの更新用 CD と言ったりして正常なプロ グラムを偽装してユーザにインストールさせるウィルスである.最近の例では電子メールの添付ファイルに仕 込んだものがある.トロイア戦争のときにギリシャ側がトロイアの強固な城壁を破壊するために,巨大な木馬 を作りそれにギリシャ軍の兵士を潜ませてトロイアの城に策略で導入させてトロイア軍を破ったという奇策に 由来する.しかし,このウィルス自体は非常に小さい.このウィルスを仕込んだプログラムは形式的には正常 なプログラムであったり,アプリケーション対応の画像ファイルやドキュメントファイル等のデータファイル であるから,うっかりでインストールしてしまい色々な攻撃に使われる被害に遭う.多くはいつでも侵入でき るポート (バックドア) を仕掛ける,パスワードを盗む,通信を盗聴する,他のシステムを攻撃する DDoS ウィ ルスを仕掛けるさらに悪質なプログラムをダウンロードしてインストールする,侵入した PC を悪用の踏み台 にするボットウィルスを植え付ける,など様々な被害がある.電話回線利用が中心だった時期には海外のプロ 8 バーダーに接続されるウィルスを植え付けられて高額の電話代を請求された例があった. PC セキュリティの問題点 セキュリティに関心の薄い一般の PC の利用者は使用している PC について次のようなセキュリティ上の問 題に気がつき難い.(i) パスワードの無設定,(ii) アンチウィリスソフトェアをインストールしない,(iii) シス テムの update を怠る,(iv)「ファイル共有」や「プリンター共有」をオープンにする,(v) 無線接続している 場合の暗号化を怠る,(vi) Web ブラウザーソフトウェアの暗号やフィルタの設定を怠る,(vii) 以前はディス ケット,現在は USB メモリ等取り外しのできるメモリ機器など扱いの不注意,(viii) P2P の「ファイル共有ソ フトウェア」をインストールするなど,最後のものは論外であるが,管理を怠るとメールや閲覧した Web ペー ジ経由でウィルスを植え付けられたり,ファイル共有ソフトの場合はそのままその PC の内容が漏出したり, 一時広まった最悪のウィルスではその PC のファイルが全部消去されるというものがあった.Excel など計算 を支援するマクロに偽装してウィルスを仕込まれることもある.MS Windows ではこの点のセキュリティが 甘いので,他人の作ったマクロは疑って見る必要がある.最近の OS や閲覧ソフトウェアでは配布時の初期設 定でセキュリティ重視になっている.例えば,ファイルやプリンターの共有は禁止に,閲覧ソフトウェアでは 暗号化を有効にしフィルタを強度に設定したりしているが,セキュリティの面からは変更できるようになって いるのが不思議である. その他ネットカフェでキーロガーが仕掛けられて個人情報や暗合化前のキーシークエンスを盗まれるという 事件も頻発している.店では使用者の確認を義務づけることで犯罪を防ぐ対策もなされているが万全ではな い.重要な取引をこういう所で行わないというセキュリティ初歩の心構えが必要である. 4.3 サーバへの脅威 一般利用者の PC では起こらないが,サーバへの脅威の例をあげておく. DNS サーバ インターネットでは数字の IP アドレスと文字列による IP ドメインの 2 つのホスト認識方法を使用してい る.IP ドメイン名と IP アドレスの対応を扱うサーバが DNS (Domain Name System) サーバで,DNS サー バへの攻撃は,持っているデータが盗まれたり書き換えたりする脅威で,盗まれたデータで攻撃を受けたり, 書き換えられた情報で悪意あるサイトへ誤誘導されたりする. Web サーバ Web には単に文書,画像,動画を表示するだけでなく,ネットショッピング,書き込みサイト等閲覧者と 対話をする “form” というタグと CGI (Common Gateway Interface) という機能がある.form で閲覧者から サーバへデータを送り返し,それに従って CGI が応答処理することになるが,送り返されたデータにウィル スを仕掛けられ,サーバのデータが盗まれたり不正操作されることがある.もちろん,Web サーバプログラム には入力された文字列を検証するフィルタなど十分な防御の仕組みが考えられているが,設定の確認テストを 怠ったり,使用者の利便性に重点を置いた設定にしたりするとセキュリティホールができ,ホームページが書 9 き換えられたりする攻撃を受ける.特に,CGI が SQL サーバにつながっている場合は,データベースのデー タに偽装して入されたウィルスがデータベースの情報を盗んだり,データベースを破壊したりする例が発生し ている. その他 メール発信者への確認機能を追加した MTA や MSA,ftp での anonymous 機能の停止,telnet を止めて ssh を使用,メール自身の暗号化など色々な対策が取られている.最近のソフトウェアは応答の際に内部情報 を一切外に出さないようになっている.例えば,以前の DNS サーバ,MTA,Web サーバ等は自分のバージョ ンを含めて応答していたが,最近は自分の情報を応答しないようになっている. 5 対策 以上の実例等を考慮してセキュリティ脅威への対策を考える.セキュリティ対策の原則は泥棒対策と同じで ある.泥棒は人目に付き難い場所から侵入を試み,5 分以上かかりそうな場所には侵入しないそうである.ま た,侵入されたときの対策として貴重品は分散して隠すことも基本的なセキュリティである.預金の通帳と印 鑑は別の所に置くことは家庭内セキュリティの基本である.即ち,監視を厳しくして監視をしていることを分 からせるようにして,重要な情報はパスワード設定や暗号化をしておく.さらに,情報は分割・分散して価値 を低くすることであり,災害等の対策はバックアップを確実にすることである.いずれも手数 (コスト) が掛か る.セキュリティ対策担当者の最大に悩みは,経営者がセキュリティへの費用支出に理解がないことと全員に 徹底しないことであるという調査がある.最近のように同じ場所に色々な雇用契約形式の従業員が同じ仕事を している状況では周知徹底の点で問題が増える. 5.1 技術的対策 パスワードとユーザの管理 セキュリティ対策の基本はパスワードとユーザの管理である. 1. パスワードの設定:何度も繰り返すがパスワードの設定なしにコンピュータの利用はあり得ない.1 億 人の PC 利用者の 0.1% がパスワードを設定せずに利用すると,10 万台の踏み台があることになると考 えてよい.実際はこの数字はもっと多いようである. 2. 安易なパスワードを避ける:ユーザの名前のアルファベットから容易に推測できるものや,生年月日な どユーザ情報から容易に推測できるようなパスワードを使用することは止めよう.英数字記号を混ぜて 8 文字以上の長さのパスワードが推奨されている. 3. 記録を残さない:ディスプレーにパスワードを書いた紙を貼付けておくなど論外であるが,他人に分か るような形で残さないようにする. 4. 永久使用を避ける:十分に配慮したパスワードを考えるのは以外に面倒であるが,これも暗号技術の基 本で同じ乱数表を続けて使用すると暗号が破られる可能性が増える.一般の使用者でも時々パスワード を変更すべきで,管理者のパスワードは更に頻繁に変更すべきである.特に管理者が変更になったとき 10 は必ず変更しなければならない. 5. 使用者の管理:移動した人や常時使用しない人は利用者リストから削除する.たまにしか使用しない人 は自分のファイルを含めパスワードの管理がいい加減になる.使用者を管理しているファイルの該当者 にコメント記号を付けておくだけでよい. 6. ID カードや生体認証でも注意:パスワードを入力する形式でなく,ID カードを使ったり掌紋や指紋な ど生体認証を使う方法がある.住民基本カードなどは今後税金記録や医療記録など広い範囲で使用され ることになろうが,カードそのものが盗まれたら保護の意味がなくなる.生体認証も完全でない. アンチウィルスソフトウェア PC において最も重要な対策がアンチウィルスソフトウェアのインストールである.信用できるメーカのも のをインストールする.アンチウィルスソフトウェアをインストールすると動作がやや遅くなる.これを嫌っ てインストールをせずに使う人がいるが,Web へアクセスするまでもなく簡単にウィルスが侵入してくる.自 動更新も忘れずに設定しておく. アップデート (パッチ) PC,サーバ機共,ほぼ 1 ヶ月毎に OS やアプリケーションの修正プログラム (パッチ) がメーカーから発行 される.自動更新に設定しておく. ウィルス,OS,アプリケーションソフトウェアのセキュリティ脅威情報は JPCERT や IPA において確認 することができる. 保護領域の設定 コンピュータネットワークが危険に曝されるのは,インターネットの世界的規模の透明性による.幸いなこ とに,インターネットは物理的につながっていても論理的に領域を設定してその内と外の区別を認識し通信を 制御できる機能がある. 1. ファイアウォールの設定:組織のインターネットの窓口の機械を限定して,プロトコルにより通信の仕分 けをする.通常の使用形態では外部からの通信はメールと Web であるから,それ以外のプロトコルの通 信は阻止して外部からの攻撃を防ぐ.この仕組みをファイアウォールという.さらにメールと Web は 夫々の専用サーバへ渡してファイアウォールの負担を減らすようにした仕組みを DMZ(DeMilitarized Zone) という. 2. イントラネット:ファイアウォールで保護されている組織内のネットワークはイントラネット (intranet) と呼ばれることがある.使われるプロトコルは TCP/IP なので,以前のパソコンネットのような管理 上の面倒はない.ただし,イントラネットに使われる IP アドレスは,「プライベートアドレス」に分類 されているもので,この IP アドレスからの通信はゲートウェイで遮断してインターネットへ出ないよ うにする. 3. 接続の制限:他人と貸し借りした USB メモリからウィルスを移されたり情報を盗まれる例もあり.セ キュリティを重視する企業ではユーザが接続した機器間のコピーをソフトウェアで阻止している所もあ 11 る.さらに,社員の使用する PC を特定して登録 PC 以外のネットワーク接続を阻止して,使用するア プリケーションやデータは本社のサーバのものだけに制限する単純なネットワーククライアントの機能 のみで使用する方式を取っている企業もある. 5.2 組織的対策とセキュリティポリシーの設定 セキュリティの最後の砦も人である.いくら機械の信頼度があっても,機械が正常に動いているようでも異 常に気付くのは人であるし,事故対策が複数あるときにどの方法を選ぶかも専門家や経験者の判断である. 組織としての対策が有効に働くように規則化したものがセキュリティポリシーである.セキュリティの担当 責任者は予めセキュリティの対策を考えてシステムを構築し,それが想定通り動いているかを常時監視しなけ ればならない.各部署の責任範囲を明確にし,問題の発見を迅速化し,問題が組織全体に波及しないように場 合によっては通信遮断処置を行う等の権限を与える必要がある. セキュリティポリシーの詳細な内容については内閣の情報セキュリティ対策推進会議の出した「情報セキュ リティポリシーに関するガイドライン」が参考になる. 6 セキュリティ対策の新たな動き 6.1 ISMS 企業のセキュリティポリシーを明確にし公表しておくことはその企業に対する信頼度を高めることにもな る.情報セキュリティに関しては管理・運用面の重要性が認められるようになり,企業のセキュリティの質 を保証する国際的な標準として ISO/IEC 27000 シリーズ (JIS Q 27000 シリーズ) 「ISMS (Information Security Management System) 規格シリーズ」や情報技術者の試験の中に「セキュリティスペシャリスト」と いう分野が設けられている.セキュリティポリシーは就業規則に遵守を義務づけることで,全員に周知徹底を 図ることができる.そのための教育・指導も管理者の責任である. 現在の所,セキュリティに関する書籍や情報セキュリティスペシャリスト試験などでも個人のレベルでは PC セキュリティまでしか扱ってないが,携帯電話特にスマートフォンのような高機能機,iPad のようなタブ レットデバイスがビジネスや業務の場面に普及してくると新たなセキュリティの問題が発生する恐れがある. スマートフォンでは,フリーのアプリには使用者の情報を外へ漏らすウイルスがほぼ間違いなく付いている. 6.2 個人情報 一口に個人情報と言われるが,法律上は「個人情報」と「プライバシー」とは保護している法律が異なるこ とに注意しよう. 個人情報 識別情報ともいい,氏名,生年月日,住所,性別,住民基本台帳番号,で個人を特定するための情報で,こ れは住民基本台帳の記録である.個人情報保護法が対象とする情報は個人情報である. 12 プライバシー情報 属性情報ともいい,幾つかの内容に分類される,内容や分類は時代と状況により変わる. 「一般的属性情報」: 学歴,職業,収入,資産,趣味,親族関係,など一般的に知られては困るが限定された範 囲では開示を要求されることがある. 電話番号,電子メールアドレス,クレジットカードの情報等も保護されるべきものであり,メディア等 で漏洩のニュースの対象になるのもこちらの方が多い. 「動的情報」 : 行動,行動の位置,行動の相手など.GPS 付きのスマートフォンの利用者の位置情報を集めて マーケッティングに使おうという話が出たが,日本では電話会社が否定している.韓国では訴訟になっ ている. 「機微情報」 : 思想・心情,宗教,健康情報,性癖など通常は家族内など非常に限定された範囲でのみ,場合 によっては家族にも秘密にするものがある.もっとも深刻な意味のプライバシーでもある. 属性情報に関しては個人情報保護法の対象でなく,民法,刑法,電磁情報保護法の保護対象である. 6.3 ディジタル・フォレンジック 普通の犯罪があったときに犯人と犯罪を突き止めるために科学捜査,法医学,鑑識といった部分が重要な役 目を果たす.情報システムでもセキュリティが破られ情報が漏洩したりシステムへの侵入・破壊があったとき に犯人と犯罪を突き止めるために使われる技術を Digital Forensics という.意訳すると「ディジタル鑑識」と いえる.もともとこの用語は広くは computer crisis 全般に使われていたが,日本では近年のこの種の事件・ 犯罪に対し状況分析や立件の証拠集めをするために注目されてきた.各種のログが一番信頼できる証拠のよう に見えるが,電子的な証拠保存等は意外に面倒である.簡単に手を入れることができる.例えば,大阪地検特 捜部でおきた郵便の障碍者郵便の割引制度悪用事件に関して検事がディスケットを操作したということがあっ た.この場合は検事が冤罪でっち上げた例であり,弁護側が不正操作の証拠を見つけた. 13
© Copyright 2024 Paperzz