第 1 章リスク管理と情報セキュリティ 95 年 4 月に分かれ、こうした認証サービスを提供する会社として設立され て以来急成長し、すでに数百万人のカスタマーを持っといわれている。 96 年 2 月には日本べリサインも設立されて国内に本格参入を果たし、 98 年に は日本の認証マーケットが本格的に立ち上がるだろうといわれている。 こうしたデータの暗号化と解読にはいくつかの技法があり、 A 社 ~ べ リサイン社以外にもより効率の良いものを競っている段階である。一般に は、スピードが要求される処理には「共通鍵」と呼ばれる方式を使い、認 証のように確実性が要求される場合には「公開鍵」と呼ばれる方式を使用 している。もちろん併用して使われる場合もある。共通鍵や公開鍵につい ては、第 2 章のほうで詳しく解説している。 ( 3 ) インターネット・ファイナンスとリスクビジネス インターネットは電子上のいたずらに対して技術的な分野だけでなく、 法律、商習慣にももろさを露呈してきている。日本では、インターネット 利用による電子商取引は、まだ実験段階にある。しかし米国では、証券会 社や投信会社でさえ、インターネットの活用を積極的に進めている。ディ スカウント・プローカーが、インターネット取引を重要なチャネルとする 一方、インターネット上での機関投資家向けサービスや投信販売なども始 まっている。 米国の証券市場規制・監督当局は、こうしたインターネットの積極的な 活用を背後から支えるべく、既存の規制や制度の見直しを進めている。同 時にオンライン上での不正取引の摘発にも積極的に取り組んでいる。投 資家は会社のホームページにアクセスし、株式売付申込案内書をダウンロー ドしたり、電子メールで申し込んで郵便で受け取ることができる。購入申 込書、購入代金相当の小切手、株式が登録されている州の居住者であるこ との証明書を同社宛てに郵送し、会社側は、書類と小切手を確認してから 株券を投資家に郵送すればよい。 こうした株式募集の方法は、インターネットを利用したという点を除け 79
第 3 章企業のセキュリティ対策 7 カ条 ジナルの注文書は商品の数量が 10 個なのに、それを 50 個と書き換えても、 電子化されたドキュメントでは改ざんの痕跡は残らない。 そもそも、送られてきた注文書は、本当に A 社が作成したものなのかど うかも怪しい。競争相手の B 社が A 社のふりをして送ってきたのかもしれ 。たとえ注文書にスキャナで読みとった社長のサインや印鑑があって も、別の注文書からコピーして張り付けることもできる。 インターネットでは、誰かが自分のふりをして注文書を送る可能性もあ れば、送信したクレジットカードの情報を盗まれる恐れも十分にある。銀 行や企業内のネットワークと違い、ネットワークがオープンであるため、 ネットワークそのもののセキュリティレベルが低いからである。そこで登 場するのが暗号技術や認証局の仕組みである。 また、最近は企業どうしの取引きをインターネットを介して行うやり方、 すなわちェクストラネットも現実味を帯びてきている。イントラネットは インターネットの技術をそのまま企業の内部で LAN ( 構内情報通信網 ) のように利用することである。イントラネットは企業の内部を意味する 「イントラ」とネットワークの複合語だが、一方のェクストラネットは、 企業の外部を意味する「エクストラ」とネットワークの複合語である。 ェクストラネットとは、インターネット技術を活用して、異なる企業間 のシステムを相互に接続する企業情報システムのことである。これまで複 数の企業のシステムを結ぶのには、独自の通信手順や専用線ネットワーク を使うのが一般的だった。 このためコストが高くついたり、システムの変更に手間がかかることに なるが、これに対してェクストラネットは、インターネットの標準的プロ トコルである TCP/IP ( トランスミッション・コントロール・プロトコル / インターネット・プロトコル ) を使ったネットワークやインターネット 例えば社内のパソコンを利用すれば、 きる。プロトコルを統一しているので、 そのものを活用するために、ネットワークにかかるコストを大幅に削減で 2 1 5 インターネット上でライバル会社 システム変更時の柔軟性も高い。
第 2 章サイバービジネスと情報セキュリテイ人門 フィリップ・ジマーマン氏 図 2 ー 6 ウェアの名前である。フィリップ・ジマーマンは、この暗号ソフトウェア を開発した功績を評価され、インターネット関係のさまざまな賞を受賞し ている。 ジマーマンは、若いときに反核の連動家で、もし暗号の管理を政府に任 せてしまえば、民主の象徴である情報ネットワークが根元で牛耳られ、警 察国家に変貌するとの危機感、そしてすべての個人は暗号でプライバシー を守られなけれはならないとの信条から、このソフトウェアを開発し、無 償で公開した。インターネット上の anonymous ドサイトに PGP のダウン ロードサイトを開き、フリーウェア ( 無償 ) で提供を始めたのである。 そしてまたたく間に PGP は世界中のインターネット・ユーザに広まり、 電子メールやコンピュータ上のデータの暗号化に利用されるようになった。 しかし、 PGP に組み込まれた暗号は、海外の持ち出しが法律で厳しく規制 されている軍事技術に該当していたため、暗号ソフトを海外へ流出させた として 93 年 2 月に米連邦政府から召喚を受けることになった。 そうした展開のなかでインターネット上にはジマーマンを支援するホー ムページまで登場し、基金も設置されることになる。もしこのまま武器輸
( 3 ) キー寄託制度を「ハッカー」が覆す 1990 年にインターネット技術者が中心となり、ネットワーク上のプライ バシー保護等を議論し、政治的にイニシアチプを発揮する組織として設立 された EFF と呼ばれる団体がある。この団体は 1990 年に AT & T の長距離電 話交換機がダウンした事故で、米国捜査当局から回線に侵入した / 、ツ . カ が疑われ ( 当時はまだ「ハッカー」は尊称であった時代である ) 、大勢の インターネット技術者たちが嫌疑をかけられ、システム機器等を押収され た事件が発端となって組織化されたものである。結局、この事件は AT & T 側の故障が原因であったことが後で判明したが、それでは気持ちが収まら ないインターネット技術者たち ( ハッカー ) が、自分たちのプライバシー を守ろうとして運動を起こしたのである。 この EFF や同様の考え方を持つインターネット技術者を中心とする団体 (CDT 、 EPIC 等 ) は、キーエスクロウ ( 後年、キーリカバリー ) の構想の もっとも強硬な反対勢力である。そして、こうしたインターネット技術者 の中に、インターネット上で自分たちが利用する暗号化メール用ソフトウェ アを無償頒布したのが、先述した暗号ソフト PGP PGP (Pretty Good Priva (y) の祖、 PhiIIip R. Zimmermann 氏である。 こうして、米国政府の思惑とは別に、クリッパーチップ構想については さまざまな論争が内外で巻き起こることになる。米国政府が鍵を管理する ことおよび合法的な盗聴を可能とすること、そして外には公開されない秘 密の鍵が隠される恐れがあるからである。いうまでもないが米国は暗号化 製品を重要な輸出商品として位置づけている。暗号装置が装備された製品 の輸出は政府の厳密な管理下に置かれている。この上さらに、キーエスク ローや暗号アルゴリズムを米国一国で掌握してしまうことは情報テクノロ ジーの検閲化につながりかねない。キーリカバリー構想を巡る動きも、 うした文脈で理解することが必要である。 こうした批判の高まりで、キーエスクロー構想はいったん頓挫し、米国 122
ケースが増えている。フィルターソフトとは web プラウザにあらかじめ設 定したサイトを見られないようにするためのものである。社員が当たり前 のようにインターネットに接続する時代になったが、必すしも仕事に関係 したページばかりを見ているとは限らないのが原因らしい。しかし学校 はともかくとして、企業でわざわざサイトを制限するのがいいかどうかは 議論が分かれるところであろう。硬直した勤務からは自由な発想は生まれ にくいからだ。 インターネット上の猥褻画像については、郵政省の研究会がプロバイダー の自主規制を求める案に対し、一般から「インターネットで規制すること には反対」などの意見が寄せられ、見直しを検討中だ。また、文部省では 有害情報のフィルタリングソフトを検討する研究会を設置するなどのアプ ローチを行っている。 ( 4 ) ポルノ規制を巡る議論 すでに家庭にパソコンが急速に普及し、教育現場でもインターネットが 教育を変える可能性をもっているということで、生徒たちがアクセスする 場面が多くなっている。いわばインターネットのポルノ情報が、そのまま 教育の場に持ち込まれるということも現実のものとなっているのである。 無修正の画像、クラッキングの基礎知識、爆弾の製造法などを見つけるの はそう難しくはない。どれもが真実というわけではなく、金をだまし取る ための詐欺事件さえ発生している。 96 年 9 月には、自ら組んだハッキングソフト等を用いてハッキングする ほか、 ハッキングした他人の ID をパソコン通信上で販売するいわゆる 「 ID 屋」 ( から購入し、多数の他人の 1D を人手していた高校生ハッカー ) が逮捕されている。彼らは、不正に入手した他人の ID を使用してパソコ ン通信の電子掲示板上でわいせつ画 (CD-ROM) の販売広告を行い、パソ コン通信上で「口座屋」から購人した他人名義の銀行口座に、わいせつ画 の代金を振り込ませていたのである。 38
ている。 企業内のネットワークからインターネットのインターネットメールを利 用したり、外部に対して www サービスを提供するような企業システムで は、クローズなネットワークをインターネットに接続する場合が多い。 のとき、ネットワークの端末やサーバーを直接インターネットに接続して しまうと、外部から自由にネットワークに侵入される危険がある。これを 防ぐのがファイアウォールの役目である。 ファイアウォールの設置形態は、インターネットとクローズなネットワー クの接点に置かれ、データの出入りを制御することによってセキュリティ を保護している。通常、この接点はただ 1 カ所に設置する。 すなわち、接点となるコンヒ。ュータ ( すなわちファイアウォールマシン ) にルーティング機能を持つイーサネットなどの 2 つのインターフェースを 装備し、 IP 転送の機能を区分するものである。 2 つあるインタフェース の片方をインターネットに接続し、もう片方は防御したいネットワーク ( この場合、企業システムやイントラネット側 ) に接続することで、 2 っ きないということは隔離されているわけで安全ではあるが、何の意味もな 外部からはイントラネットなど企業内のシステムに接続できない。接続で らインターネットに接続することもできない。また、インターネットなど インタフェースしただけでの状態では、防御された企業内のシステムか のネットワークが 1 台のコンピュータをはさんで共有するスタイルになる。 198 当然ながらクラッカー ( アタッカー ) は、ファイアウォールをなんとか ルで設定し、加減している。 不用意に通り抜けできないようにする関所のような機能をファイアウォー イアウォール内部のネットワークへ人りたい場合にきちんとチェックし、 クからインターネットに接続したい場合、あるいはインターネットからファ ンタフェースする意味もない。そこで、ファイアウォール内部のネットワー 外部の不法侵入やアクセスから防御できないし、わざわざ 2 つに分けてイ い。一方でただインタフェースして通り抜けできるように接続していては
( 3 ) インターネットプームに潜む脅威と危機 日本におけるインターネットもそろそろ成長期を過ぎ、成熟期に突入し ているが、それに伴って、変化に追従できない状況が発生している。技術 やインフラ面の不備よりもっと怖いのは、企業システムの機密情報にまで 侵入したり、ネットワーク上を流れる情報を不正に盗聴や閲覧、改ざんな いし破壊する攻撃である。 インターネット環境だけではなく、外部と接続のない LAN 環境におい ても、内部の社員により、意識的かそうでないかの別なく、セキュリティ に関する脆弱性が存在する。何も対策をせすにインターネットに接続する のは、自分の家に鍵をかけないでおくようなものだろう。アタック自体を 目的とする場合のほか、侵入ないしはその痕跡を隠蔽するための手段とな るとさらに企業の存亡に関わる深刻な事態を招きうるのである。 日本でのインターネットに接続しているサイト数は、 JPNIC の「接続 されている JP ドメイン数の推移」に示すように 1995 年末ごろから急激 に増加している。 1995 年 11 月の接続ドメイン数は、 3 , 111 サイトであったものが、 1997 年 1 1 月には 25 , 787 サイト、たった 2 年間で 8 倍以上に膨れ上がっている。も ちろんこの中には従業員数が何千人もいる大企業もあれば、数人しかいな い小規模なものもすべて含めた数値である。 98 年秋現在はさらにサイト数 は増加している。 JP ドメインに属するインターネットに接続されているホスト数は、す でに 10 万台を突破し、世界的に見てもこれは、 com, edu, net ドメインに 次ぐ数の多さである。 もし仮に、これらのマシンのほんの 1 % にセキュリティの欠陥があった 場合、 JP ドメインに属するマシンのうち、 1 万台以上のサイトがアタッ カーの標的とされる心配がある。いかに情報セキュリティが深刻な状態か が理解できるだろう。 16
第 1 章リスク管理と情報セキュリティ が急務とされている。 さらに、知的所有権、特許権を中心とする知的財産は企業にとって今で は重要な経営資源の一つとなっている。企業は自社の知的財産を護り、ま た知的財産権にからむ訴訟を極力回避し、損害の発生を防ぐことが重要な 課題となっている。 この知的財産侵害に関わる訴訟が近年国際取引において多発しつつある。 特に特許侵害に抵触しないよう新技術については十分な調査と適切な回避 策を中心に管理対策を講じることが必要となってきている。情報システム 分野においてもソフトウェアについては問題を惹起するケースがあり、慎 重な対応が望まれている。 日本においては、インターネットプロバイダーは、第一種電気通信事業 者とされる場合にあっては郵政大臣の許可を受けなければならない。また、 特別第二種電気通信事業者とされる場合にあっては郵政大臣の登録を受け なければならないとされている。そして、電気通信事業者がその取扱いに 係る通信の秘密を犯した場合には、通常よりも重く処罰されることと規定 されている。 しかし、インターネット上での不正・有害情報の通信を防止するための 措置に関する規定はまだ具体的に定義されているわけではないし、法律も 存在しない。そのため、インターネットプロバイダーが負うべき責任につ いては議論が先行している段階である。もし規範を逸脱した情報の存在を 知りながら一定期間放置した場合、はたして情報発信者の犯罪の幇助罪と して刑事責任を問うべきかどうか、あるいは、もし故意または過失が認め られれば、被害額に対して民法上の不法行為として損害賠償責任を負うべ きかどうか、について議論は盛んであるものの、専門家からの提言や定見 は見られないのが現状である。 現在のインターネット上での情報の氾濫状況および国際的な動向に鑑み れば、わが国においても、インターネットプロバイダーが守るべきルール の定立の必要性、その内容、ルールの性格等について早急にコンセンサス 65
図 3 ー 7 インターネット、イントラネット、工クストラネットと相互リレーション 顧客 / クライアント 企業内スタッフ パートナー / 取引先 プラウザ / アプリケーション ロ ロ ロ ロ 既存 / 基幹システム クライアント / サーバ 業務システム のホームページを呼び出せるが、これでもインターネット技術を利用して いることは間違いないが、これは単に他社の企業ホームページを眺めてい るに過ぎない。工クストラネットでは通常のホームページでは見られない 経営の根幹にかかわる機密性の高い情報をネット上でやり取りすることで ある。通常、イントラネットはファイアウォールでがっちりと守られてお り、簡単に外部から侵入できない仕組みになっている。 ( 2 ) 先進企業で関心を呼ぶ VPN インターネットはどこの企業でも活用し、社会および産業界に広く普及 している共通のネットワークである。普及度や経費、運営などの点で自分 で専用のネットワーク網を構築するよりも企業内外の各地に点在している 部門や各部署をインターネットで接続し、あらたなネットワーク網を構築 すれば、コスト面、運用面でメリットが大きいはずである。 これをインフラとして活用し、セキュリティ面で強化を図る仕組みが V 2 16
はじめに リティを体系的に会得し、検討を行うべき時期に入っている。また、 PL や品質管理だけでなく、製品リコール、著作権侵害、役員賠償、インサイ ダー取引など、従来の業態では取り扱いにくい分野のリスク対策が大きな 課題として浮かび上がっている。そしてこのところの経済不況を背景に 漠然とした「危機意識」から、経営リスクにまで踏み込んだリスク管理、 セキュリティ管理の取り組みに力を入れる企業も増えている。 こうした背景で、本書ではセキュリティ管理をリスク管理のコンセプト からとらえ、筆者の情報セキュリティのコンサルティング経験からったな いながら将来の情報セキュリティの運用についてとりあげて解説している。 また、できるだけ最新の傾向を反映させるため、業界の情報、セキュリティ べンダーの情報を紹介し、随所にインターネットの URL を掲載している。 インターネットを利用している読者諸氏は併せてインターネット上のリソー スを点検していただきたい。 本書が、サイバースペースの利用者であり、インターネットのユーザー である読者諸氏が少しでもセキュリティを理解するうえで有益な情報源と なることを祈ってやまない。できるだけ最新の動向、最新のべンダー情報、 セキュリティ製品情報を紹介するよう努めている。 1998 年 10 月 筆者記す 3