第 3 章企業のセキュリティ対策 7 カ条 表 3 ー 2 主なファイアウォール製品一覧 取扱いべンダー名 製品特徴 チェックポイント・ソフトウェア・ バケット・フィルタリング テクノロジーズ ( 米国 ) とプロキシの組み合わせ フォーバルクリエイト 日本サン・マイクロシステムズ ( 日本 ) ボーダー・ネットワーク・テクノロ アプリケーション・レベル ジーズ ( 米国 ) のプロキシとインターネッ ニチメンデータ ト・サーパ・ソフトを組み システム ( 日本 ) 合わせ ョ アプリ トラステッド・インフォメー ケ - ーション・レ / ヾノレ ( 米国 ) のゲートウェイ ン・システムス・ ミルキーウェイ ・ネットワ ス アプリ ーク ケーション・レのくノレ ( 米国 ) のゲートウェイ・ソフト マクニカ ( 日本 ) 日本 DEC アプリ ケーション・レ / くノレ のゲートウェイ・ソフト ノ、リス・コンピュータ・ ト・フィルタリング ノヾケ・ツ システム ズ ( 米国 ) 機能とアプリケーション・ 日新電機 ( 日本 ) プロキシ・ソフトを統合 日本 IBM ノヾケット・フィルタ・ソフ トとプロキシ・ソフトの組 み合わせ 製 名 FirewaII-1 BorderWa1 、 e Firewall Server G auntlet lnter. net Firewall Black Hole Firewall for UNIX CytprGuard Firewall lnternet onnection Network Gateway Firewall IRX リビングス ープライ ヾケット・フィルタリング ト ン・工ンタ ズ ( 米国 ) のファイアウォール機能の ルータ組み込み セキュア・コンピューティング アプリケーション・レベル ( 米国 ) のゲートウェイ・ソフトと ハードの組み合わせ FireWal レ Plus ネットワーク・ワン・ソフトウェ バケット・フィルタリング ァ & テクノロジー ( 米国 ) プリッジ ネットワ ーク・システムズ ( 米国 ) The Router バケット・フィルタ・べ ス機能を備えるルータ組み 込み ネットワーク・ トランスレーショ ファイアウォール機能を備 ン ( 米国 ) えるネットワーク・アドレ ス変換システム SOS ( 米国 ) ノヾケット・フィルタ・ソフ トとプロキシ・ソフトの組 み合わせ Sidewinder Private lnternet Exchange stone Firewall Package 2 13
第 4 章セキュリティ・リソースセンター チャント・サーバ ) 、金融機関とのゲートウェイ・ソフト、電子財布 ソフト、認証システム、暗号工ンジンのモジュール群で構成。 Netscape CommerceXpert(Netscape Communications) http://search.netscape.com/products/commapps/ ネットスケープの電子決済のためのサーバー Oracle lnternet Commerce Server, OracIe Payment server (OracIe) http ・ //www.oracle.com/products/asd/asdhome.html 電子決済や電子店舗の管理などを行なうサーバー Oracle lnternet Commerce Server( 日本オラクル ) http://www.oracle.co.jp/ics/top.html インターネット店舗に必要なショッヒ。ング画面の作成、注文処理、決 済処理などの機能を持っサーバー システム。 Oracle Payment Server ( 日本オラクル ) http ・ //www.oracle.co.jp/ops/top.html 決済システムと統合するためのシステム。 PayWare (Trintech) http ・ //www.trintech.com/ SET 対応の電子決済システム。コマース・サーパ・ソフト , インター ネットと金融ネットワークを結ぶためのゲートウェイ・ソフトで構成。 StarCommerce ( 日本電気 ) http ・ //www.nec.co.jp/japanese/todaY/newsrel/9611 / 1901. html EC 環境を容易に構築するための開発環境やソフトウェアパッケー など 25 種の製品・サービスから構成。 Transact(Open Market) http //www.openmarket.com/transac し / システム。 259
MS ExceI で作成されたファイルのマクロウイルス ( マクロ命令で記述され たウイルス ) 感染件数が激増している。 この対策としては、「マクロ機能の自動実行」を避けることであろう。 また、シフトキーを押し続けながら文書ファイルを開くことによりマクロ の自動実行を止めさせることができる。また、インターネットからファイ ルをダウンロードした場合は、ウイルス検査を行ってから実行する習慣を つける。圧縮形式のファイルの場合は、解凍後にウイルス検査を行う。ま た、解凍前にウイルス検査を行うことができるワクチンソフトもあるので、 有効に活用してみることである。 感染フロッヒ。ーディスクが挿入されている場合であっても、 DIR コマン ドを実行しただけではコンピュータはそのウイルスに感染することはない。 感染ディスクを使用中、 "DIR" コマンドを実行するだけでそのコンピュー タはウイルスに感染しない。通常、 DIR コマンドを実行すると、フロッピー ディスクのプートセクターの内容はバッフアにロードされる。フロッヒ。ー ディスクがシステム領域感染型ウイルスに感染している場合、そのウイル スのプログラムコードもバッフアにロードされる。 このバッフアをチェックする検索プログラムが動作していると、バッファ 内のコードを検出して「〇〇ウイルスをメモリ内で発見した場合は、ただ ちにコンピュータの電源を切ってください」等の警告メッセージを表示さ れることがある。しかしこのバッフア内のウイルスに CPU の制御が渡され ることはないので、この時点では実際に何も危険はないが、警告メッセー ジは単純に無視してしまうのは危険である。このメッセージが表示された ら、未感染のシステムディスクでコンピュータを起動してハードディスク こでもし何のウイルスも発見され を検索しておくことである。そして、 なければ、最初に使用されたフロッヒ。ーディスクにウイルスが感染してい たことがはっきりする。ただちにフロッヒ。ーディスク上のウイルスは、そ のウイルスに見合った方法で除去しておかなければならない。 そして、予防対策のほかに、「ケア」も余念なく行っていただきたい。 196
も呼ばれるアンチウイルス・ソフトは感染の予防や除去の機能をもつ。ア ンチウイルスの機能は新しいウイルスの発見により次々に進化しており、 常に最新のバージョンにアップデートしておかねばならない。 アンチウイルスはフロッピーやハードディスクのファイルやプートセク 夕、メモリの使用状況などを監視して、ウイルスを検出したら警告する。 ウイルスが検出されても、そのファイルやプートセクタをまだ一度も実行 していなければ、システムに感染せずにすむ可能性がある。これが、アン チウイルスの予防機能である。また、アンチウイルスは検出した部分のウ イルスのコードを削除することによって、ウイルスを除去する機能をもつ。 しかし有効なウイルス対策を行うには、アンチウイルスを使用するだけ でなく、ユーザの日常的な注意が欠かせない。たとえは、出所不明の実行 ファイルをやたらと実行したり、フロッピーディスクを入れたまま不用意 ータを起動するのはたいへん危険である。また、 DOS や Windo にコンヒ。ュ ws などのマスタ・フロッビーにウイルスが感染したらシステムを復旧で きなくなる。マスター・フロッヒ。ーは必ずライトプロテクトして、プート セクタにウイルスを感染させないようにすることも重要である。 さらに、外来のデータファイルを開く場合には、マクロを自動実行しな いようにファイルを開くことも有効だ。単にファイルの内容を見たいだけ なら、マクロ機能をもたないビュワーで開く方法もある。 その他、直感的にいつもと違うなと感じたときは、一応予防ワクチンソ フトでチェックしておいたほうがよいだろう。ワクチンソフトでウイルス の有無を検査できるほか、ウイルスを駆除するものも市販されているので こうしたソフトを活用することである。もちろんウイルスは、日々新種が 発見されているので、ワクチンソフトはできるだけ最新バージョンのもの を使用したほうがよいのはいうまでもない。よくパソコン等の購入時に添 付されているワクチンソフトは、ユーザーが自発的に行わない限りはバー ジョンアップされないので、それだけで安心しない注意も必要であろう。 感染フロッヒ。ーディスク上にあるデータファイルを未感染のコンピュー 188
ト上の電子マネーは 1 社独占技術の形態になりやすいのも、各社の開発競 争に火をつけている。 A 社は当面の潜在競合である楕円暗号について、まだ実験段階の方式 であり、大規模な商用レベルで本格的に使うのは安全性の面で「時機尚早」 であると広言し、牽制に余念がない。また暗号の変更に伴う社会的なコス トの増大も A 社には有利な材料である。仮に楕円暗号の採用が決まって もいったん A 暗号でできた電子マネーインフラを切り替えるのはコスト がかかるからである。 米マスターカードは楕円暗号を積極的に推進している一方で、ライバル のビザは楕円暗号の採用に乗り気でないともいわれている。 A がこのま ま先行優位を保つのか、それとも楕円暗号が台頭してくるのか行き先はま だ不透明だが、次世代暗号技術をめぐってしばらくこれからの進展には目 が離せない。 ( 13 ) 代表的な暗号ソフトウェア PGP インターネット上で機密性の高い情報を電子メール送信するためには、 RIPEM (Riordan's lnternet privacy Enhanced Mail) 、 PGP (pretty Good pri vacy) 等の暗号化電子メール用のフリーソフト ( 無償で配布されるソフト ウェア ) を利用したり、 S/MIME (Secure/MuItipurpose lnternet Mail Exte nsion) と呼ばれる暗号化フォーマットを組み込んだ市販ソフトを利用す ることが多い。こうして現在では、暗号技術に関する特別な知識を持たな い一般のパソコン利用者であっても、暗号ソフトウェアを容易に利用する ことが可能となっている。 PGP (PrettyGood Privacy) は 91 年にフィリップ・ジマーマン氏によっ て開発された公開鍵暗号で、電子署名の機能も持っている。 PGP は、暗号 アルゴリズムではなく、 2 つの暗号アルゴリズムを組み合わせた暗号ソ フトウェアである。具体的には、 IDEA をデータの暗号化に使い、 RSA 公 開鍵暗号を使って IDEA の鍵を暗号化して送信する方式を採用したソフト
第 1 章リスク管理と情報セキュリティ ウイルスが発病してしまい、パソコンに保存されたすべてのデータが壊 れてしまうなど手後れになることも珍しくない。ウイルスそのものの数が 多ければ感染範囲も急速に広がる。またソフトウェアメーカーが品質管理 を行う際、あまりにも古い検索ソフトを使っていればその製品を通じてウ イルスも広がってしまう。それらの製品をどんなユーザーが使うかも重要 になってくる。新しいソフトを入手しても、ウイルス検索を行わずにその まま実行してしまう・・・このようなユーザーの存在もウイルスが大流行する 原因の一つとなっている。 ウイルスに感染すると、企業内のすべてのパソコンを 1 週間、場合によっ て数カ月間は治療しなければならない。最悪の場合、その間はシステムが 停止することもある。一度、企業内にウイルス感染が判明すると、システ ム管理者は、時間をかけてでも徹底的に駆除しなければ、たちどころに拡 散してしまう。この間、コンピュータが停止したことによる損失は膨大な ものになる。同時にワクチン・ビジネスも拡大し、べンダーやシステムイ ンテグレータの関心も急激に高まってきた。いまやウイルス対策は常識で あり、ウイルス感染でふだんの業務に差し支えていては企業の恥といえる。 企業のネットワーク化の進展に伴い、実際にこうした大規模なウイルス被 害が発生するようになってきた。 ウイルス被害急増の最大の原因は、 96 年以降、日本でも猛威を振るいは じめたマクロウイルスと呼ぶウイルスの種類の存在が大きい。マクロウイ ルスは、マイクロソフトのワープロ・ソフトである W 。 rd や表計算ソフト の Exce1 の文書ファイルに感染する新種のウイルスであり、これらのソフ トのマクロ機能を利用して動作することから、マクロウイルスと呼ばれる。 最近ではハードウェアや OS の違いも吸収し、データ・ファイルに乗って 流通するマクロウイルスというものまで現われている。 従来、フロッピー・ディスクや CD - ROM 経由で感染していたウイルスと は異なり、マクロウイルス電子メールの添付ファイルやインターネット経 由でダウンロードしたファイルに潜んで感染する。そして一度感染してし
ケースが増えている。フィルターソフトとは web プラウザにあらかじめ設 定したサイトを見られないようにするためのものである。社員が当たり前 のようにインターネットに接続する時代になったが、必すしも仕事に関係 したページばかりを見ているとは限らないのが原因らしい。しかし学校 はともかくとして、企業でわざわざサイトを制限するのがいいかどうかは 議論が分かれるところであろう。硬直した勤務からは自由な発想は生まれ にくいからだ。 インターネット上の猥褻画像については、郵政省の研究会がプロバイダー の自主規制を求める案に対し、一般から「インターネットで規制すること には反対」などの意見が寄せられ、見直しを検討中だ。また、文部省では 有害情報のフィルタリングソフトを検討する研究会を設置するなどのアプ ローチを行っている。 ( 4 ) ポルノ規制を巡る議論 すでに家庭にパソコンが急速に普及し、教育現場でもインターネットが 教育を変える可能性をもっているということで、生徒たちがアクセスする 場面が多くなっている。いわばインターネットのポルノ情報が、そのまま 教育の場に持ち込まれるということも現実のものとなっているのである。 無修正の画像、クラッキングの基礎知識、爆弾の製造法などを見つけるの はそう難しくはない。どれもが真実というわけではなく、金をだまし取る ための詐欺事件さえ発生している。 96 年 9 月には、自ら組んだハッキングソフト等を用いてハッキングする ほか、 ハッキングした他人の ID をパソコン通信上で販売するいわゆる 「 ID 屋」 ( から購入し、多数の他人の 1D を人手していた高校生ハッカー ) が逮捕されている。彼らは、不正に入手した他人の ID を使用してパソコ ン通信の電子掲示板上でわいせつ画 (CD-ROM) の販売広告を行い、パソ コン通信上で「口座屋」から購人した他人名義の銀行口座に、わいせつ画 の代金を振り込ませていたのである。 38
要な個人情報である秘密鍵とデジタル ID を保存することで「端末なりす まし」が懸念されていたが、 Ne ign を利用することで重要な個人情報で ある秘密鍵とデジタル ID がスマートカードに保存され、常に利用者が携 帯することを可能にしている。この NetScape Communicator で S/MIME に よる署名・暗号メールを送る場合、クライアント認証機構によるイントラ ネットでのアクセス制御での利用が可能になる。 リトロニック社の「 CryptOSTM 」と呼ばれるスマートカード API は、業 界の規格である「 SecureSockets Layer (SSL) 」、「 secure Mu1tipurpose lnter net Mail Extensions (S/MIME) 」、 RSA 社の「 public Key Cryptographic stand ards (PKCS # 11 ) 」、「 x. 509 認証」および「 Common Data Security Architect ure (CDSA) 」などをベースとしているが、さらに、スマートカード上に VeriSign Digital ID をダウンロードすることも可能としており、すぐに利 用可能な形のパッケージで提供されている。 このように、それぞれのスマートカード、電子マネーの間には使われる であろう場面・状況等の想定に差異があることから、個々の要求条件の重 要度や優先度に対する考え方において異なる思想の下に開発されており、 さらにコストとの兼ね合いもあって、必ずしも全ての条件を実現していな 仏ジェムプラス ( マルセイユ ) は世界最大の IC カード会社である。同社 では電子マネー時代をにらんで Java ( ジャパ ) を使った複数の応用ソフ トを 1 枚のカードに組み込み搭載した製品の実用化を急いでいる。 Java をミドルソフトとして組み込んであり、複数の応用ソフトを動かすパソコ ンのように処理させる。 Java で開発したクレジット、電子マネー、 ID ( 身元証明 ) などさまざまな応用ソフトを通信回線経由でカードの中にダ ウンロードして取り込めるのが特徴である。これにより、 1 枚の IC カード を複数のサービス会社が共有でき、 IC カード普及の弱点とされているカー ド発行コストの低減につなげられるという。この Java 組み込みカードの 価格は 1 枚 1200 円程度を予定しており、すでにクレジット会社や銀行、電 168
第 3 章企業のセキュリティ対策 7 カ条 トシステムは、ステルス型ウイルスが含まれているファイルの感染 防止にも効果を発揮する。 転ばぬ先のウイルス対策 ( 7 ) スノヾ 195 習慣をつけることである。そして、近年、マイクロソフト社の MS word と すること。また、電子メールを相手に送信する前にはウイルス検査を行う 勧める。それには、メールの添付ファイルはウイルス検査後に開くように また、ファイルのダウンロード後は必すウイルス検査を行うことを強く たほうがよいだろう。 クアップデータにない貴重なデータが保存されている場合にとどめておい いかどうかを確認する必要がある。ファイルを修復するのは、そこにバッ もちろん、そのバックアップデータ自体ウイルスに感染してしまっていな それをそのバックアップデータと交換してしまったほうがより安全である。 もっと困難になる。このため、感染ファイルそのものを修復するよりは、 こうした場合、どのファイルの内容が変更されたのかっきとめることは らないままでいることがよくある。 うものがあるため、ユーザ自身が何かデータが破壊されたかどうかもわか 中にはファイル内の情報の一部分のみ変更するか、ランダムに変えてしま また、 Nomenklatura ウイルス、 Phoenix ウイルスのように、ウイノレスの いことが多いことを知っておくべきである。 感染前のファイルのデータが破壊されるだけなく、その部分は復旧できな ないこともある。たとえば、ウイルス自体の持っバグ ( 欠陥 ) があると、 さらに、これまで紹介してきた典型的なウイルス対策だけでは収拾でき 回っているのが実情である。 究者がそれに負けないウイルスプログラムを「開発」し、知らない間に出 されているが、どんな優れた防除ソフトでも、しばらくするとウイルス研 て行えるわけではない。ウイルス防除のためのソフトウェアは数多く発売 しかし市場に出ているウイルス対策ソフトで、こうした修復作業がすべ
従業員数 5 , 000 人以上の企業の約 3 % がセキュリティ対策を行っていな いというのは企業のポーダーレス化、グローバル化を迎えようとしている いま、企業としての常識からすれた驚くべき事実ではないだろうか。また、 JPCERT に報告された 1997 年 4 月から 1997 年 10 月までの半年間で、日本国 内での不正アクセスの報告件数は、以下のとおりである。 ネットワークニュース・サーバ (INN) を悪用した攻撃 電子メールの不正な中継と電子メール爆撃 システムへの不正侵入 web サーバーの cgi-bin プログラムを悪用した攻撃 ・ 34 件 ・ 19 件 ・・ 23 件 ・ 79 件 これらは報告された件数であり、実際に攻撃されても報告されなかった 数を含めるとかなりの数に上るものと推察できる。企業のみならす、あら ゆる組織は通常、イメージダウンや信頼性の観点からコンピュータやネッ トワークなどを攻撃されることによる被害を公にしないことが多く、表面 化することはきわめてまれなことである。また、不正アクセスが発生して いることにすら気づかないサイトも数多くあると推測される。 たとえば、市販ソフトのコヒ。ーを犯罪と認識している人は少なく、 60 % の人が問題ではないと思っている。自己責任で、リスク状況、コスト意識 を把握する癖がないからであろう。比較的接続が簡単で高速なインターネッ トを使って、高価な著作権付きソフトウェアを無料でダウンロードするこ とと市販ソフトのコヒ。ーがまかり通ってしまっていることは、他社のネッ トワークを許可閲覧することと、無断で閲覧することの差とたいして違い はないのである。 ( 5 ) 甘えの構造がリスクを誘発する こ数年、エジプトでのテロリズムの発生可能性 ( 確率 ) の高さとその 背景は専門家から指摘されていたが、実際現実のものとして発生してしまっ た。結果論であるが、旅行会社は、事前にカントリー・リスクの説明を顧 客に十分にしていたのか、はなはだ疑問である。 JTB の広報の人は、事前