〜安全なインターネット社会実現のキーワードは情報セキュリティ対策です。〜
富士通(株)システムサポート本部 主席部長(セキュリティ担当) 末延 忠昭
|
インターネット社会と情報セキュリティ 〜安全なインターネット社会実現のキーワードは情報セキュリティ対策です。〜 富士通(株)システムサポート本部 主席部長(セキュリティ担当) 末延 忠昭 |
|
富士通では、各省庁ホームページ改ざん事件を契機に、お客様のインターネット接続環境の脆弱度チェックと見直しを営業/SE
で実施し、問題あるお客様に改善提案をさせていただいています。情報セキュリティ対策は、企業の危機管理の一つであり、トップの強いリーダシップによる推進が必要です。
1.これからの社会 今、世界はインターネットを中心とした新しい社会の実現に向けて急速に動きだしています。最近の調査では、日本のインターネット人口は2,000万人(iモードを含めると2,700万人)を超え、世界では約1.9億人とも言われます。このように巨大なインターネット環境は、個人にとっての利便性と新しい企業メリットを創出し、生活やビジネス面を大きく変革しつつあります。
企業は、情報の電子化による企業内の戦略的活用(in
B)、オープンな企業間取引や電子商取引(B to B)、そしてオンラインショッピング等の直接的な消費者サービス(B to C)に取り組んでいます。暮らしの面でも2003年の電子政府の構想が実現すれば、インターネット上で各種の行政手続きや申請が可能となり、時間、距離、場所などの制約から解放されるでしょう。2.インターネット社会の課題 一方、インターネット社会には注意すべき大きな課題があります。それは安全な社会の実現に不可欠な「情報セキュリティ」への対応です。今年1月末に発生した各省庁のホームページ改ざん事件は、日本のインターネット社会の脆弱性を知らしめ、続いて発生した米国のヤフーを始めとするサービス妨害(DDoS)事件は、世界規模の社会問題として認識させることとなりました。
インターネット社会は、現実社会と対比してバーチャル社会やサイバー社会と呼ばれ、少し不透明さを感じさせます。その要因としては、ネットワーク上では相手の顔が見えないことがあげられます。また、電子情報が紙の情報と比べ、変更・複写・削除・移動等の処理が容易にでき、信頼面での不安を感じさせる点にもあります。その他として、利用者自身の情報リテラシーや倫理問題、および法律や社会制度の不十分さもあげられます。 |
|
| ページのトップへ▲ |
|
|
3.インターネット社会の脅威とは  インターネット社会での脅威としては、コンピュータウイルス、不正アクセス、およびネットワークを悪用した行為(ハイテク犯罪)等があります。インターネットと接続された企業のコンピュータ・ネットワーク環境を図1
に示します。
コンピュータウイルスとは、第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、自己伝染機能、潜伏機能、発病機能を一つ以上有するものと定義されています。最近は、メリッサ、ラブレターウイルスに代表される電子メールを媒介とするコンピュータウイルスが猛威を振るっています。IPA(情報処理振興事業協会)への被害届出件数も昨年が3,645件、今年は6月末ですでに3,290件と大幅に増加しています。コンピュータウイルスの脅威は、新規ウイルスへの即時対応が完全にできないことや、サイバーテロの武器となり得るというところです。 不正アクセス行為とは、アクセス権限のない者が無断でネットワークやコンピュータシステムを利用することです。他人のユーザID/パスワードを搾取し、その者に成りすまして侵入し、機密情報を盗んだり、データを改ざん・削除したり、システムを破壊する等の行為に及び、そして、アクセスログを消し証拠隠滅を図ります。このような行為者はハッカー(クラッカー)と呼ばれています。また、ハッキングツールや技術雑誌等で得た知識で興味本位に行う若年者も増えています。このような者の不正侵入を許してしまうシステム環境不備(システム環境設定ミス、古い世代のOS、プログラムバグ等)の状態を放置していることが問題なのです(日本でも不正アクセス禁止法が2月13日から施行されています)。インターネット社会の影の部分としてネットワークを悪用した犯罪があります。クレジットカード番号の搾取、ネット・オークションでの詐欺、違法物品の売買行為、ねずみ講、著作権侵害、わいせつ図画、誹謗中傷等です。また、プライバシー情報漏洩も大きな問題となります。4.情報セキュリティ対策 情報セキュリティ対策の基本は、企業としてのセキュリティポリシーを策定することです。どの情報を何からどのように守るかを定めるため、情報の重要性、被害の影響度の大きさ、発生の確率、現状の問題点等を明確にするリスク分析を行い、トップから一般社員まで遵守する企業方針を明確にします。
企業への脅威は、図1に示すようにインターネット経由の外部者によるものと、内部者が関与するものがあります。外部者による脅威の方が注目されますが、実際には内部者が関与した事件のほうが多く、トータルな情報セキュリティ対策が求められます。現実社会では、不審者の建屋侵入防止のために、守衛や監視モニタの設置を行い、機密資料や貴重品は鍵付書棚や金庫に保管する等のセキュリティ対策が実施されています。インターネット社会も同様に考えるべきです。 外部からの脅威への対策のポイントは、いかに安全なインターネット接続環境を構築・運用するかです。電子メールサーバ、ウェブサーバ、そしてサービス用サーバ等には、不特定多数の利用者がアクセスします。これらのサーバシステムの安全な運用と、社内情報システムへの不正侵入を防ぐことです。その対策としては、ファイアウォールを中心としたDMZ(非武装地帯)環境の構築と監視強化があります。調査では、日本のインターネット接続環境の約半数は不備であると言われています。次が、本人認証とアクセス制御の問題です。現在の情報システムのアクセス制御はユーザID/パスワードによって行われています。もし、他人がユーザID/パスワードを知り得たら簡単に成りすましができます。まず、情報セキュリティの基本はユーザID/パスワードの徹底管理と言えます。最近では、その強化として指紋や虹彩等のバイオメトリクス(生体的特徴)認証やデジタル署名等をICカードに格納したスマートカードによる本人認証も利用され始めています(図2)。機密情報を守る有効手段として暗号技術があります。電子メール盗聴やサーバ内の機密データファイルの搾取、フロッピィディスク・光ディスク等や携帯パソコンの盗難が発生した場合、他の者には読めないように暗号化されていれば安心です。 富士通は、セキュリティ製品とサービスをトータルなセキュリティソリューション「@SECUREVISION
」としてお客様にご提供しています。特に、インターネットからの脅威への対策として、24時間365日、専任技術者がお客様のインターネット接続環境サイトを富士通の「ネットワーク監視センター」から監視し、不正アクセスを検出したら直ちに撃退、リモートで解決できない場合は、技術者がお客様サイトに急行するネットワーク監視サービスを開始しました(図3)。5.まとめ インターネット社会でも自分の身は自分で守るのが基本です。特に、企業での情報セキュリティ問題は、危機管理そのものです。サービス妨害を受けたり、機密情報を盗難されるとビジネスに直接的な影響が出るし、プライバシー情報を漏洩させたり、消費者や他企業に迷惑をかけることは、企業の信頼を失墜させ、企業の死活問題にも発展します。
昨今、現実社会でも企業の危機管理の脆弱性が問題となっていますが、インターネット社会での情報セキュリティ対策は重要かつ緊急課題であることを認識し対応すべきだと考えます。 |
|
| ページのトップへ▲ |
|