第2回　インシデントの発生状況と被害例

　前回は、情報セキュリティインシデントとは何か、そしてそれが組織にどんな影響を及ぼすのかを、具体例を交えながら概観した。第2回の今回は、こうした事件･事故の発生状況を踏まえた上で、今後特に注意が必要と思われる問題を提起した実例を紹介してみたい。

対策が奏功し、報告件数は減少だが・・・

　まず以下の図1を見ていただきたい。これは、日本のコンピュータ緊急対応センター（JPCERT/CC: Computer Emergency Response Team）に報告されたインシデントの件数をまとめたものである。

ここに記された数字は、あくまで同団体が「報告を受け付けた件数」なので、全体像を示すものではない。被害者が報告しなかったもの、気付いていないものを含めれば、さらに多くの数のインシデントが発生していることはまず間違いないとみていいだろう。

さて、下記グラフを見ると、2002年度は報告件数は前年対比でほぼ半減していることがわかる。これは、前年度に起こった中央省庁のホームページ改竄等をはじめとするインシデントの頻発をきっかけに、この問題に対する意識があがり、対策実施が進んだ現われと解釈できる。それでも、年々利用者数も利用機会も増加し続けるネットやIT分野のこと、全体としてみた時には事件・事故の起こる可能性は今後も増えこそすれ、減ることはないと認識しておくべきである。

米大手サイトへのDDoS攻撃では12億ドルもの被害が

　前回あげた具体例は、主に航空分野でのシステム障害が社会インフラとしての公共交通機関に及ぼした甚大な被害を述べたものだったが、それとは別の原因から生じたセキュリティ問題が、経済活動にどれほど深刻なダメージを与えるかを数字で示した事例がある

　2000年2月、米Yahoo!、CNN、eBay、Amazonといった大手ウェブサイトが、立て続けにDDoS攻撃を食らうという事件が発生。DDoS（Distributed Denial of Service）は、簡単にいうと、悪意を持つ攻撃者が、管理のずさんな他者運営の--時には複数の--サーバに侵入、これを乗っ取り内部のコードを書き換えて、標的とするウェブサイトへ一斉にアクセスし続けるようにさせるというもの。これによって攻撃を受けたサイトは、他のユーザーからのアクセスを受け付けられなくなり、さらにはサーバが「落ちる」事態も生じてしまう。

　上記の一連の攻撃では、一部または全部のサービス停止に追い込まれていた時間はそれぞれ2、3時間程度だった。だが、大手サイトでは、たったこれだけの短時間でも、金額に直せば膨大な額になるサービスが提供されているわけで、この潜在的な機会損失と、復旧にかかった費用とを合わせると、全体で12億ドルもの被害が出たと後になって報告された。1日24時間・年365日稼動し続けるのが前提のウェブサイトにしてみれば、ほんの一瞬の出来事だったが、セキュリティ不備の隙をつかれ支払った代償は実に大きなものだったといえよう。

目立つ内部犯行

　ところで、組織に脅威を及ぼす可能性を持つ人間を分類すると、以下の三つになる。

1. 外部者（ネットから侵入しうる特定不能な第三者）
2. 外部者（ネット経由で取引のある相手先）
3. 組織内部者

　このうちで、内部者による犯行の占める割合が圧倒的に大きい。米国コンピュータセキュリティ協会（CSI）と連邦捜査局（ＦＢＩ）とによる調査では89％、また情報処理振興事業協会（IPA）が実施した日本での実態調査でも７０％以上という結果が出ている。アクセス権限のないネットワークに不正侵入して、正規利用者の利用や業務そのものを妨害する、データを勝手に持ち出して、それを換金する、あるいは組織を恐喝する種に使うなど、犯行の目的は多岐にわたるが、特定できない相手に比べれば、内部者の場合は、それだけ日頃の備えが効果を生みやすいともいえる。上記の調査に表れた数字は、裏を返せば、一般的に組織でのITセキュリティマネジメント体制にそれだけ不備であることを物語っているといえはしまいか。

防止困難な情報流出事件も

　よくニュースの見出しを飾る話題は、たとえば「ハッカーの攻撃」やら「ソフトウェアまたはシステムのバグ」、あるいは「ウイルスの流布」など、どちらかといえば技術寄りの原因から生じたものである。ITセキュリティという言葉から連想しやすいのも、こうした事柄だろう。もちろん、これらもITセキュリティマネジメントの管轄下にある重要なものだが、それとは別に、人間的な要素が色濃く絡む種類の事件・事故も、ここ数年目立つようになってきている。

　顧客情報が外部に漏れ出すというのもこの一例で、ウェブサイトやネットワーク内にある、本来外部者のアクセスが想定されていない/許されないはずの部分に、適切なアクセス制限の仕組みを実施し忘れていたなど、単なる不注意が原因のものだけでなく、もっと予想がつきにくいかたちで生じるものもある。次に記す例は、そんな事件のひとつで、セキュリティマネジメントに取り組む組織の姿勢や体制に関して、さまざまな波紋を投げかけるものだと考えている。

　本年2月、オリエントコーポレーション（オリコ）の社員が、暴力団関係者に脅かされて、会社が保有する顧客データを持ち出すという事件があった。暴力団側は入手したこのデータをネタにオリコを恐喝。この企ては結局失敗に終わり犯人は逮捕されたが、この際にデータを持ち出した社員も共犯とみなされ窃盗の罪に問われることとなった。信用が第一の金融系企業にあって、こうしたかたちで信用を損なうことが、どれほど大きなダメージを及ぼすかは、あらためて指摘する必要もないだろう。

　データを持ち出した社員は、業務上横領にならないようわざわざ外で購入したコピー用紙を持ち込む周到さで、僅か30分でコピー作業を完了。顧客情報を社員やら誰でも閲覧できるような状態にあり、オリコのこの管理体制の甘さが原因になったとみる向きもある。

　さらに、犯人となった社員は、両親の介護のため借金を重ねていたという事情が後になって明らかになったが、こうした事柄を事前に察知し、カウンセリング等適切な対応をして、犯罪発生を未然に防ぐ体制がなぜとれなかったのかと指摘もある。同時に、金融機関、信販／カード会社にとって、顧客の個人情報管理が経営の要である点を徹底して浸透させることができていなかった点の責任を問う声もある。

全社的取り組みが不可欠

　いずれにせよ、こうしたさまざまな事柄までが、組織でのセキュリティマネジメントの範疇に含まれることを改めて認識しておくべきだろう。そうしてまた、これらの可能性まで考慮にいれ、それぞれに適切に対応できるような包括的な管理体系を実現するためには、その指針となるセキュリティポリシーの策定が欠かせない。これがなくては、潜在的脅威を含む各分野・項目に対する対策実施への投資基準が明確にならないからだ。そうして「ヒト」「モノ」「カネ」に対する組織全体の姿勢が明文化された時、はじめて具体的なセキュリティ対策の立案・実施が可能となる。

　 　最後になるが、万が一セキュリティインシデントが起こってしまった場合に予想される脅威・ダメージを整理しておく（図2）。セキュリティポリシーの策定に関しては、別の機会に詳しくのべることとし、次回はこの図に含まれた事柄を踏まえながら、現在進んでいるセキュリティ対策標準化への動きを、先に見ていきたい。

脅　威 現　　　　象 対象犯罪者 機密性の喪失 インターネットが接続されているメールサーバのパスワードなどが不当に盗まれるなど、不適切な者にインターネット上の情報が覗かれる インターネットに参加している第三者、 インターネット上の取引先、 組織内部者 完全性の喪失 インターネット上で行われる電子商取引で金額が改竄されるなど、インターネット上の情報が改竄、破壊される インターネットに参加している第三者、 インターネット上の取引先 可用性の喪失 インターネットに接続されているコンピュータ、例えばメールサーバに大量の無効情報を送り付けて機能麻痺に追い込むなど、インターネット上で保存されている情報や資源が利用できなくなる インターネットに参加している第三者、 インターネット上の取引先 証拠性の喪失 電子商取引における契約書などの文書を偽造、改竄し取引事実を不当に事後否認する インターネット上の取引先 提供情報の不正コピー 電子商取引において販売した情報（プログラムなど）を、不当にコピーして他人へ配布する インターネット上の取引先 信用の喪失 不当に情報をコピーし、持ち出して不正使用される 組織内部者
図2　脅威を与える現象

　なお本原稿作成にあたっては、『セキュリティ対策ガイド』（内山亮二著：中央経済社刊）をもとにした。ご興味のある方には、是非そちらも手にとって見られることをお薦めする。