工業化社会から情報化社会へと変革するなか、インターネットをはじめとする各種の情報システム技術は、情報技術基盤から全世界的な社会技術基盤の中心へと成長してきた。しかしその一方で、システム開発に伴うトラブルや製品が抱えるセキュリティホール、ウイルスやワーム、さらには物理的・人的問題など、広範囲の要素を含んだ「情報セキュリティ」に関わる脅威が生じている。本連載では、毎週ひとつづつ、計12回にわたって、情報セキュリティの脅威や発生情況、セキュリティマネジメントの動向や具体的な対策を取り上げ、読者諸兄のこの問題への理解や対策検討の一助になればと考えている。第1回目は、情報セキュリティインシデントに関連した事故や事件など様々な問題を整理・分類し、その脅威について述べる。
情報セキュリティインシデントの脅威を物語る具体例
情報セキュリティにおけるインシデントとは、コンピュータセキュリティに関連した事故や事件のうち、人為的事象で意図的または偶発的なものを指す。従って、単なるシステム上の問題から生じるものだけには留まらない。
2003年3月に発生した、国土交通省東京航空交通管制部が運用する航空管制システムのダウンも、こうしたインシデントの一例といえる。FDPと呼ばれる飛行計画情報処理システムがきちんと作動せず、大規模な麻痺状況を引き起こしたこのインシデントは、皆さんの記憶にも新しいところだろう。
FDPは、航空会社各社からネットワーク経由で送られてきたフライト・プランを元に、航空機が何時に、どの地点を、どの高度で通過するか、また目的地への到着は何時かといったデータを計算するシステム。加えて、その計算結果を、他の管制部やレーダー事務所、目的地の空港などの関係機関に送信する機能も、FDPに含まれている。
このFDPに関して、ハードウェア障害の対策は施されていたものの、ソフトウェア障害には対応できていなかった。しかもこのシステムは、東京航空交通管制部だけに設置されており、全国のフライト情報を一元管理しているため、他の機関でこの機能を代替することはできなかったのである。
組織の存続を脅かす規模の被害も
上記の障害では、システムダウンの時間は約1時間弱。その間に、全国の空港で200便以上が欠航、1400便以上に30分以上の遅れが生じ、結果的に約27万3000人以上の人々に影響が及んだが、後日その原因が既存のプログラムのバグにあったことが発表された。つまり、システム中のごく一部のプログラムが、国内の航空インフラを麻痺状態にしてしまったということである。
なお、システムを開発した業者は、このバグを事前に検知していたが、事前のテストではトラブルが起こらなかったため、バグの存在を国土交通省に連絡していなかった。また国土交通省もシステムの動作検証が不完全だったことを認めている。
この事例からわかるのは、障害の根本的な問題が、システムの開発内容だけに留まらず、情報セキュリティのマネジメントにも大きく関係しているということである。
このほか、上記障害の数週間後には、全日空で発券システムがダウン、その復旧作業でもミスを犯し、2次災害を引き起こすという事態が生じた。150便以上が欠航し、約10万人以上に影響を与えたこの障害の責任をとって、社長ならびにシステム担当役員を含めた4名が減俸処分となった。
また数年前に、米国オークションサイトのイー・ベイでシステム障害が発生した際には、約22時間に及んだサービス停止の補償として、手数料計500万ドルを会員に返金しなくてはならなかった。何と1日足らずの間に、約5億円以上の損害を被ったのである。
このように、情報セキュリティ対策の不備から、社会インフラに大きな支障を来たしたり、莫大な損害を生じさせる問題が発生し、それが当事者となった組織自体の存在すら脅かすことにつながりかねないという点を、まず再認識していただきたい。
脅威の種類を把握する
上記のように、重大な影響を及ぼしかねない情報セキュリティの脅威には、当然相応しい対策を講じる必要があるが、そのためには先に「どんなものがあるか」を把握しなくてはならない。そこで、この脅威を分類整理をしてみたのが表1である。表中にあるように、ウイルスや不正アクセスだけではなく、天災や事故といった「物理的なもの」から、運用ミスや悪用などの「人為的なもの」、そしてソフトウェアのバグや設定ミスなど「システムに関するもの」まで、情報セキュリティの脅威には多種多様な事柄が含まれる。
|
||||||||||||||||||||||||||||||||
|
そして、上記の各種脅威からシステムを護るための対策を大きく分類すると図1のようになる。図中の各要素は、一見したところではあまり関連性が無さそうに思えるが、実はそれぞれが相互補完し、必要なセキュリティ対策を実現していくものだということを十分認識していただきたい。
当然、これらの情報セキュリティ対策は、各システムの担当部門が検討・実施する事項だが、万が一問題が生じてしまった場合には、担当者のみならず、CIOやCEOといった組織全体をみる経営陣にまで責任が及ぶこともある。従って、各組織で必要な情報セキュリティ対策が確実に実施され、そのチェックが行えるような仕組みや体制を確立することが重要である。
次回は、情報セキュリティインシデントの発生状況とその被害例を、さらに詳しくみていくことにする。なお、参考として、今回を含めた全体の予定を以下に記す。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力