セキュリティ専門のイベントであるRSA Conference 2003 Japanが6月3日、東京国際フォーラムにて開幕した。1991年に暗号学者の発表会として米国ではじまったイベントだが、以来毎年開催されるようになり、今年4月に開催されたサンフランシスコでのイベントには1万人以上の来場者が足を運んだ。日本で開催されるのは昨年5月に続き2回目で、昨年は2日間で4245名の来場者を集めている。
同イベント初日トップの基調講演に立ったのは、米国ホワイトハウスで以前サイバースペースセキュリティ担当特別補佐官を務めていたRichard Clarke氏。同氏はサイバースペースにおけるセキュリティ問題が深刻となりつつある現状をふまえ、今後どのような対策が必要かについて語った。
Clarke氏によると、過去4年間で不正コードによる攻撃は毎年倍増しているのだという。しかもそれは報告されたものだけの数字で、攻撃が報告されるのは約5件に1件とされていることも指摘。同時にClarke氏は、ソフトウェアの脆弱性が報告される数も毎年倍増していると述べた。「現在では1週間に30件もの報告がされている。そのパッチにさえ脆弱性が発見される場合もある」(Clarke氏)
またClarke氏は、このような脆弱性が発見された場合、迅速な対応が必要であることも強調した。数年前にはパッチを発行するまでに数週間かかっていたこともあったが、現在では脆弱性が発表されてから数時間後にはセキュリティホールを狙った攻撃がなされる危険性もあるためだ。また、2002年7月のCode Redが1日で数十万台のマシンに影響を及ぼしたことや、2003年1月のSlammer攻撃にいたってはCode Redと同じ数の影響を与えるのに14分しかかからなかったことを例にあげ、攻撃を防ぐための対策のみならず、攻撃を受けた場合いかに被害を少なくするか対策を立てることも重要だと述べている。
グローバルな協力体制で安全なサイバースペースを
元ホワイトハウス サイバースペースセキュリティ担当特別補佐官Richard Clarke氏 | |
---|---|
Clarke氏は、「安全で健全なサイバースペースを実現するためには、IT業界のみならず、政府を含めITに依存するあらゆる業界が国際的に協力することが不可欠」と語る。そのため同氏は「国際サイバースペース審議会が必要だ」といい、その審議会で検討すべき懸案を10項目あげている。その中のいくつかを紹介しよう。
まず1つめは、共同でソフトウェアの品質を保証することだ。国際的に品質を保障する条件を定め、その条件をクリアしなければ市場に出回らないようにして脆弱性を防ぐようにしなくてはならないという。
2つめは、高級レベルの審議会でパッチテストを行うこと。システム管理者がアプリケーションにパッチをあてる場合、どのような影響が出るか未知数なため、テストを行ってからパッチを適応している。しかしこの作業は世界中のあらゆるシステム管理者が行っていることで、これを国際的な機関で一括して行うことができれば無駄が省けるとClarke氏はいう。
3つめは、IPv6の導入を進めることだ。現在IPv4とIPv6が混在していることで脆弱性が大きくなっていることや、IPv6がスパムのなりすまし対策にもなることをあげ、政府もIPv6へ移行するための調整を進めるべきだとClarke氏は述べている。
次にスパム撲滅があげられる。スパムはインターネットの帯域網におけるデータの中で最大量を占めているとClarke氏は指摘し、米国では州によってスパムを法律違反とする動きもあるのだという。
ほかにもClark氏は、地球規模での警戒警報システムを用意すること、BGP(Border Gateway Protocol)やドメイン名のセキュリティ確保、出口フィルタの体制を整えること、ベストプラクティスのための標準とシステムを作ることなどをあげている。また、Wi-Fiや3G携帯電話、ホットスポットなど次々と登場する新技術に対してもセキュリティを確保し、新技術を推進するためのメカニズムを作ることが大切だと語る。
「サイバースペースに国境はない。政府を含め、全世界が協力して不正行為を撲滅するよう動かない限り、安全なサイバースペースはありえない」と、Clarke氏はグローバルな協力体制が必要であることを主張した。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」