第18回：米国政府の監査企業の顧問を務めるエキスパートに効果的対策を聞く - (page 2)

セキュリティは高信頼性の一部

――現在、日本では個人情報保護法の施行が目前に迫っていますが、情報漏洩に対する認識というのはいかがでしょうか？

武藤氏：　現在、情報漏洩に関する事件は、9割が内部犯行から発生していると言われています。また、日本を見ても、ここ数年で情報漏洩に関する事件が急増しているのに加え、3月の退職時に内部情報を持ち出すなどのケースが増えています。内部情報漏洩の手口などは、ほとんど米国同様になっているといえるでしょう。

【拡大表示】 米国政府のセキュリティマネジメントの強化策。最も上段の重要部に「Taxpayer（納税者）の利益」が掲げられていることが分かる。

　しかし、おそらくこうした状況を日本の政府や自治体は、把握していないと思われます。実に情報漏洩の多くは公共機関で起きているのです。また、米国では、セキュリティに対するマッピングの最重要項目として「Taxpayer（納税者）の利益」を上げています。こうした考えがないかぎりは、民間を主導できるような、強固かつ使い勝手に優れたセキュリティ対策は実現できないでしょう。 　なお、米国政府では、情報セキュリティ対策に5000億円以上を投じていますが、それでも65％近いリスクが残っているとの分析をしています。法整備に向けての取り組みや巨額投資を行いながらも、これだけのリスクが残されているのですから、日本はもっと努力しなくてはならないのが実情でしょう。政府や民間企業のセキュリティ向上のためには、自らの組織の現状を知り、セキュリティ向上の為の評価のフィードバックが必要不可欠です。

――セキュリティに問題が発生する場合は、どのような原因に起因するケースが多いのでしょうか？

　調査によると、ネットワークにダウンタイムが生じる原因として大きいのが、オペレーターの操作ミスとソフトウェアのバグで、それぞれ約4割、合わせると8割近くに上ります。そのほかの約2割は周辺環境やハードウェアの欠陥で、ハッカーや内部犯行はわずか3％に過ぎません。

　セキュリティというと、すぐにファイアウォールや暗号化などを思い浮かべがちですが、実際にはそこは問題ではない場合も多いのです。こうしたファシリティの部分や人的ミスにまでマネジメントを行うことが必要となります。

　さらに、セキュリティは信頼性の高いコンピュータを作るための要素であるともいえます。私自身がセキュリティに興味を持ったきっかけもそうなのですが、信頼性の高いコンピュータを作るには、ハイアベイラビリティであること以外に、脆弱性が存在しないことが条件となります。本当のセキュリティマネジメントでは、そうした意味を含めてセキュリティだけでなく、システム全体を見渡せることが重要となるのです。

情報の積極的な開示も必要に

――武藤先生は、さまざまな研究開発をされているようですが、現在注目されているセキュリティ分野はありますでしょうか？

　現在、私自身が研究開発している分野としては、「2ポートディスク」や「ドライバウェア」の分野が挙げられます。「2ポートディスク」は、その名の通り2つのポートを持ったハードディスクのことで、1つのディスクの内部に読み取り専用もしくは書き出し専用のヘッドと、読み書き可能なヘッドを2つ搭載したものとなります。

　「2ポートディスク」では、インターネットなどネットワークに接続されているデバイスは、読み取り専用のヘッドからのみのアクセスに制限します。一方、特定のデバイスだけが読み書き可能なヘッドにアクセスできるようにすることで、情報が改ざんされることを防ぐ仕組みを持っています。さらに読み書き可能なヘッドに接続されたデバイスに今度は書き出し専用のヘッドを持ったディスクを接続し、ログを収集します。これにより、情報漏洩などが起きた場合にも、すぐにその出所が分かる仕組みです。

　もう1つの「ドライバーウエア」ですが、これはOSと各種のハードウェアとを接続するドライバソフトとして動作するシステムです。OS上よりもう1つ下の階層で、各種のハードウェアを制御できるようになるという特徴があるので、キーボードやマウス、モニター、ハードディスクなど各種のデバイスを、OSの動きにかかわらずに制御できます。これにより、開封後、一定時間経過したら消滅するファイルや、閲覧中に画面キャプチャができないファイルなど、ファイルやアプリケーションにさまざまなセキュリティの機能を持たせることができます。

　ドライバーウエアを利用したセキュリティ製品として、一定時間でファイルを消す仕組みを持たせたものを「時限君」という名称で日本では製品化しました。また、それ以前に米国空軍に効果的なセキュリティ対策としても提案していました。米国では、セキュリティの開発は軍需産業を中心に進められているので、認められるには軍に提案する必要があります。世界最高レベルのセキュリティ技術が集まっている中で高い評価をいただいたので、今後はもっとさまざまな形で世に出てくると考えています。

――今後、日本全体がセキュリティ先進国家になるためには、どういったことが必要ですか。

武藤氏：　早急に必要なのが、セキュリティに関する真のプロフェッショナルの育成です。現在、セキュリティはマネジメントする人材と、ツールのオペレーションを行う人材がバラバラであり、意思疎通がとれないことも多いので、各所に脆弱性が生まれます。上から下のレイヤーまで、全体が見渡せる人材がCIO／CTOとなって指揮を執れば、そうした問題は発生しません。

　国の取り組みとしては、前回述べた脆弱性の徹底したチェック以外にも、情報の開示という点が重要になります。米国では、セキュリティの強化を図る以前に、予算として重点的に強化する分野についての開示を、コンサルティング企業を通して行います。

　国家レベルの取り組みでは莫大な予算が動くので、セキュリティベンダーは予算獲得のために優れた製品を開発しますし、採用されれば利益を享受できます。結果、国家のセキュリティ対策と企業の技術力向上に向けての底上げとが図れるという構図になっています。日本では脆弱性が指摘されるなどの理由から、こうしたことを行うケースが少ないのが実情です。しかし、国家全体のレベルアップのためには、それに近い仕組みは必要であると考えています。