第2回 セキュリティ分科会 議事録

第2回(2001/11/30)セキュリティ分科会 議事録
講師: 中央大学 研究開発機構 情報セキュリティ研究ユニット 専任研究員
関東学院大学 経済学部 講師
内田勝也様
講演内容: 情報セキュリティを考える
情報セキュリティ
 
コンピュータ犯罪者像
 
セキュリティを考える上で犯罪者像を考察する事は重要事項である。
コンピュータ犯罪者像は、組織内で簡単に内部犯行を行なえる立場の人(地位があり信頼されている)と重なる。
このような立場の人も、一生暮らしていける金額を手にするチャンスがあれば、善良な人間も反社会的な行動を取る事がある。
コンピューターウイルスの定義・生い立ち
 
コンピュータウイルス対策では、対象相手を明確に定義する必要がある。
コンピュータウイルス→有害プログラム
また、教訓として過去に起こった事件を参考にする必要がある。過去に、現在流行しているウイルスと同じような行動をし、被害を出している事件がある。これらの事件が、日本では教訓になっていない。
ウイルスに対する対策
 
ウイルス対策には、ウイルスの仕組みや種類・行動パターンなどを知る必要がある。
ウイルスの種類に合わせて対応策をとり、定期的にアップデートする。(ワクチン・セキュリティパッチなど)
常にウイルス/ウイルス対策情報を入手するように心がける。また、ウイルス感染の兆候を見逃さない。
感染に備えた、データのバックアップを取り、万が一感染した場合、被害者から加害者にならない対策を構築する。
  最終的に、ウイルス対策は技術では補えない点が多く、企業内での普段からの教育・訓練が必要である。
ネットワークセキュリティ
 
不正アクセス
 
不正アクセスがどのような目的で行なわれ、どのような手順をとるか知る必要がある。不正アクセスは興味本位/自己主張/破壊目的・・・様々な目的で行なわれる。手順は、情報収集から始まり、攻撃先決定、脆弱性のテストなど用意周到に時間をかけて行なわれる。
パスワードをしっかり押さえれば、殆どの不正アクセスを防止する事ができる。
日本ではパスワードが疎かにされる。
徹底したパスワード教育が必要(具体例を示す事必要)
暗号化・電子署名
 
個人識別は一般的に 身体的特徴/その人が知っていること/その人が持っているもので行なわれる。より確実な個人識別は、上記3点の組合せで行なう事が良い。
例)指紋識別(身体的特徴)+パスワード(知っていること)+ICカード(持っているもの)
情報漏洩
 
情報漏洩に関しては、技術で補える対策は少ない。
管理が薄くなる場所に重要情報を出さない。(二次・三次下請けなど)
漏洩事件を起こすような人間を作らない。教育・啓蒙が必要(人は移動するので絶えず行なう)
情報セキュリティに対する心構え
 
技術と管理・・・ 技術面で補える問題と管理で補える事を明確にする。
部分と全体・・・ 垣根の低い部分が平均点と見る必要がある。
ブラックボックス・・・見えなくなる(管理できない)場所を作らない事画重要
教育、啓蒙・・・ 重要事項。絶えず行なう必要がある。悪い事をする人間を作らない。
性善説、性悪説VS性弱説
  性善説/性悪説では片付かない問題
善良な人間でも犯行を行なう場合がある事を認識する。
質疑応答
 
Q ウイルスの攻撃対象がMS製品になるケースが多いが、MS以外の製品を使う事が対策になるか?
A 根本的な対策にはならない。
特殊な物を使用すると情報量が減り、ランニングコストが高くなる。また、いざ狙われた時に対応が遅くなる。(日本版のマイクロソフト製品の対応が遅れている(1週間〜1月)場合があるので日本のマイクロソフトへの情報を早く出すように要請している。)
Q セキュリティ対策はコストかかるが、どう思われるか?
A 守る物とかかる費用を考える必要がある。
この分析がいつも欠落するので問題が多い。(法外な価格を要求されたり、セキュリティ対策費が減額されたりしている。)
Q パスワード教育はどのようにおこなうべきか?
A 新入社員教育時盛り込む(システム部門が教育するべきである。)
部長クラスに教育する
e-ラーニングを利用(集合教育が限界)
その他の報告
  米国情報セキュリティ国際会議&展示会の出席報告をしていただきました。
内田先生は、連続9回のご出席との事で、来年には10回目になるそうです。
海外から特に日本から10年連続で出席される方は内田先生だけであるとの事です。