所感: 2009年5月アーカイブ

うとうとしながらＢＢＣニュースを見ていたら、入ってきたのがこれ。大統領自ら、米国のサイバーインフラが脅威にさらされており、これを国家の大きな安全保障上の問題として対処する方針をアナウンスしたものです。

ホワイトハウス内に担当部局をおくほか、全体を統括する責任者（cyber czar）をおくとのことで、国家安全保障上の主要な課題のひとつとして取り組む方向性を示したものです。同時に、最近行われたサイバーセキュリティに関するレビューのレポートも発表されました。このレビューの結果として、オバマ政権はこの問題をこれまで以上に深刻にとらえて取り組むことを決めたようです。

実際、昨今、米国の軍関連のプロジェクトや電力網関連のシステムなどへの侵入事件が頻繁に報道されており、テロリストや国家情報機関の関与もとりざたされているなかでの発表は、その裏側でこうしたサイバー攻撃が、「軍事問題」に発展しつつあることを示唆するものかもしれません。実際に、大統領が国防省に対して、サイバー戦争研究の強化を指示したという報道も一部にあるようです。

我々、セキュリティ屋にとっては一見、追い風のようにも思えますが、一方でキナ臭い感じもします。はたして、サイバーセキュリティに関する情報が、これまでどおりに流通するのかどうか、という点も気になりますね。一方、攻める側も守る側も、より一層の「プロ化」が要求されることになり、我々それを専門とする人間にとっても、より資質を問われる時代になっていくのだろうなと思います。

さて、日本の政治家先生たちは、今はそれどころではないようですが、気がついたら穴だらけ・・・なんてことにならないようにしなくてはね。

CNNにも記事がでてます。

追記：

ホワイトハウスから発表されているレビューをちょっと読んでみました。７０ページ以上もあるので、全部細かく読む気力はないのですが、サマリーを読んだだけでも、相当広範囲に総合的に考察されていることがわかります。要するに、レポートの結語に書かれている

The history of electronic communications in the United States reflects steady, robust technological innovation punctuated by government efforts to regulate, manage, or otherwise respond to issues presented by these new media, including security concerns. The iterative nature of the statutory and policy developments over time has led to a mosaic of government laws and structures governing
various parts of the landscape for information and communications security and resiliency. Effectively addressing the fragmentary and diverse nature of the technical, economic, legal, and policy challenges will require a leadership and coordination framework that can stitch this patchwork together into an integrated whole.

という文章が端的に表現しているように、もはやサイバーセキュリティは個別のセクターの個別の努力ではなく、全体をきちんと見据えた形でトップ（ホワイトハウスが）主導で行っていくのだという明確なメッセージなのだろうと思います。特に興味深いのは、コンピュータやネットワークの技術が、今後不可欠な重要インフラであり、それらの技術が自国のあらゆる面での優位性を保っていくカギとなるのだという考え方が徹底されていることです。つまり、これらをより有効に使うことを前提で安全性をどう確保していくか、という立場からの議論です。ともすれば、「使うことへの規制」に走りがちなどこかの国との大きな違いではないかと思います。

米国帰りで、１週間の出社自粛中。風邪は、かなりよくなって、もう咳もほとんどでなくなってきました。新型インフルエンザは、世界的に落ち着きつつあるものの、これから冬に向かうオーストラリアで感染が拡大中とのことで、今後の推移がちょっと心配です。

先の日記で少し所感を書いたのですが、今朝、２６日のＷＨＯ会見の議事録を読んでいて、また少し思うところがあったので書いてみます。ちなみに、ＷＨＯの定例プレスコンファレンスは今週から週１回、毎週火曜日午後５時（ジュネーブの現地時間）になってます。

ＷＨＯは引き続きパンデミック警戒フェーズを５に据え置いたままで、現状では上げる予定はないとの立場です。このフェーズの基準については機械的な適用には各国から慎重な意見が出され、ＷＨＯとしても基準の再検討を余儀なくされているようですが、メディアからは、この点についても、かなりの突っ込みがあります。フェーズの意味については、「地域的な広がりについてのものであり、病状の重さとは関係ない」と重ねて言いながら、現実にはフェーズ６適用に対しては極めて慎重な態度をとり続けるＷＨＯに対して、政治的な圧力に屈しているのではないか、とか、ゲームの途中でルールを変えるようなもので、混乱を招く、といった批判も飛び出しています。これに対してフクダ氏は、難しい問題があることは認めつつ、もっとも重要なことは、（各国が）すべきことができているかどうかであり、それは現在すべて出来ていると思うと述べ、フェーズを上げることによるパニックや過度の「禁欲主義=cynicism」をひきおこす危険をも考える必要があるとしています。フクダ氏によればフェーズの定義は、パンデミックへの対応ガイドラインとペアで作られており、最初のバージョンは数年前に策定されたが、当時は重症度なども含めた多くのパラメーターを含むものだったため、各国から複雑すぎるとの意見が多く出され、２００５年により単純化されたものを出したとのこと。しかし、もともと（致死性のきわめて高い）鳥インフルエンザのパンデミックを前提に作られたものであったため、各国がフェーズに応じて定めた対策が、実際の流行の深刻さと釣り合わないという問題も出ているため、再度の見直しは必至のようです。

しかし、ウイルスの毒性の強弱や感染力の強弱は言えても、それがどの程度の人に広がり、そのうちどの程度が重症化するかという、実際に社会自体に与えるインパクト（リスク）は、その国や地域の環境や体制、その他様々な要素がからみます。つまり、「脅威」の大きさは一般的に議論ができても、それによって生じるリスクについては、地域によってその状況（耐性、脆弱性・・・などなど）が異なるため、各地域（国）ごとに判断するしかありません。また、対応策についても一般的な推奨策（ベストプラクティス）は提示できても、それをどのように実施、実装するか（特に何に重点を置くかや、対策の取捨選択）は、個々の地域の実態に合わせて行わなければ意味がありません。ここでいう「脅威の強さ」と「リスク」の違いや「ベストプラクティス」の意味についての食い違いが、フェーズの議論に影をおとしていることは間違いなさそうです。本来ＷＨＯは、「脅威の強さ」と「対応策のひな型＝ベストプラクティス」を提示して、その先を各国に預けたかったのだと思いますが、こうした純粋に科学的な意図と各国の（政治も絡んだ）対応の間のギャップに苦しんだというのが実際のように思えます。

もうおわかりかと思いますが、これは我が国の情報セキュリティの現状とよく似ていますね。たとえば脆弱性やマルウエアの脅威レベルを標準化しようという動きはありますし、ＩＳＭＳの管理策のようなベストプラクティスも多く存在します。しかし、これを役立てるためには、結局は個々の組織が常に自己の状況を掌握しつつ、適切な対応を組み立てていく必要があります。情報セキュリティもパンデミックへの対応もリスク管理という意味では同じ大きなフレームワークで扱えるものだと思いますから、こうした対比をしてみることは意味がありそうですね。

先週、米国でCSI SXに参加しながら、現地で風邪をひき、新型インフルエンザではないかと不安になって、ホテルの部屋にこもりながら、あれこれと考えたことがあります。

リアルでの新型インフルエンザと、サイバースペースでのマルウエア流行や情報漏洩の頻発など、いずれも人がからむことで、同じような状況が生じる局面が多いように思います。たとえば、「未知の脅威」であるということへの不安感からくる恐怖は、人々の過剰反応を引き出しがちですが、これも、たとえばマルウエアの大流行などの場合に、ちょっとＰＣが不安定になっただけで疑心暗鬼になってしまい、ヘルプデスクに電話が殺到するという状況が発生するというような形でよく見られます。特に、その脅威の詳細や、正しい対処法がきちんと伝達されないと、不安感が増大され、流言飛語や誤った認識による対応などが、さらに混乱を増大させることになります。たとえば、Winnyによる情報漏えい事故が頻発していたころ、よく受けた質問に、「最近、ＰＣの調子が悪いのだけど、Winnyに感染したんじゃないかと不安」というものがあります。これも、Ｗｉｎｎｙとは何か、ということや、情報漏えい事故がどうやって起きるのかという知識の不足からくるものです。

セキュリティ上の脅威についての関心を高めるような活動を行う際、とくに差し迫った脅威の場合は、その反応を考えながら慎重に進める必要がありそうです。まさに、今回の新型インフルエンザにおいて、ＷＨＯなどが発表に非常に気を遣っていたように、脅威を強調しすぎれば過剰反応となり、逆に軽く表現すれば、過度の安心感を与えてしまって必要な対応が十分に行われないというようなことを念頭に、かなり微妙なかじ取りが必要になりそうです。

これまで、我々（情報）セキュリティ屋は、ともすれば「脅し」を武器にしてきました。それは、「脅威」への一般認識がきわめて低かったころに出来上がった形です。しかし、現在、サイバースペースの脅威は徐々に、ビジネスを真に脅かす脅威として認識されつつあり、「脅し」が効きすぎるケースが見られるようになっています。「脅し」によって過度の防御をかためたとして、それで問題を回避できればそれでいいじゃないか、という考えは安易です。過度の防御は、それ自体に時間やコストがかかるだけではなく、生産性の低下などビジネス上の問題も引き起こし、無視できないマイナス効果をもたらすからです。「脅し」の効果はだんだん減少していき、最後にはほとんどゼロになってしまいます。こうなると今度は最低限必要な対策にも金や人をもらえないハメになりかねません。本当に危ない脅威が出てきたときに、十分にそれに太刀打ちできない可能性があるのです。

今回の新型インフルエンザの騒ぎでは、貴重な経験がいくつか得られていると思います。まず、情報の不足。政府も当初はまとまった形で情報を開示できず、マスコミもＷＨＯや海外メディアの報道などの一部を切り取って報道してしまったために、全体像がわからず十分な知識が得られないままに時間が経過してしまったこと。もっとも重要なことは、一般市民がこれにどう対処すべきなのか、誰も明確なことを（相当の権威をもって）言えなかったこではないかと思います。全体像が、発表できるほど理解されていないのであれば、最低限何をすべきかをまず周知すべきだろうということです。たとえば、今回のインフルエンザの場合、まだ日本に入ってくる前の段階から、入ってくることを想定して、まだ流行している季節性インフルエンザを含めて感染防止策を国民に徹底させておく必要があっただろうと思います。一旦新型が入ってくると、季節性か新型かは医療機関でなければ判断できないため、季節性の患者を含めた大量の患者が発熱外来におしかけることも危惧されるからです。今回の新型は、毒性は季節性インフルエンザよりも大きくないことが当初からわかっていたわけなので、入ってきた場合、一般市民ができることは、季節性インフルエンザの場合とほとんどかわらないのですから、先手を打ってこれを、もっと強く周知してもよかったのではないか、ということです。マスク信仰についても、もうすこしきちんとした情報を国が出してほしかったと思います。まず、最初に行ってほしかったのは、風邪をひいている人や咳、発熱などの症状があれば、外出をできるだけひかえると同時に外出時には必ずマスクをしてください、というアナウンスです。感染していない多くの人がマスクをするよりも、はるかに効果があるはずです。マスクについての政府の態度は極めてあいまいだったと思います。これは邪推ですが、選挙前なので特需を期待する業界に気を遣ったのかもしれませんね。こうしたことを、厚労相あたりが会見の席ではっきりとマスコミに伝えて報道してもらうことが重要だったと思うのですが。どうみても、今の状況は、なんともなさそうな人がマスクをしていて、風邪をひいてそうな人がマスクなしで咳をしているという本末転倒な状態になってしまってます。今回のウイルスが強毒化して戻ってきたり、鳥インフルエンザ変異の新型が出現した際に、今回の経験が生きるのか、それとも逆にマイナスになってしまうのかは現時点では微妙な気がします。是非、政府にもマスコミにも、今回の騒ぎの総括をどこかでやってほしいものだと思います。

情報セキュリティの脅威に対する関心を高める際も、我々専門家は、一般ユーザがすべきことと、専門家レベル、つまりＳＯＣやＩＴ部門が行うべきことをきちんとわけて精査し、一般ユーザには全体像をきちんと知らせつつ、彼らが何をすべきなのか、「具体的な」メッセージを発信すべきでしょう。

こうして比べてみると、なかなか興味深いなと思います。

１週間のリハビリ出社を無事終えて、ＧＷに突入。まぁ、それまでの間４ヶ月のロングバケーションだったわけだから、全部出勤してもいいくらいなのだけどね。今日から５月、コイノボリの季節。

午後、家に帰ってしばらくテレビを見ていたら居眠りしてしまい、気がつけば夕方。テレビでは、横浜の新型インフルエンザ疑い患者の検査結果の会見。とりあえず新型ではないとわかって一安心。昨日の成田の乗客もシロだったので、いまのところ日本は大丈夫そう。ただ、世界各地に飛び火しているから、日本に入ってきても不思議じゃない。この連休で海外に出かける人も多いから、可能性は大だ。昨日や今日のような騒ぎが連休明け直前からまたはじまるに違いないと思う。

世界中で感染者が増え続けていて、二次感染もあちこちで確認されつつあるから、なんとなくフェーズ６に引き上げ・・・なんて不安もある。なんとなくマスコミ報道も不安をあおりがち。実際に、昨日、今日の報道を見て、最初、新型が入ってきたと思いこんだ人も多かったようだ。各地のマスコミを見ていると、私見だが一番冷静かつ正確な報道をしているのがＣＮＮのように見える。数値的な情報も切り出してではなく、全体像がわかるように伝えているだけでなく、専門家のコメントも広く紹介している。たとえば、WHOの担当者のコメントでは、「感染確認症例がどんどん増加しているのは、確認に時間がかかり、確認待ちになっていた分の結果がどんどん出て行っているためで、それをただちに、現在も感染が急拡大していることには結びつけないほうがいい。」というものなどもあった。見出しも控えめだ。一方同じ米国でもＡＢＣはかなりセンセーショナルな見出しを付けている。ただ、中身は比較的バランスがいい。日本ではＮＨＫが比較的マシだと思う。なんとなく、現代人は「破滅的」シナリオを思い描きがちなようだ。先日、ＡＢＣニュースで報じていたが、教育水準が高い人ほど「破滅的」または「終末的」（Apocalyptic）な結末を思い描きがちだとか。エリート人種で構成される報道陣（これは嫌味で言っているのだが）は、この傾向が強いのかもしれないな・・・と。（笑）

冗談？はさておいて、いずれにせよ深刻な事態であることは間違いないし、「弱毒性」ウイルスといっても、感染が全身に広がらないだけで、呼吸器系感染が重症化する危険性はある。決してナメてはいけない。あるニュースで言っていたが、軽症でも大量に患者が発生すると医療現場が混乱するから、それが怖いのだと。そのとおりだと思った。こうなってしまうと、風邪や季節性のインフルエンザにかかっただけで、本人や周囲をパニックに陥らせる可能性もある。ともかく、新型インフルエンザに限らず、余計な病気をもらわないようにすることだと思う。手荒い、うがい、人ごみでのマスク着用などを心がけたい。また、調子が悪い人は出かけたりせず、早めに医療機関に相談するべきだ。新型に気を取られているうちに、普通のインフルエンザが流行する可能性だってある。毎年、この時期には小流行が発生するようだから、注意するにこしたことはないだろう。

悪質な便乗も出てきている。インフルエンザ関連の情報に見せかけたスパムメールや、マルウエア（コンピュータウイルスなど）を仕込んだ添付ファイルを付けたメールなどが出回っているようだ。米国などでは、「豚インフルエンザFAQ」と称したPDFを添付したメールが出回って、これを開くと、Adobe Readerの脆弱性が攻撃されて感染するという。この脆弱性はすでにパッチが出ているものなので、最新版のソフトを使えば大丈夫なようだが、先月末にはまた新たな脆弱性も見つかり、攻撃コードが公開されている。この脆弱性のパッチはまだ公開されていないので、これがつかわれると状況は深刻だ。PDFであっても、素姓のわからないファイルは開かないほうがいい。日本では、マルウエアが含まれたZIPファイルを添付した同種のメールが、国立感染症研究所の名前を騙って送られているようだ。研究所では注意を呼びかけている。

さて、そんなことをしているうちに、今日も夕暮れ。昨日までと違って、今日はちょっとうす雲がかかっている。空にはすでに半月に近い月が出ている。

明日からの５連休、前半は実家にちょっと帰ってこようと思っている。今回、はじめて高速道路１０００円の恩恵にあずかろうと思うのだけど、渋滞を避けるために、タイミングをみはからって移動しようと思っている。