IT: 2009年4月アーカイブ

我が国の周囲には、我々の価値観では理解が難しい国がいくつかある。時として、それらの国々がすることは、我々を少なくとも苛立たせるし、場合によっては脅威にもさらす。

実際、インターネットでは、ある国からの攻撃が昼夜を問わず飛んでくる。これは、インターネットのセキュリティに携わっている人ならば、周知の事実である。この攻撃が、昨年夏の一時期、静かになった事実も有名だ。つまり、少なくともこの国の政府はこうした動きを（間接的に・・・かもしれないが）コントロールできるということだ。にもかかわらず、その後、また攻撃は増加した。つまり、この国の政府は、少なくとも普段はこうした状態を放置しているということだろう。先日も、海の向こうで、いくつかの侵入騒ぎがあって、その犯人として名指しされたが、政府はコメントを避けた。（ＷＳＪは、これまでならば、きっぱり否定するのに、今回は直接的なコメントを避けたのはなんらかの戦術的な変化かもしれないと述べている）

その国が、最近また物議をかもす政策を打ち出した。ネット上では批判（というより非難）があいついでいる。私自身もかなり無茶な政策だと思う。しかし、この問題は根が深いのも事実だ。実際、１３億もの人口を抱えるこの国は、飽和状態に達しつつある先進資本主義国から見ると巨大な市場（少し違う見方をすれば、草刈り場）である。最近、「ジャパンパッシング」という言葉もあるが、各国とも、もうアジアといえば、この国・・・という感覚になっていることも否定できない事実だ。（そういうことも日本の感情論に火をつけがちである。）各国とも自国製品や技術の売り込みに躍起になっている。これを無制限に受け入れてしまえば、この国の産業の成長を阻害しかねない。しかし、一方で自国の技術だけでは、１３億の人口を維持していけるだけの経済発展は難しい。少なくともこの国の政府にとってこのバランスを取るためにはかなり難しいかじ取りを強いられるだろうと思う。

一方、戦後の我が国を見てみると、高度経済成長期と言われる時期までは、１ドル３６０円という為替レートに守られて、国内産業は大きく成長した。ここで、価格だけではなく品質面での競争力を確保できたから、その後の円高水準にも（淘汰はあったが）持ちこたえることができたのだと思う。それを考えると、現在の彼国は、まだ価格面以外の競争力は不十分だ。そういう意味では、政府が保護主義的になるのは理解はできる。

やりかたがフェアではない、という議論もある。たしかに我々の価値観から見ると、理解できない政策がいくつもある。だが、この価値観は、ある程度発展を遂げ、飽和した先進国が作り上げたものでもある。その過程では、歴史的に様々な摩擦もあった。そういう素地のない国にとっては、いきなりそういう価値観をぶつけられることは、一種の経済侵略に見えても仕方がないのかもしれない。過剰に防御的になるのもある程度は理解できる。

環境問題もそうだが、先進国と途上国（１３億の人口と国土を考えると、彼国はまだまだ発展途上だろう）が常にかみ合わない部分、それがフェアネスに対する考え方だ。途上国側には常に先進国の価値観押し付けがアンフェアだとうつる。先進国側は、ある程度成熟してきた国際関係やルールに火種をもちこみかねない途上国の無秩序な発展に神経をとがらせる。

このような中で、過度の感情論は互いに控えたほうがよさそうだ。もちろん、我々は我々の価値観を曲げる必要はない。是々非々の対応のなかで、彼らにルールを学んでもらい、それを浸透させる時間を多少与えてやることも必要なのではないかと思う。人権問題などについても、国際的な圧力をかけつつ彼らの過激な行動を抑えながら、制度を段階的に変えさせていくようなことも必要だろう。何よりも彼ら自身の体制が揺らぐことが、彼らにとっての一番の脅威だ。人権抑圧や国際的なルール無視が、逆に自分たちの体制を危機に陥れるということを学んでもらうことも必要だ。一方で、先進国、特に日本は極端な外需依存体質もどうにかしなければならない。他国の市場への依存体質は、ともすれば、国際的な力関係をバックにした強引な施策につながりがちだし、力関係において必ずしも強くない日本は、駆け引きにおいて譲歩を迫られることも多くなる。だからといって軍備強化などに走るのは、地政学的に見ても経済的に見ても愚策だ。経済的な基礎体力（つまりは国内経済、内需と優位性のある技術力）を強化していくしかないと思う。

今回の問題（ソースコードの開示など）についていえば、側面は２つある。ひとつは知的財産権の保護だ。ソースコードの開示そのものではなく、彼らがそれを不正に使うのではないかという危惧が根底にある。もうひとつは安全性（不正コードや脆弱性など）の問題だ。たとえば、軍事用や政府機関用などのソフトウエアでソースコード開示の議論は他国でもある。これだけ様々なものがネットワークにつながりだすと、万一、それで何かがおきれば大変なことになりかねない。それは我々の国でも同じだ。この二つはわけて考える必要があるだろう。前者については、彼国を国際的な知的財産保護の枠組みにきちんと参加させることだ。それだけではなく、より包括的な国際関係を作り上げることで、互いの信頼感を醸成していく以外にない。ソースコード開示はリバースエンジニアリングの早道だが、それがなくても、ある程度のリバースエンジニアリングはできる。我々もおおっぴらには言わないが、競合他社の製品をバラバラにするこらいのことはしているはずだ。問題は、それで得た知見をそのまま使うか、（相手のパテントにひっかからないように）ひねって使うかの違いだ。この部分は、先進国間でも「駆け引き」の材料である。知的財産権に対する各国の考え方はおおむね揃いつつあるものの、まだ微妙な温度差が残る。各国とも自国の利権の保護と、相手市場へどう切り込むかで常につばぜり合いを続けている。彼国にも同じ土俵に乗ってもらう必要があるのだが、先進国側には、自分たちの優位性をできるだけ維持したいというホンネもあるので難しいところだ。つまるところ、根底にある相互の不信感を払拭できなければこの問題は解決ができない。そのためには、感情論は無用どころか有害だと思うのだ。

一方、ソフトウエアの安全性についていえば、これは先進国でも深刻な問題だろう。家電を含め、さまざまな機器がネットワークに接続される時代、たとえば、テレビやゲーム機がWebブラウザを搭載している現在、マルウエアがこうした機器に影響を与える可能性も次第に大きくなってきている。大量販売される民生用機器用ソフトウエア脆弱性のリスクは、もしかしたら軍事用のソフトウエアの脆弱性に匹敵するかもしれない。なぜなら数１００万台あるゲーム機すべてにウイルスが感染したら・・・などということを考えるとちょっと寒気がするからだ。もちろん、個々に脆弱性対策は進んではいると思うが、いまや重要なインフラとなったインターネットに、しかも大量に接続される機器の安全性については、なんらかの国際的な共通基準が必要かもしれないと思う。もしかしたら、彼国は自国でそうしたこと（攻撃）が日常的に行われているだけに、この問題をより深刻にとらえている可能性もある。

また、近年、オフショア開発が流行りだが、政治的、軍事的に不安定な地域や、ＩＴ関連の法制度が未整備な地域にオフショアすることはリスクを伴う。単純に品質や不注意の脆弱性混入だけの問題ではない。意図的に不正なコードを組み込まれてしまう危険性もあるからだ。もちろん、この可能性はオフショアにだけ存在するものではない。しかし、テロリストなどより強い悪意の存在を考えれば、リスクは相対的に高くなるだろうと思う。こうしたことを前提とした検査体制を考えていくと、はたしてオフショア開発が安上がりなのかどうかは、再考が必要なのかもしれない。

以上が、ここ数日のネットの反応を見ての感想である。

ＢＢＣのニュースサイトを見ていたら、こんな記事をみつけました。少なくとも６つの政府機関の１台以上のＰＣがボット感染していたとのこと。政府担当者はセキュリティ上の理由から、記事を肯定も否定もしないという立場のようですが、問題の根深さを示す記事だと思いますので、紹介しておきます。この記事でも触れていますが、実際にボットに感染した場合、「なんでもあり」の状態になってしまうため、非常に危険です。ともすれば、スパム送信やDDｏＳ攻撃などがクローズアップされがちですが、この記事にも書かれているように、実際に侵入先の特定のＰＣの制御を切り売りするようなことも原理的には可能なので、感染ＰＣは第三者によって任意の目的で利用されてしまう可能性があります。

未知のボットの発見はＰＣの挙動や通信のモニタリングによるほかありませんが、巧妙に通信を偽装するものも増加しているとみられ、発見は徐々に難しくなりつつあります。昨日紹介したアメリカの話にも、もしかしたらボットや類似技術が介在しているのかもしれません。非常に重要な情報を扱うセクションのネットワークは分離してインターネットから切り離すことが基本ですが、次善の策としては、通信相手を必要最小限の相手に（ＩＰ，ドメインやプロトコルなどで）制限するホワイトリスト方式のアクセス制御を、少なくとも行う必要がありそうですね。

USA Today紙のサイトでは、RSAコンファレンス関連の記事が見られます。やはり、旬の話題は、Confickerとボットネットのようです。PDF経由の感染も話題にされていてAdebe Readerを捨てろ・・・なんて過激な話も飛び出していますが、不用意に出所不明のPDF文書を読むことは、少なくとも避けたいですね。

このところアメリカで、あいついで重要なシステムが侵入を受けているというニュースが流れている。電力網の制御システムや空軍の管制システム、そしてとうとう次期主力戦闘機ＪＳＦ（Ｆ３５）の開発プロジェクトにまで、その手は及んだと、ウォールストリートジャーナルが報じた。

侵入は１回にとどまらず、数回行われ、数テラバイトにのぼるデータが盗まれた可能性もあるようだ。侵入は、インターネットを経由した開発を請け負っている企業のシステムが持つ脆弱性への攻撃によって行われたようだ。また、開発に協力している同盟国経由の侵入も確認されているとのこと。

これらからペンタゴンに直接侵入があったのかどうかは明らかではないが、ＪＳＦに関していえば、隔離されている最重要情報は守られたものの、飛行中に機体の問題を解析するためのシステムなどが侵入を受けたようだ。

攻撃の発信元はＩＰアドレスなどによって中国と推定されているが、ＩＰが詐称可能であることや踏み台の可能性も考慮して、断定には慎重だ。中国は自分たちではないと反論しているという。

常識的に考えれば、こうしたシステムへの経路がインターネットにつながっていること自体が不思議なのだが、昨今のネットワーク全盛時代、多くの企業などがインターネットを安価なビジネスツールとして活用していることを考えると、このような落とし穴があっても不思議ではない。ネットワークを完全に独立させるとなれば、かなりの二重投資が出る。極端なことをいえば、ＬＡＮスイッチすら共有せず、別個のものを用意し、メンテナンス用の経路も分離しなければならない。たとえば、スイッチの制御ソフトに侵入されるとセキュリティが脅かされるからだ。プロジェクトにかかわる担当者のＰＣすら、こうした情報にアクセスするためのものと一般のシステムやインターネットにアクセスするためのものを分離する必要が生じる。コストの問題だけではなく、作業者の利便性にも一定の制限を加えることになり、生産性の低下も生じる。これらとリスクとのバランスは極めて難しい。とにかくそうしろ、というのは簡単だし、お役所や軍隊ならば可能だろう。しかし、民間の営利企業となれば、どうしても収益性に目が行く。この不況下、軍事産業も聖域ではなくなっているから、湯水のように金を使うことも難しい。アメリカ政府はセキュリティの向上に関する予算を増やすとしているが、それが本当にこうした産業のセキュリティ向上に役立つのだろうか。記事内にもあったが、早くもこれを「棚ボタ」（英語では wind fall つまり、風が落とした(果実）と表現されているが）と歓迎するむきもあるようだが、どれだけ機器やシステムを増強しても基本的なデザインやそれを考えるためのポリシーの見直しなくして改善は難しいだろう。ともすれば、業界側は新しいシステムを売り込もうとするのだが、彼らは基本的なデザインやポリシーまでは踏み込まない。はたして、政府や契約企業がこうした部分をきちんと見直しできるかどうかがカギだと思う。このあたりは、来月のＣＳＩ　ＳＸで何か動きが見えることを期待しているのだが・・・。

日本にとっても対岸の火事ではない。かつて「スパイ天国」と呼ばれた日本。サイバーワールドでもそうならないようにしたいものだと。

追記：

CNNのサイトでも記事が出てます。関係先は否定もしくはノーコメントを貫いているようですが・・。

５月の中旬にラスベガスで行われるCSI SXコンファレンス。昔のCSI NetSecコンファレンスだが、いまはInterop Las Vegasの前に同じ会場で開催されている。両方ともCMPの傘下に入ってしまったイベントだが、とりわけInteropの低迷にテコ入れする意味合いもあるのだろう。昨年は４月の連休に重なっていたのだが、今年は５月。これも、CMPに買われたRSAコンファレンスの直後だったので、間を開けた・・・とみるべきか・・・。

ともあれ、毎年行っているコンファレンスなのだが、ご存じのとおり現在は休業・療養中の身。なんとか、この時期には仕事に復帰できるメドはたったのだけど、復帰直後にコンファレンスに出張で行かせてくれというのも気が引ける。そこで、復帰を一週間遅らせてもらって、今回は私費で参加することにした。このところ財布と精神状態の究極の選択（＾＾；）が続いているので、痛い支出ではあるが、しばらく浦島太郎化していた頭にカツを入れるにはいい機会だと思う。とりわけ、気になるのが、この不景気でセキュリティに関するマインドに何か変化が出てきているのだろうか・・・というあたり。ＣＳＩ系のコンファレンスはユーザサイドのセキュリティ屋さんが中心。それだけに、セッションの内容も、それを色濃く反映したものになりがちだ。そういう傾向や、ランチ、パーティーなどでの参加者とのお話を通じて、変化を見極めたいと思っている。

リストラ、収入減など社員のマインド、ロイヤリティーを下げるような事態が発生する中、予算のみならずセキュリティ屋の仕事自体も脅かされているとしたら、企業がかかえるセキュリティリスクは、より大きくなっているはずだ。現場の本音や取組みを聞いてみたいなと思う。私費を投じる価値はあるだろう。様子や感想はまた書きたいと思っている。

私費旅行なので、気兼ねなく羽根ものばせるし・・・・・っと、カジノの思うつぼにはまらないようにしなくてはね。

三菱UFJ証券の個人情報持ち出し事件に対する一部のメディアの報道を見ていて感じたこと。あらためて、情報セキュリティにおいてのリスク管理への考え方の甘さ、つまり事故は防げる（おきないでほしい）という楽観論がまだ、はびこっているし、予防することが「セキュリティ」だと思っている人たちが多いことを強く感じた。メディアについてもそうだ。またしても、「性善説の限界」といった表現を持ち出したメディアもある。

何度もいうが、正しいリスク管理は「事故前提」で、予防策だけではなく、発見、対処についてもきちんと対応できるシナリオと体制を用意することだと思っている。いわゆる「性善説」のセキュリティと表現されているものは、発見、対処のプロセスが抜け落ちた欠陥セキュリティにほかならず、人の本来の性質を云々する「性善／性悪」説とは無関係だ。一方、「性悪説」という言葉は、その本来の意味はさておいても、自分が疑いのまなざしで見られているという印象を万人にあたえ、（大半をしめる）善き人たちの心までをも曇らせてしまう。ITやセキュリティを生業とする方々のみならず、メディアのみなさんも、この言葉を安易に使うことは避けてほしいと思う次第だ。何が善人を悪に変えるのか、さまざまな理由もあるが、自分が周囲から正しく扱われていないという不満や猜疑心の拡大が少なからず影響するということも忘れないでほしい。社員マインドの低下は、悪の呼び水となる。「性悪説」を声高に叫ぶことは、自ら火をつけていることにほかならない。少数の悪人をけん制するために、大方の善人を犠牲にしているようなものだ。悪人のけん制は、確実なチェックと不正行為に対する適切な処罰で十分であり、それは「性悪説」を叫ぶ以前に、本来されていなければならないことだ。くれぐれも、こうした部分の手抜きを「性善説だった」といい逃れる経営者に手を貸さないようにしたいものだ。