印刷業は、顧客からデジタルデータを受け取りいろいろな加工を加え、情報発信が可能な仕組みにするビジネスでもある。印刷物またはWEBのようなオンラインメディアを利用して情報を配布する。また顧客からデータを受けオンデマンドで印刷することや、顧客と制作会社、印刷会社で製作をコラボレーションすることなど、制作を行うデジタルデータの流れがネットワーク利用になりつつある。あるDMの発送には顧客が持つ顧客データを利用して発送までをサービスするなど、制作以外のデジタルデータを預かるケースも増えている。そして今このような環境を実現するインフラとしてインターネットの利用が増えている。
しかし、今インターネットではウィルスや不正アクセスなどによるシステムの破壊やデータの改竄などによる問題が増えており、さらには預かったデータを社内から持ち出されるような問題も出てきている。このような環境でビジネスを行う上では、システムのセキュリティをどうするのかが課題である。 このような背景から、今どのような動きや方向性がでて来ているのかをPAGE2002の2月8日のセッション「セキュリティ」では取り上げている。このセッションでは、今ネットワーク上で起きているいろいろなリスクについて理解して頂き、このようなセキュリティに対しては、企業全体でどう考えて行くかを行った。モデレータは、早稲田大学教授でネットワークリスクマネージメント協会理事でおられる村岡洋一様、スピーカには日本アイ・ビー・エムの大木栄二郎様、NTTコミュニケーションズの小山覚様、インターネットセキュリティシステムズの松崎義雄様、JPCERT/CCの山賀正人様の参加で行われた。
今現状としてどのような事が起きているのか。今インターネット上で起きている不正アクセスやウィルスなど、実際の被害の状況や侵入の手口、システムを破壊してしまう手口など、いかに簡単にしかも非常に早い時間で広がっていくかなどを紹介頂いた。昨年の夏に被害を出したCodRedやNimudaの威力や、メールによるウィルス感染などの脅威、また入手可能なクラックツールはどのような事ができるのかなど、一般には知られていないが、どのくらい今ネットワークは危険な状態かの紹介である。またセキュリティ対策にかかる費用としては、技術力と運用力を求めると費用が上がり、利便性を犠牲にして我慢をすれば費用が下がり、これらが要素となっている。
セキュリティに対しては、経営戦略として情報セキュリティをいかに確立するか。今ユビキタスネットワーク時代ということで、社会基盤の変革が起きようとしている。電子政府、電子図書館、遠隔医療、電子教育などが社会基盤として出てくる。今それに向かってEC、電子出版、EDI、バーチャルエンタープライズなどの動きが加速している。そのような中では、情報セキュリティの脅威がますます増加してくる。このような中、今までは3つの誤解があった。第1は、企業内には悪い人はいないという性善説、第2は情報活用と情報管理が両立しない、第3はセキュリティは技術課題で経営課題ではないである。これに対しては、セキュリティ課題を経営課題、事業課題、技術課題の3分類して捉える必要がある。
今標準化動向として、セキュリティ・マネジメントのベストプラクティスとして、BS7799Part-1がISO-17799となって出てきた。そして効果的なセキュリティ管理サイクルとして、ポリシー、構築、管理、監査、リスク定義、ポリシーと循環していく。そしてこのようなアプローチには、経営者がこの必要性を認識してアプローチしていく必要がある。
実際にセキュリティサービスを行っている企業で行った、昨年の6月の不正アクセスに対するアンケート調査では、95%近くがセキュリティ対策の必要性を認めている。実際の対策の状況では、ウィルス対策が90%、ログ監視が72%、暗号化22%、セキュリティサービス利用が14%となっているが、セキュリティ対策投資は、全IT予算の1%強である。回答者の20%が過去1年間で何らかの被害を受けており、不正アクセスなどの検知対策実施は30%であった。しかし実際に回答した企業の多くは先進的な利用者であり、回答をしない企業が多く、実体はかなり低い意識と思われる。
WEBアプリ侵入検知/検査ツールを利用し顧客のWEBサイト約300を検査した結果、97%は何らかの重大なセキュリティホールがあった。この中で、驚くべき数字はユーザの個人情報の覗き見が可能なサイトが25%近くあり、それ以外に例えば商品価格を安く改ざんして購入できるサイトも23%、情報のフルアクセスが可能なサイトが24%となっている。産業技術総合研究所による昨年10月の調査では、オンラインマーク取得ショップで84%、プライバシーマーク取得事業者で68%も脆弱サイトと言われている。
その理由としては、ファイアウォールは、不正侵入に無力であることが、以外と理解されていない。これは、WEBシステムは外部に対してオープンであるためである。このためWEBシステムに不正侵入されて踏み台にされてしまう。このためセキュリティの正しい考え方として、100%安全はなく、リスクを最小限に抑制するという事を考える必要がある。
セキュリティなどの情報を得るための公的な機関として、JPCERT/CCがある。国際的な機関FIRST(Forum of Incident Response and Security Teams)があり、それに加盟している日本唯一の組織である。情報の共有やインシデント対応の国際協力を行っているのがFIRSTであり、JPCERT/CCでは窓口対応(情報提供受付、技術情報提供)や技術情報の日本語による発信(注意喚起、緊急報告、メールマガジン、ベンダー連携、セミナーなどによる啓蒙)などを行っている。
インシデント(不正侵入)などの最近の特徴は、手口そのものは昔から大きくは変わっていない。しかし利用者側は、一般家庭の常時接続が浸透し、サーバ構築も容易であるためそのまま放置された物が多いことなど被害が広まり安い状況になってきている。このような事が今起きており、まず現実を理解し、そして企業経営の立場からもセキュリティに取り組む姿勢が必要である。
2002/03/07 00:00:00