武田圭史

　情報セキュリティリスクマネジメントの講義に参加する。ＭＢＡで用いられるケースメソッドを用いたインシデント対応のディスカッションだ。受講者はあらかじめ用意されたケーススタディーを読み講義に備える。

　早朝、あるＥコマースサイトが突然アクセス不能に。
　
　そうした中、不審なメールが連続して届く。

　調査の結果、サイト上流のファイアウォールにＤＤｏＳのパケットが送られていることが判明。

　ＩＰをフィルタリングしてもゾンビが次から次へと発生する。

_{（実際の資料にはもっと詳細な記述がされている。）}

　受講者はこのEコマース企業のＣＩＳＯとして対応を求められる。「優先して対応しなくてはならない事項は何か？」、「顧客情報を保護するためにデータベースを切り離すべきか否か？」、「プレスへの対応は？」など。

　「顧客情報の保護を最優先にすべき。」

　「ログ取得のためにシステムの稼動は継続すべき。」

　「株価への影響もあるので情報の公開は慎重に行うべき。」

　「顧客の信頼を得るためには状況を逐次開示するべき。」

　「そもそもこれは委託先のデータセンターの責任範囲なのではないか。」

　　など、受講者はそれぞれが持つバックグラウンドから自論を展開する。

　　結局、侵入を示唆する証拠が発見されないため情報公開やデータベース隔離などのアクションは取らずに、さらに調査を進めることに。

　事前に配布されていない新たな資料が配られる。

　１時間弱アクセス不能の状態が続いた後で攻撃は停止、何事も無かったようにサービスは通常状態に復旧。

　再び受講者には、アクションが問われる。「とるべき安全措置は何か？」、「侵入の可能性は？」、「システムを再構築すべきか？」、「プレスへの発表内容は？」など。

　「調査結果を正確に公表し、事態に適切に対処していることをＰＲすべき。」

　「事後の再発防止が重要。」

　「今回を教訓にセキュリティ対策全体の見直しを行う。」

　「DoS攻撃を受けただけなのでシステムの再構築は不要。」

　あまり大きな議論もなく、発生した事実（サービスは停止したが侵入の形跡はない）を公表し、今後セキュリティ対策をしっかりやりますという発表を行うことで合意。

　最後の資料が配布される。

・・・

　がーん^※。皆の思いもよらない結末が・・・。

　ネタばれになるので、全部は書かないが、なかなか面白いディスカッションだった。
　今回のケーススタディは、講義の導入で、引き続き各意思決定におけるポイントなどが解説されることになる。

　これはまさに現場で常に発生している状況。

　こういう意思決定をリアルタイムで行っていくのは一筋縄ではいかず、さまざまなステークホルダーを考慮にいれなければならない。確率要素も多分に関わってくる。普通の企業ではこういった事態がいきなり無防備なところに発生するので、事前にこういう経験をして考え方のトレーニングしておくのは良いと思う。

_{※アメリカ人は「がーん」とは言わず、おっおーとか言う。}

　別れた男性のIDパスワードを使ってオンラインゲームに参加、腹いせにゲーム上で所持していた武器や服などのアイテムを勝手に処分して書類送検。

　二人は同じゲーム上で知り合ったぐらいなので、ゲーム上のアイテムとはいえ本人にとってはとても深刻なダメージなのかもしれません。仮想世界でのアイテムの処分が刑法上どのように扱われるのか興味深いところですが、不正なＩＤパスワードの使用で不正アクセス禁止法違反ということなんでしょうね。

【参考情報】
MSN毎日インタラクティブ（２００５年１月２０日）
http://www.mainichi-msn.co.jp/it/solution/news/20050120org00m300098000c.html

　先日、セキュリティ業界について「市場規模がセキュリティ脅威による実害の発生に依存している点で不安定であるといわざるえを得ない。」と書いたが、一部性質が異なるマーケットがあるので補足しておく。

　いわゆるイネーブラー（可能化要素）と言われる領域で、その技術を導入することで、これまでできなかったことが実現できるようになるというサービスや製品領域である。これまでの例で言うと、ＶＰＮやアイデンティティマネジメントがこれにあたる。これらは、それまでにセキュリティの懸念や技術上の問題から実現できなかった通信や管理形態を可能にするものであり、それによってコスト削減や業務の効率化、あわせてセキュリティの維持・向上を実現するものである。

　例えば、ＶＰＮの導入では、インターネット上に暗号化した仮想的な通信路を設けることで、専用線を使わなくても分散したオフィス間で安全に情報を共有することができるようになる。アイデンティティマネジメントの導入では、社員の個人情報とアカウント及び認証管理を人事、給与などの管理と統合することで、社員情報の管理を一貫性をもって効率良く行えるようになる。

　ワームなど特定リスクを回避するための支出が単なるマイナスの出費ととらえられるのに対し、イネーブラー領域の支出はプラスのリターンが得られる投資と位置づけられる。効果が目に見えてわかりやすいし、投資効果も評価しやすいため企業にとっては導入がしやすい。

　サービスや製品を提供する側は、セキュリティの知識はもちろんのこと、それによって実現するサービス領域への理解が必要となる。

　このような領域に対しては、比較的大きめの投資も可能であるため、新たなイネーブラー技術が出現した場合には、市場の拡大が見込まれ、そこにチャンスが生まれる。

　ここのところ日本でも気になる事件が続発したので、今回は日本におけるアイデンティティ窃盗をとりあげたい。

　１９日にスキミングによるキャッシュカード偽造団９名が逮捕された。プレイ中にゴルフ場の貴重品ロッカーに預けられたキャッシュカードの番号を読み取り、カードを偽造していたらしい。ゴルフ場の支配人がグルだったため、合鍵でカードを取り出すことができ、貴重品ロッカーに設定された暗証番号を引き出しの際に使用している。風俗店などでのクレジットカードを狙ったスキミングはこれまでも多く報告されていたが、銀行のキャッシュカードを対象とし、ゴルフ場のような一般に信頼されそうな場所での犯罪なのでたちが悪い。

　キャッシュカードは引き出し限度額の設定が高く多くの現金が引き出せるので犯罪者には都合が良い。一方、被害者にとってはキャッシュカードは盗難保険が設定されていないケースが多いため被害金額は丸損ということになってしまう。ここのところキャッシュカードを対象とした、スキミングの逮捕者が続出しているので、日本でもこのような犯罪はかなり大規模に行われているのだろう。

　住民基本台帳カードが不正に取得され悪用される事件も発生している。住民基本台帳カードは現時点では、これといった使い道がないために、あまり重要性が認識されていないが、身分証明書として使えるため、他人名義で借金をしたり犯罪の身元隠しに使われるケースが多い。

　日本でも、なかなか他人や企業を信用することができなくなってきた。もはやクレジットカードやキャッシュカードの番号は知られて当然ぐらいに考えておいた方が良いかもしれない。

　今回の事件の教訓としては、普段持ちあるくキャッシュカードの口座には大金を入れておかない、キャッシュカードで使用する暗証番号は他の用途に用いない、などが考えられる。今後銀行がキャッシュカードの悪用を防止するための技術対策を適用するインセンティブとして、キャッシュカード被害に関する損害保険の適用や、被害発生時の損失の銀行負担なども検討してはどうかと思う。住民基本台帳カードについては、市役所や金融機関等に本人確認をしっかりと行ってもらうしかない。本来、住民基本台帳カードは本人認証を確実にするための手段として提供されているが、運用がしっかりしていなければ全く逆の効果しか持たないという良い例だろう。

【参考情報】
磁気データ盗みカード偽造の疑い　ゴルフ場支配人ら逮捕
http://www.asahi.com/national/update/0119/033.html

銀行カード偽造、ゴルフ場支配人ら窃盗容疑などで逮捕
http://www.nikkei.co.jp/news/main/20050119AT3K1900G19012005.html

地銀協会長、偽造カード被害「事態重く受け止める」
http://it.nikkei.co.jp/it/newssp/privacy.cfm?i=2005011910649vl

「スキミング」でカード偽造容疑、比で邦人ら３人拘束
http://www.asahi.com/national/update/0119/041.html

住基カード、不正取得広がる・借金などに悪用
http://www.nikkei.co.jp/news/shakai/20050119AT1G1402Z18012005.html

　前回アイデンティティ窃盗（Identity Theft）を取り上げたが、若干説明不足だと思うので再度この問題を取り上げる。

　アイデンティティ窃盗とは一言でいうならば、他人に成りすますことによって行われる様々な犯罪行為の総称である。簡単な例で言えば、他人に成りすましてクレジットカードを利用する。他人に成りすまして家を借りる。交通違反で捕まった際に他人の名前を言って罪を逃れるなどの行為が含まれる。最近日本でも問題になっているフィッシング詐欺は、アイデンティティ窃盗の手段として使われる可能性がある。米国では２００３年頃から社会問題として大きく取り上げられており、米連邦取引委員会（Federal Trade Commission）の２００３年９月の調査では、過去５年間で２７３０万人、２００２年だけでも９９０万人が被害者として報告されている。年間で約３０人に一人が被害に遭っている計算になる（ほんとか？）。金額としては企業等が年間４８０億ドル、個人消費者からは５０億ドルの被害が報告されている。昨年の全米映画興行収入が約９４億ドルと言われているので、比較すると規模の大きさがわかるだろう。米国ではこの問題に対する法整備や、被害者救済の対策が急ピッチで進められている。

　アイデンティティ窃盗には、口座の悪用（Account takeover）、成りすましによる不正な申請、犯罪者によるアイデンティティ悪用（criminal identity theft, frameup）などが含まれる。クレジットカードを不正に利用された場合、免責部分以外は保険でカバーされるので被害者個人が被害金額の全てを支払うことはないが、被害に気付かなければ不正に利用された金額も支払うことになるし、被害を発見した場合は各種手続きに多大な労力を要し、場合によっては個人の与信情報が傷つきその後の生活に不自由をきたすこともある。知らない間に他人が自分名義で家や車を購入し普通に生活をしていたということもあるという。犯罪者に自分のアイデンティティを悪用された場合には、見に覚えのない犯罪について不当に逮捕されたりデータベースに犯罪歴が残ったりして社会的信用の失墜につながることもある。

　アイデンティティ窃盗から身を守る対策としては、ソーシャルセキュリティナンバー（SSN：社会保障番号）、クレジットカード番号、電話番号、誕生日、運転免許証番号などの個人情報を極力外部に漏らさないこと、郵便ポストに鍵をかける、個人情報を含む紙を破棄する際には必ずシュレッダーにかける、与信（クレジット）情報を定期的に取り寄せ確認することなどがあげられる。

　米国はよくクレジット社会と言われるが、クレジットカードだけではなく世の中全体が緩やかな信頼関係（クレジット）によって成り立っており、悪意を持った行為に対しては脆弱である。日本であっても米国であっても、社会には悪用しようと思えば悪用できるしくみというのは無数に存在している。これまでは、サービスを提供する側も受ける側もある程度性善説にたっている。皆がその緩い仕組みの恩恵を享受してきたわけであるが、ここに来てその信頼が崩れてきている。

　ここで本人認証というものが大きな問題となってくる。アイデンティティの悪用が多くなるにつれて、個人というものを正しく認証するする必要性が高くなる。従来米国ではソーシャルセキュリティナンバーの回答をもって本人を認証することが少なくなかった。本来ソーシャルセキュリティナンバーは個人を識別するための番号であって、本人かどうかを認証するパスワードのような機能は持たない。情報セキュリティの観点からはこれは誤った使い方である。誤っていたとしても実効的には機能していたので様々な機関がソーシャルセキュリティナンバーを本人認証の手段としてきた。それによってソーシャルセキュリティナンバーを本人認証の手段として使っても良いという誤った認識が広まったと考えられる。クレジットカード番号についても同様で、クレジットカード番号と有効期限を知っていることが、クレジットカードの持ち主であることを証明することにはならないが実効上機能してきたので、そういった使われ方が行われてきた。最近では、各種事故が多くなってきたのでオンライン取引などではではクレジットカードの番号に加えセキュリティコードが要求されるようになっている。日本では各種手続きを電話などで行う際、住所、生年月日等を確認することによって本人認証を行うことがある。今のところ問題にはなっていないが、アイデンティティ窃盗の被害が多くなってくると、この方法は使えなくなってしまう。その際、米国のように基礎年金番号や住民票コードを知っているかどうかで本人認証を行うという間違いをおかしてはならない。

　米国人に、日本ではまだ銀行口座や契約書の認証に印鑑というものを使っているのかと驚かれたことがある。その米国人の感覚では印鑑というのは、認証としての役割を果たさないと考えているらしい。最近の銀行口座からの不正な預金引き出し等の事件を見ていると全くそのとおりだ。一方、日本人から見れば米国人が何でもサインで済ませてしまうのも心もとない気がする。サインは本人の身体的特徴を利用して認証を行うバイオメトリクスとしての性質を持つことから印鑑よりは強い認証機能を持つ思われるが、照合の基準が明確でないなど、馴染みのない日本人にはしっくりこないかもしれない。

　米国社会は、ソーシャルセキュリティナンバーやクレジットカードナンバーの知識を認証に用いていたり、個人に対する与信関係によって社会が成立しているため、現金をベースにした日本社会よりもアイデンティティ窃盗に対しては脆弱ともいえる。しかしながら、日本においてもアイデンティティ窃盗による被害が拡大し、本人認証と個人の信頼の管理をどのようなしくみで実現していくかという問題に直面する日は遠くないと思われる。

【参考情報】
米連邦取引委員会のアイデンティティ窃盗に関するページ
http://www.consumer.gov/idtheft/

　「セキュリティとは目の付けどころが良いですね。」　情報セキュリティの世界にいるとこのように言われることが少なくない。情報社会の中で情報セキュリティが重要な役割を担っていることは直感的には認知されているらしい。一方日本のセキュリティ業界やその周辺の人々に会うと「セキュリティはなかなか金にならないね。」という言葉が出てくる。情報セキュリティビジネスが儲かるかと聞かれれば、他の技術系の職種と比べると圧倒的な差がつくというほどのものではないだろう。もちろんセキュリティに対する需要は常に存在するが、その重要性に対して常に適切な対価が支払われているかは別の問題である。

　いくつかの市場調査の資料を見ると、セキュリティ市場は大方の予想どおり劇的ではないが順調に拡大を続けているようである。このマーケットは絶対になくならないという点で将来性は保証されているが、市場規模がセキュリティ脅威による実害の発生に依存している点で不安定であるといわざるえを得ない。つまり新しい脅威が発生し実際に被害が発生しない限りその対策の市場は生まれない。２０００年前後の省庁・企業のＷｅｂサイト改ざんの多発まではファイアウォールを導入していない組織は少なくなかったし、メールサーバの不正中継、BlasterやSlammerなどのワームの大規模感染、個人情報漏洩などの対策についても実際に被害が発生し、問題になって初めてその対策のための費用が拠出されるというのが現実である。

　情報セキュリティを専門とする多くの人にとっては、このような情報リスクは実害の発生以前より自明であり、その対策の必要性を熱心に伝えようとするが理解を得られず歯がゆい思いをすることも多いだろう。言葉では被害を未然に防止するために事前の投資が重要と言われるが、組織としてこれを実践できるところは限られており、セキュリティ専門家といえど世の中に実際の被害が発生する前にセキュリティ対策を組織に徹底させるのは難しい。

　情報セキュリティビジネスにおいて、今後どのようなトレンドが発生するかは米国の動向を見ていると察しがつく場合が多い。通常は半年から一年後に、米国で発生していたのと同様の被害が日本国内でも表面化し、対策の必要性が認知される。フィッシング、スパム、スパイウェアなどは１年以上前から米国で具体的に被害が広く認知されていた事象であるが、これらは今まさに日本で問題として大きくとりあげられている。今後日本に本格的に上陸する脅威としては、個人の成りすましによるアイデンティティ窃盗（identity theft）などが考えられる。アイデンティティ窃盗は、社会システムの情報技術への依存と効率化の影で急激に被害規模が増加しているがこれらを防止し被害者を救済するしくみがまだ整備されていない点が課題となっている。

　情報セキュリティビジネスでの成功の鍵は、変化する脅威への先行的な準備と、早すぎず遅すぎず時機を捉えたサービス／製品の展開にかかっているといえるだろう。

※タイトルは昔あった映画の名前にかけてみました。

　防衛庁・自衛隊での勤務、大学院での研究、外資系コンサルティング会社勤務、オープンソースその他の社会的な活動を通じて広く情報セキュリティの世界に関わるようになり十数年が経過しました。

　大学院にいた頃はインターネットの普及過程と重なっていたこともあり、積極的に情報発信を行っていましたが、職業上の制約などから個人的には情報を発信しにくい時期もありました。

　今後は人材育成にも携わることもあり、様々な経験を通じて感じてきたことなどを少しずつまとめていければと思っています。

　コメント、トラックバックなど気軽にいただければ幸いです。