武田圭史

　先日、情報セキュリティについては様々な製品やベンダーが既にたくさんあるのに、いまさら日本で研究や人材育成をする必要があるのか？という質問を某中央省庁の方からいただいた。否定的な意味ではなくて本当に知りたかったのだと思う。世の中一般的にはそういった認識なのかもしれない。

　アメリカや世界中の会社が様々なセキュリティ対策製品を作ってくれているのだから、それを使っていればいいじゃんと思われているとしたら大変危険だ。実際には日本国内で作られる製品や企業などのシステムは無数に存在するし、海外製品を買ってきたとしてもそれを評価したり安全に導入運用するための人材もやはり必要だ。

　システム開発や運用、あるいは組織の運営管理の現場において情報セキュリティの技術やしくみを正しく理解して職務に反映できる人は圧倒的に不足している。官庁でも納入されるシステムのセキュリティ要件を見定めたり、政策に反映したりする必要があるのだが、とてもうまく機能しているとは思えない。

　インターネットが普及する前は、セキュリティは特殊な領域でその分野に関わる人さえ知ってさえいれば良かった。ところが、社会のいろいろな面でコンピュータやインターネットが利用されるようになってくると、そうもいっていられなくなった。システムが増えた分だけセキュリティが分かる人も必要となる。

　オンライン取引など重要な情報を扱うシステムを安全に設計し実装するには、当然セキュリティを考慮する必要があるが、開発を担当するベンダーにはセキュリティの知識を持っている人物が一人もいないこともある。結局、プロジェクトに居合わせた人の個人的な経験や思い込みで仕様が決まり納入されたりする。

　このような情報セキュリティに関する人材不足は日本だけではなくて世界的な現象のようである。昨日まで必要ではなかった仕事が突然必要になっているのだから仕方がない。

　先日、マイクロソフトのWordとExcelで使われている暗号化機能の実装に問題があることが発見されている。RC4というストリーム暗号において、同じ鍵ストリームを使って、異なるドキュメントが暗号化されてしまうという初歩的なミスだ。暗号化されたデータのXOR（排他的論理和）を計算することで、平文同士のXORが出力されてしまう。最近セキュリティに力を入れているはずのマイクロソフトでさえこの状態だ。

　例え暗号アルゴリズム自体が安全なものでもであっても、システムへの実装が悪いと全く意味がなくなってしまう。このような事例は数え上げればきりがない。既存の暗号を使って安全に通信を行うプロトコルの設計であるとか、暗号モジュールをシステムに組み込んで安全に管理・運用するしくみの設計などは、これまでほとんどの人が経験してこなかった。こういったことをちゃんと考えるられる人が様々な現場で必要とされているのだが、その教育をどこもやっていない。

　今後安心できる世の中を実現するためには、日本国内のいろいろな場面で情報セキュリティを理解した人が必要となってくる。国内でも人材を育成すると同時に、将来に向けた研究ノウハウの蓄積なども当然必要だろう。

【参考情報】

WordとExcelの暗号化手法に脆弱性(ITmedia)
http://www.itmedia.co.jp/enterprise/articles/0501/20/news020.html

The Misuse of RC4 in Microsoft Word and Excel(Hongjun Wu)
http://eprint.iacr.org/2005/007.pdf