2006年2月のブログ記事一覧(2ページ目)-韓国ドラマは哲学的感性を刺激する

情報セキュリティ対策の現状

2006-02-18 05:00:00 | 情報セキュリティ

　相変わらずWinnyによる情報流出事件が後を絶たないようです。昨日の報道でも、大規模なインターネットへの情報流出事件が報道されていました。こういう事件の際に決まって出てくるのがWinnyです。

　本来ならただのPC同士のためのファイル交換ソフトなのですが、Winny向けのウイルスに感染することによってユーザが意図していない情報を、勝手にインターネット上へ流出させてしまうようになります。

　また、Winnyによる情報流出事件のほとんどにおいて、流出元のPCは個人のPCであるということです。個人のPCに職場で使用するデータをコピーして、ウイルス対策が甘かったり、全然していないPCから情報流出が起こるという見事に決まり切ったパターンを見ることができます。

　職場でいくら情報流出に対してガードをしていても、簡単に外部にデータを持ち出して、守りの甘い個人のPCにコピーしてしまうという行為を許すこと自体、情報セキュリティ対策がきちんと行われていないことの証左になります。

　このブログで繰り返し述べていることですが、ファイアーウオールとウイルス対策ソフトを会社や組織で導入するだけで情報セキュリティ対策は終わりではないのです。

　人的な部分でのデータ管理が大変重要です。外部の人間が内部に入り込んでくることを防いでいるのに、内部の人間が気軽な気持ちで、簡単に内部の情報を守りがうすい場所に持ち出してしまうこと、これが一番の問題点です。

　こんなことは口がすっぱくなるくらいやってはダメだと言っても、どうしても現場からなくなることはありません。その大きな原因はトップダウンのマネジメント（管理）システムが組織に導入されていないからです。個人の自覚にまかせ、お願いするレベルで運用しているからです。

　組織としてきちんとした体制を運用していくこと、これが情報セキュリティ対策の要です。

　また、ちょっと話題は変わって、いろいろなサイトからの情報漏洩事件についてですが、これもあとを絶ちません。こちらの方は、WEBアプリケーションを作成するときのセキュリティ対策が手薄なことが一番の原因です。アプリケーションの作成者がセキュリティ意識をしっかり持つことが重要となります。

　一般の人から見れば、私のようなセキュリティ対策専門にやっている人間も、WEBアプリケーション製作を担当する技術者も、どちらもIT技術者としておなじようなジャンルの人間に見えるかも知れませんが、それは大間違いです。

　概して言えば、アプリケーションを作成する人たちが必ずしもセキュリティ意識が高いというわけではないのです。もちろん、中にはきちんとしたセキュリティ対策に対する知識とノウハウを持って作成している人たちもいますが、まだまだ、基本的な機能を作り込めればそれで安心してしまう技術者が多いと思います。

　こちらの方も、組織としてトップダウンマネジメントで、WEBアプリケーションを製作するときに守らなくてはならない事柄をチェック事項と、製品の仕様に入れて第三者の目でチェックする必要があります。

　しかし、いずれにしてもこの世界は時間も予算もぎりぎりでやりくりしているのが現状です。目先、プログラムとして動けばいいということがまず重要視されるので、なかなかセキュリティ対策をしっかりと作り込むというところまで手が回らないというのが本音のところだと思います。

　本来ならば、WEBアプリケーション製作を依頼するユーザがセキュリティに対する要件をしっかりと制作者に提示できれば一番良いのですが、それは相当レベルの高い話なので、良心的な製作者が製作者の方からセキュリティ要件をまとめて顧客に提案することが行われるようになるのが、現実的な第一歩だと思います。

　このようにして、一歩つっこんで眺めてみると情報セキュリティ対策はまだまだという観が強いです。これからも、ますます一般の普通の人を相手にセキュリティ対策の重要性を説く日が続きそうです。

←　クリックして応援よろしくお願いします！

★★★超好評メルマガ！「ＩＰネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～

オリンピックの思いで

2006-02-17 05:00:00 | 情報セキュリティ

　トリノオリンピックは連日白熱した競技が続いています。そして、私がオリンピックのたびに思い出すのが、1972年、当時の西ドイツで開催されたミュンヘンオリンピックで起こったテロ事件です。私はまだ小学生でしたが、新聞の紙面に踊った大きな見出しが今でも目に焼き付いています。

　このテロではイスラエル選手団が人質になり、犯人の国外逃亡を阻止したものの、人質が全員射殺されてしまうという最悪の結果になってしまいました。そして、この事件を題材にしたスピルバーグ監督の「ミュンヘン」という映画も公開されているようです。

　それ以来、私はオリンピックのたびにテロ対策という危機管理が真っ先に思い浮かぶようになってしまいました。当時はテロの背景も何も全く理解していなかったのですが、子供心に大きなショックだったに違いありません。

　オリンピックといえば平和の祭典であり、最も政治とは離れたものであることが理想ですが、反対に政治と密接に関係せざるを得ないというのが現実です。平和の祭典と主催者がいくら銘打っても、そこでテロ行為を行おうとするものが後をたちません。国際的な示威行動として、うってつけの場だからです。ロンドンのレストランで自爆テロを行うより、オリンピックの選手村や会場を襲う方がはるかに世界中にインパクトを与えることができます。

　また、別な意味でのオリンピックでの危機管理と言えば、オリンピックの結果を集計するコンピュータシステムのセキュリティ対策がどうなっているか、興味があるところです。膨大な競技の結果データが刻々と集計され蓄えられ、瞬時に報道機関に提供されているシステムがもし狙われたら、オリンピックは大混乱に陥るでしょう。

　現実のテロは人命に関わる恐ろしいことですが、システムを狙ったサイバーテロはオリンピックをめちゃくちゃにしてしまうという意味で、とてつもない脅威となります。

　選手が渾身の力を振り絞って出した結果がすべて消えてしまったり、誤った情報が報道機関に流れしまったりしたら、大変なことになります。

　私は現在、オリンピックの情報セキュリティ対策がどうなっているか知る立場にないのですが、折りに触れて調べてみようかと思い始めています。

　世界的なイベントであるオリンピックを成功させるための、陰で支えている人たちの努力に少しでも触れられればと思っています。

セキュリティ対策のトレンド

2006-02-16 05:00:00 | 情報セキュリティ

　このブログでも何度かシン・クライアントの話題を取り上げました。シン・クライアントとはPCのようにそれだけで動作するものではなく、サーバと通信回線で接続して使える端末のことでした。

　このようにして、現在のセキュリティ対策のトレンド（流れ）はサーバですべてを行おうという方向へ向かっています。こう書くと何か新しいことのように聞こえますが、技術的にはPC出現以前に戻っただけの話です。

　PCなどない時代、コンピュータを利用するということはセンターに設置してある大型コンピュータに端末を接続して、皆で共同利用することでした。その頃はサーバなどという言葉は使わず、ホスト－端末という言葉でこの関係を表していました。

　その当時の端末は文字を表示するだけのものがほとんどで、グラフィックを表示できるものもありましたが、主流は文字ベースの端末でした。せいぜい、罫線を表示してアプリケーションの入出力のための画面を作れるという代物でしたので、現在のシン・クライアントに比べれば使い勝手は全く劣るものでした。

　しかし、会社の業務などはグラフィカルな画面など表示できなくとも文字ベースで基本的にはこなせていました。

　ですから、PCが出現したとき、もっと正確に言うとWindows 95が出現して簡単にPCがネットワークにつながり、グラフィカルな操作が標準になったことは革命的と言っていい事態でした。

　もっと厳密に言うと、ネットワークにつながってグラフィカルな操作ができるPCとしてはアップルのマックが普及していましたが、価格も高めで、一部マニア向けという側面が否めませんでした。安価なハードウエアで動作するWindows 95が爆発的に普及したことは、PCの世界において画期的なことでした。

　しかし、PCの性能があがりPC本体の記憶容量が増え、また携帯できるノート型PCが普及したことが利便さとともに情報セキュリティ上の脅威を増大させたのです。

　どのような事態が起こったかは、読者の皆さんのご存じの通りです。そこでまた昔のやり方に戻して、クライアントはただの表示と入力の機能があればいいという考え方を元に、シン・クライアントが出現したわけです。

　20年前には現在のようなグラフィカルな操作を通信回線を通じて行うことなど夢物語でしたが、ブロードバンドの普及でそれが非常に容易になり、サーバ集中型のシステムが復活したわけです。

　データはクライアントである端末には一切置かないでサーバ上でだけ管理するというのは、サーバという一点の管理をしっかりするだけでいいので、情報セキュリティ上は大変有利です。

　ユーザに対しては、いろいろな面で不便さをかける可能性もありますが、業務の定型処理を行う程度でしたらたしかにシン・クライアントで十分用は足りると思います。こうして、いにしえの利用技術が復活したわけですが、その違いはサーバとして使われるコンピュータだけです。昔はIBM（あるいは、日立や富士通）の汎用大型機と言われるコンピュータだったのが、現在はWindowsサーバやLinuxやその他のUNIXが動くコンピュータになっただけです（これは一般的な例で、今でも大型汎用機をサーバに使うこともできます）。

　ただ、この方式は大容量の通信回線が必要ということと、サーバに負荷がかかるのでユーザー数に応じてそれなりのハードウエアが必要ということと、万が一サーバのセキュリティが破られてしまうとすべて終わりというマイナス面もあります。何事も諸刃の剣で100%いいというものはこの世に存在しません。これだけは覚えておいてください。

　そして、インテリジェントなPCがすたれてしまうかというそんなこともなく、それ自体でクリエイティブな作業を行いたい場合は、やはりローカルで何でもできるという方式の方が有利ですし、P2Pの技術を使ったソフトを活用するためにも従来のPCのネットワークは必須です。

　以前紹介したスカイプ(Skype)などの有望なP2PソフトウエアはますますPCのネットワーク上で発達していくことと思います。

　これからのコンピュータ利用は、セキュリティ対策重視の場合はシン・クライアントを利用したサーバ中心タイプ、それ以外の場合は従来型のPCをネットワークに接続して自由に使用するという形に二極分化すると予想されます。

　読者の皆さんには、両者の特徴、利点、欠点をよく押さえてうまく活用されることを望みます。

ファイルサーバ故障の顛末

2006-02-15 05:00:00 | 情報セキュリティ

　先日、私の自宅のファイルサーバが故障しました。ネットワーク接続のハードディスクを使用していたのですが、どうやらハードディスクが故障したようで、何度電源を入れて起動しようとしてもディスクが回転しません。

　購入してから2年半くらい経つのでメーカーの保証期間は過ぎてしまっています。そこで、なんとか自分で中身のハードディスクを新品と入れ替えて修理できないか分解してみることにしました。メーカー保証が残っているなら、そんなことはせずにすぐに修理に出すのですが、保証が切れているので、ダメもとで挑戦してみることにしました。

　ちょっと手間取りましたが、無事分解できてディスクを取り出せましたので、現在、同様のディスクの販売価格の相場をネットで調べてみました。すると1万円前後します。同じ型のネットワーク接続のハードディスクを新品で買うと2万円ちょっとです。

　私はここまでで、勝手にハードディスクの故障と決めつけていましたが、ハードディスクだけを新品にしても修理が終わるという保証は何もありません。また、修理が終わったあと、また別な箇所が故障する可能性もあります。

　ここまで考えて私はハードディスク交換をあきらめて、同じ型の新品のネットワーク接続のハードディスクを買い直すことを決断しました。そうと決まれば善は急げです。ファイルサーバがないのは非常に不便です。タクシーに飛び乗って、いつも通っている家電量販店に直行です。

　お目当ての製品は、故障した製品の後継機種で同じ価格帯でハードディスクの容量が若干アップして、数千円安くなっていました。3年経っても外見はそのままです。けっこうなロングセラー商品のようです。3年の間に、上位機種の高性能タイプが発売されていて、このタイプは最廉価機種の扱いになっていました。

　ディスクの読み書きの速度の高速化や、ネットワークがギガビット対応になっている分高くなっているのですが、私は従来の性能で特に不満はなかったので、安い方を購入することにしました。

　こうしてまたタクシーでとんぼ返りして、新しいハードディスクをネットワークにつなぎ直して設定をやり直すまで、1時間、あっという間にファイルサーバが復旧しました。その前の古いファイルサーバを分解している時間がちょっともったいなかったですが、それは決断のための判断に必要な時間だったので無駄ではなかったと思うことにしました。

　さて、ファイルサーバはハードウエアとしては復旧しましたが、中身は空っぽです。これから、バックアップからデータをコピーしなくてはいけません。以前にもお話したとおり、ファイルサーバのバックアップをとる仕組みを作っていたので、今回失われたデータは一つもありませんでした。

　ファイルのコピーをバックアップのサーバーから始めて、延々35時間かかって110GBのデータをリストア（復旧）することができました。これも、普段から自動的にバックアップを取ることにしておいたおかげです。

　個々のPCのファイルを共有することに使われることが多いネットワーク接続のハードディスクですが、そのバックアップがないと、大変なことになるということを今回身をもって体験したわけです。

　とはいえ、いつかはこういうことが起こるという前提でいましたので、素早く冷静に対処することができました。改めて言うのもおかしいですが、情報セキュリティ対策でバックアップがいかに大切かということを身をもって、改めて体験することができました。こういうことは過去に何度も体験していますが、久々の大がかりなデータ復旧になりました。

　それにしても良い時代になったものです。これだけの大量データもPC一台と安価な外付けハードディスクでバックアップしておける時代になったのです。

　ファイルのバックアップをとっていないという読者のみなさん、是非どんな形でもいいので、必ずバックアップをとるようにしましょう。

ネット犯罪の罪の重さ

2006-02-14 05:00:00 | 情報セキュリティ

　報道によると、スペインでDDoS（分散サービス妨害）攻撃を行った犯人に禁固2年の判決が下ったそうです。また、損害賠償として130万ユーロ（1億数千万円）を支払う命令も同時に出されました。

　以前の記事でDDoS攻撃をネット上の威力業務妨害として取り上げましたが、まさにこの判決はその罪の重さを表現しているものと言えます。

　ネット上でこのような妨害行為や迷惑行為は日常茶飯事として行われていますが、犯人がつかまってかつ裁判にかけられて明確な判決が出るケースはまだまだ少なく、この例は今後の同様なケースの参考例になりうると思われます。

　少なくとも気軽な気持ちでこのようなことを行うと、一生後悔することになるということがわかると思います。もっとも、最近のネット上のセキュリティ破り行為は完全にビジネス化してしまって、いたずら半分、おもしろ半分というケースは減っています。サーバをダウンさせてしまうDDoS攻撃はそのサイトにたいして、特に恨みでもない限りは愉快犯が多いと思いますが、情報を盗み出す系統のセキュリティ破りは、最近の例ではほとんどがブラックな世界のビジネスとなってしまっています。

　私は法律の専門家ではないので、たとえばフィッシング詐欺の犯人が逮捕されたとしてどのくらいの刑が科せられるかわかりませんが、昨年、Yahooの偽サイトを作ってフィッシングを行おうとした犯人が、著作権法違反と不正アクセス禁止法違反の疑いで逮捕されましたので、この事件の最終的な判決に注目したいところです。

　しかし、冒頭にあげたような重い刑にはならないのではないかと、素人ではありますが想像しています。注目すべきは、だます行為自体それよりも、どれだけの金銭的な被害が出たかであって、それが賠償金の大きさを決めると思います。

　冒頭で紹介したスペインの例は、その妨害行為が非常に広範囲にわたったため罪が重くなったと思われます。

　サイバー世界の犯罪がリアルな世界の法律で裁かれるわけですが、まだまだこの分野については法律の整備が追いついていない部分があるので、これからの動向を見守りたいところです。

みずほ銀行元行員の情報漏洩事件

2006-02-13 05:00:00 | 情報セキュリティ

　みずほ銀行の元行員が暴力団に顧客情報を漏らしていたという容疑で逮捕されたそうです。

　暴力団が何のために銀行の顧客名簿をほしがったのかは、今のところわかりませんが、かなりスキャンダラスな情報漏洩事件になってしまいました。

　今回漏らした情報は、紙にプリントアウトされた形のものだったそうです。紙の分量としてどのくらいの量なのかはわかりませんが、鞄にでも入れて持ち出し可能な大きさだったのではないかと想像されます。

　このような事件がもし続くとすると、銀行としても対策を迫られるわけで、最後の手段としてはオフィスから出るときにボディーチェックと持ち物検査を受けるなどということになりかねません。

　今回のようなプリントアウトならば持ち物検査で簡単に発見出来る可能性がありますが、USBメモリやその他のメモリカードだったりすると、いくらでもごまかすことができるでしょう。そうなると人間の目によるチェックだけでは不十分で、なんらかの機械の助けが必要になるかもしれません。

　しかし、そこまで来るとあきらかにやりすぎで、毎日の企業活動にも大きな影響が出ることが予想されますし、行員全員を頭から疑ってかかるような対策は行員の士気を下げること間違いありません。

　情報セキュリティ対策が、目に見えない形で企業活動に悪影響を与えて銀行の業績が落ちたりすれば、痛しかゆしということになってしまいます。

　このブログでも、どこまで情報セキュリティ対策をやればいいのかという問題は取り上げて来ましたが、本当にむずかしいことだと思います。

　ごく限られた場所、たとえばコンピュータ・センターのような場所ならば入退出を厳しく監視して、持ち物検査も実施出来ますが、街の支店でそのようなことは実際、不可能だと思います。

　今後この問題についての詳細な報道がされるかどうかわかりませんが、引き続き注目していきたいと思います。

要求仕様におけるセキュリティ

2006-02-12 05:00:00 | 情報セキュリティ

　このブログの読者はRFP（request for proposal）という言葉はご存じないかも知れません。企業や組織がソフトウエアの開発や、情報機器の発注をベンダーに依頼する際に、どういう仕様や構成にすればいいのか具体的な提案を求めるのですが、そのベンダーの提案のもとになるユーザー側の求める仕様あるいは要件、それに要望等を記述したドキュメントのことをいいます。

　たとえば、こんど開発するソフトウエアの仕様はこれこれこの通りで、このような処理ができるようにしてほしい、また性能としてユーザが検索を開始してから3秒以内に答えが返ってきて欲しい、あるいは、このような性能を持ったハードウエアでできるだけ業界標準品を探してきて提案して欲しい、等々ユーザの要求事項を仕様書の形式でまとめたものになります。

　では、このRPFとセキュリティ対策の関係はどういうことになるのでしょうか。たとえばネットワーク機器を導入する場合のRFPには自然とセキュリティ対策に関する部分も盛り込まれる例が多いと思います。一般のユーザーも、インターネットからの攻撃やウイルスの脅威についての知識がある程度ありますから、セキュリティ対策の話題も当然取り上げられる可能性が高いと思います。また、ベンダーの方もセキュリティ対策製品を売り込みたいという思惑がありますから、ユーザーが要求しなくとも対策製品の提案がてんこ盛りになって来る例もあります。

　しかし、これがWEBアプリケーションの場合はどうでしょうか。WEBアプリケーションとは、何度か話題にしてきましたが、WEBとデータベースを連動させてサービスを提供するプログラムのことです。一番身近な例では、ショッピングのサイトがそれにあたります。

　そして、そのショッピングサイトから顧客のクレジットカード番号やその他個人情報が盗まれる事件が相次いだこともこのブログで取り上げてきました。その場合、ユーザー側の態度としては、こんなことが起きるのは青天の霹靂と感じる人たちもいるかもしれませんし、いつかなにか起こるぞと心配しながら、とうとう起こってしまったというユーザーもいるかもしれません。

　とても大切なセキュリティ対策が、こんな運試しのような状態になってしまうのは、結局ユーザーがWEBアプリケーションのセキュリティ対策を、それを開発して提供するベンダー任せにしているところに大きな原因があると思います。

　もちろん、ユーザーはセキュリティやITそのものに素人というケースが多いことはわかりますが、本来ならこのWEBアプリケーションは、これこれこのような攻撃には耐えられるようにしてくれと明確にユーザー側から要求すべきものなのです。

　とはいえ、プログラミングやセキュリティについての知識がユーザー側にないことは仕方がないですから、その場合は外部の専門家の助けを借りてでも必要なセキュリティについての要件をまとめてベンダー側に示すべきなのです。

　これまでのサイトから情報漏洩事件では、ほとんどの場合そのあたりのことはすべてベンダーに丸投げでユーザーは全く意識していなかったというケースが多かったと思います。

　しかし、ベンダーはユーザーから常務委託を受けてシステムを製作しているわけですから、情報漏洩事件の責任は開発側ばかりでなく、監督責任があるユーザー側にもあるのです。

　そうなれば、ユーザーがセキュリティ対策の件にノータッチですべておまかせという姿勢は本来許されないということになります。ユーザーはユーザーの立場でベンダーに対して、セキュリティ対策上の要件をきちんと示さなければならないのです。

　企業では、業務上の契約を結ぶ場合その契約内容が妥当かどうか弁護士あるいは法律知識を持った社員に相談することがよくありますが、システム開発や機器調達の場合もその見積段階でセキュリティの専門家に知恵を借りてそのシステムのセキュリティ対策についての要件が妥当かどうか吟味してもらうことが必要です。

　ベンダーの言われるまま、全部おまかせということにしていると、いつかそのツケが回ってくるというのが今までの情報漏洩事件からの教訓です。

　情報セキュリティの専門家が、弁護士や会計士あるいは税理士のように気軽に相談を受けるような存在になることが理想だと思っています。

ソフトウエアの欠陥

2006-02-11 05:00:00 | 情報セキュリティ

　昨日の記事でソフトウエアに誤りがあることはさけられないということを述べました。情報セキュリティ上のリスク管理の前提は、普段使用しているソフトウエアにはなんらかの欠陥があるという前提に立って行うべきだというのが私の主張です。

　実際、ソフトウエアは複雑になればなるほどバグ（誤り）を完全になくすことは不可能になります。機能や動作環境が複雑になると、起こりうるすべてのケースでのテストができないからです。また、事前にテストできないケースも存在します。動作せてみないと、どんなことが起こるか現実にわからないからです。ソフトウエアというものは、それほど動作する外部の環境に影響されるものなのです。

　情報セキュリティの観点からは、外部の会社にソフトウエア開発をまかせる場合バグによるリスクを回避するためには、実際のところ契約によるしか、有効な手段はありません。

　契約の中にバグを出来るだけなくすための努力義務と、バグが発見されてしまった場合の修正についての具体的対応の仕方、また、バグかバグでないかの判断の方法などの項目を入れておく必要があります。

　このような議論をしていると製造物責任法（PL法）のことが頭に浮かびますが、ソフトウエア単体ではPL法の対象にはならないそうです。しかし、何らかの機器に組み込まれて動作しているソフトウエア、わかりやすい例では最近のデジタル家電なとはすべてPL法の対象となりますので、間接的にPL法の対象となり、ソフトウエアのバグの問題は深刻です。

　携帯電話の例もそうですが、従来の携帯電話は組み込みのソフトに欠陥があった場合は、本体を回収してソフトを書換、入れ替えしないといけませんでしたがだんだんとコンピュータのようにソフトウエアを外部からダウンロードして修正できるようになっていくと思われます。

　デジタル家電製品も同じです。実際、最近の製品には内蔵ソフトのダウンロード機能がついているようですので、バグがあった場合の修正という面では従来よりも楽になってきているといえます。

　しかし、ソフトウエアが間接的にとはいえPL法の対象となることはソフトウエア開発者の立場からすると大変気が重い問題です。繰り返しますが、ソフトウエアは複雑になればなるほどバグを最初からない製品を作り出すことは不可能です。そこを突いてPL法をたてに訴えられたりすることは、消費者の側からすれば当然の行為ですが、開発者の立場にすればどうしようもない問題なのです。

　あまりこの点をしつこく突くと、ソフトウエア開発者の士気が落ちてしまいますし、訴えられることを想定してソフトウエアの価格自体を高額なものに設定しなければならなくなります。ソフトを作るのなんて、わりが合わなくてやってられないと技術者が思い始めてしまったら、それはそれで大変良くない状況です。

　情報セキュリティを守る側からすればソフトウエアのバグの問題は非常に大きなテーマなのですが、開発者にしてもどうしても避けて通れない部分であるわけです。

　バグによって損害を受けた方がヒステリックにならずに、かつ開発者にも過剰な責任の重圧がかからずにすむ道を模索することが必要だと私は考えています。

完璧なソフトウエアとは

2006-02-10 05:00:00 | 情報セキュリティ

　最近、デジタル家電や高度な機能を持った携帯電話の普及によって話題になるのがソフトウエアの完成度の問題です。

　家電製品にしても携帯電話にしても、中身には高度な処理をするコンピュータが内蔵されていて、そのコンピュータを制御するためのソフトウエアの規模は、一昔前の銀行のオンラインシステムと同じくらいの規模となっています。

　昔の銀行のオンラインシステムは少なくとも3年、長いものなら5年くらいの開発期間を経てようやく本番で使われるものでした。そして、本番使用を始めてからも、バグ（誤り）の修正と改良をずっと続けていくのが前提でした。

　今のデジタル機器や携帯電話用のソフトウエアの開発期間は長いものでも半年くらい、短いものになると3ヵ月と極端に短くなってしまいました。それだけ時代の流れが速くなって、新製品の開発競争が激化しているのが原因です。

　何十年もその処理手順が変化しない銀行のお金の出し入れのためのソフトウエアの開発と、上記のデジタル製品のソフトウエアの開発を比べるのは、その背景や条件があまりもの違いすぎるので適当ではないかもしれませんが、とにかく同じくらいの規模のソフトウエアがわれわれの身の回りの機器の中で動いているということを意識しなくてはいけません。

　携帯電話のソフトウエアのバグのために、機器をいったん回収するというニュースはもう珍しくなくなってしまいましたが、ソフトウエアの性質上いったん本番使用を始めても、誤りが発見されてすぐに修正しなければならないことは避けられないのです。

　しばしば、こんな欠陥製品を世の中に出すことは問題だという議論がされますが、ことソフトウエアを内蔵した製品については、その機能の多彩さと複雑さが原因で完璧なものを市場に出すことは事実上不可能です。このことをユーザーはよく理解しておかなければなりません。

　セキュリティ対策の観点からも、ソフトウエアには誤りがあるという前提での対策が求められます。いつ誤りが発見されても、それによって被る損害を最小限に抑えられるような対策を普段から準備しておかなければなりません。

　一般の人たちから見れば、ソフトウエアとはそんなにいい加減なものかと思われてしまうかもしれませんが、それが現実です。Windowsにしても、毎月定期的に修正プログラムが発表されているのをみればわかるように、完璧なものは世の中に存在しません。

　たまたま、自分の使い方ではソフトウエアのバグが顕在化しないだけで、その機能に対して誤った動作をする可能性が常にあるということだけは忘れてはなりません。

　この問題は、これからもっと大きな問題になることは間違いないでしょう。一般の家電がネットワークにつながって、今よりもインテリジェントな機能を持つことは大きな時代の流れですから。その時に、完璧なソフトウエアは存在しないということを、よく頭にいれておいて、何かあってもあわてずに対応することが求められているのです。

現場主義のセキュリティ対策

2006-02-09 05:00:00 | 情報セキュリティ

　これまでこのブログで、セキュリティ対策をトップダウンで行う重要性を述べてきました。現場の一担当者の責任では、企業や組織全般にわたって、有効なセキュリティ対策を施すことは不可能だからです。そして、そのための手段としてISO27001（ISMS）認証の取得や、プライバシーマークの取得を奨励してきました。

　しかし、現実のセキュリティ対策によって一番影響を受けるのは現場で日々働く人たちです。その人たちにセキュリティ対策が浸透するためにはその対策が現場の人たちにとって実行可能なものでなければなりません。

　一見するとトップダウン方式と現場主義という言葉同士は相矛盾するように思えますが、実際は融合してしかるべきものなのです。この両方の観点がないと、どんな立派な情報セキュリティ対策を導入しても画に描いた餅で終わってしまいます。

　セキュリティ対策を導入して有効に機能させるためには、経営者の強力なトップダウン方式の指導力が不可欠です。特に、プライバシーマーク取得や、ISO27001の認証取得はそれなしでは不可能です。

　しかし、現場のできないことを掲げて号令さえかければいいというものではありません。笛吹けど踊らずという言葉があるように上からのリーダーシップの発揮だけで、人は動きません。経営者からの指示と現場の能力や許容範囲がマッチする部分が必ずどの職場や組織にもあるはずです。そこへ情報セキュリティ対策を落とし込んでいくことが最も重要な作業となります。料理もセキュリティ対策も塩梅が重要ということです。

　機器ベンダーのいいなりに、情報セキュリティ対策用のネットワーク機器やソフトウエアを購入し、コンサルタントにお金を払って苦労してISO27001を取得しても、実際に現場の人たちが心の内面から動こうという気持ちを持たなければ、そのセキュリティ対策は何の実効力も持ちません。

　もし皆さんの組織で情報セキュリティの見直しをする機会があったら、この基本的なことをもう一度思い返してみてください。

←　クリックして応援よろしくお願いします！

★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★

★★★超好評メルマガ！「ＩＰネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★

スパイウェア対策無料レポートはこちらから！
こちらのセキュリティ対策情報サイトもお勧めです！～メチャセキュリティ・ドットコム～

goo blog お知らせ

	ブログを読むだけ。毎月の訪問日数に応じてポイント進呈
	【コメント募集中】1番好きな「おせち」の具材は？
	gooブロガーの今日のひとこと
	訪問者数に応じてdポイント最大1,000pt当たる！