第3章 セキュリティヘの脅威と対策
第1節 情報システムを脅威から守るためのセキュリティ対策
国の省庁を始めとした公的機関のホームページが改ざんされた事件は、記憶に新しいところであり、これを契機としてセキュリティ意識の高まりが見られる。
ここでは、不正アクセスを中心とした情報システムに対する脅威と、その対策に関して述べたい。特に対策では技術的対策に目が行きがちであるが、それ以上に大切なのが人間を含めたシステムとしての視点であり、非技術的対策の重要性の認識が重要である。
1 不正アクセスの被害とその影響
ここでの用語としての「不正アクセス」とは以下を指す。
「システムを利用する者が、その者に与えられた権限によって許された行為以外の行為をネットワークを介して意図的に行う事。」
−コンピュータ不正アクセス対策基準(平成8年8月8日付け通商産業省告示第362号)−
この定義のポイントとしては、まず意図的な権限の超越がある。与えられた権限に従って得た情報の悪用、あるいは誤操作はそれに含まれない。
次はネットワークを介して行う点である。コンピュータ犯罪にはネットワーク経由以外に機密データを直接コピーし持ち出す等の事件もあるが、これは含まれない。
次にこの不正アクセス被害の状況を、図-1に示す。
これはコンピュータ緊急対応センターであるJPCERT/CCがまとめた届出件数の推移である。平成8年秋活動開始時期より届出は急増したが、平成10年春以降は安定化の方向にある。ここで特異点として平成9年の第一四半期と平成10年第三四半期から平成11年第一四半期が目につく。これは後述する不正アクセス手法がはやった時期であり、平成9年第一四半期はメールソフトの不具合(セキュリティ・ホール)を突いた攻撃が年末年始に行われたため。また平成10年第三四半期からは、ポートスキャンと言われるアクセスがはやったためである。なおJPCERT/CCも断っているとおり、この数字から不正アクセスの実態数を推測するのは危険である。なぜならば不正アクセスの場合、管理者がそれに気がつかない(検出できない)、あるいは気がついても届出を躊躇する等の要因があり、実態数に比べて届出件数はケタ違いに少ない事が実験によっても報告されている(注1)。
