オフィスや家庭で使われるインターネットから、交通や通信などの社会的インフラの制御まで、ITシステムへの依存を高める現代社会。そこでは、コンピュータウィルスを使った情報の窃盗やPCの遠隔操作、不正アクセスなどさまざまなサイバー攻撃が日常的に行なわれている。我々はこのような時代をどう生きるべきなのか。東京電機大学教授で内閣官房情報セキュリティ補佐官を務める、セキュリティ技術研究の第一人者、佐々木良一氏に聞いた。

東京電機大学　未来科学部　情報メディア学科　教授　佐々木　良一　氏
（内閣官房情報セキュリティ補佐官）

＜セキュリティ問題を解決する新手法MRC＞
　――前回、先生のチームで、企業・団体（～個人）が抱えるセキュリティ問題を解決するために、多重リスクコミュニケーター（MRC）を開発されたというお話が出ました。詳しくお話いただけますか。

　佐々木良一氏（以下、佐々木）　ITリスク学を設立するときに、現在のセキュリティ問題を解決する手法として考え、開発したのが多重リスクコミュニケーター（MRC）です。ITリスク学の中心をなすリスクアセスメント（リスク評価者＜専門家＞）、リスクマネジメント（行政担当者＜事業者＞）、リスクコミュニケーション（市民・消費者）の３つに対する総合的アプローチを可能にしています。

　MRC開発の背景は大きく３つあります。１つ目は多くのリスク（セキュリティリスクやプライバシーリスク）が存在するので、リスク間の対立を回避する手段が必要ということです。２つ目は多くの関与者（経営者、顧客、従業員）が存在するので、関与者間の合意形成のコミュニケーション手段が必要と考えました。３つ目は１つの対策だけでは目的の達成が困難で、対策の最適な組み合わせがどうしても必要だったのです。

　MRCは専門家支援部、全体制御部、最適化エンジン、意思決定関与者支援部、データベース、ネゴシエーション基盤などから構成されています。このMRCの利用者は、専門家と意思決定の仲立ちをするファシリテーターを想定しました。
　現在、MRCは主に個人情報漏洩対策、不正コピー防止対策、内部統制対策、公開鍵暗号の脆弱化対策などに適用され効果を上げています。

＜完全に護りきることは実質的に不可能である＞
　――話は変わりますが、最近新聞や雑誌で「サイバーテロ」という言葉をよく見かけます。国をまたぐ話も多く、何よりも実体が分かりません。この事に関してコメントをいただけますか。

　佐々木　「サイバーテロ」は、たしかに増えています。ハッカー（善意）やクラッカー（悪意）を含めて、入り乱れています。アノニマスに代表される、ハクティビスト集団（自分達の主張を通すために運動する人たち）が企業、団体等にDDos攻撃やSQLインジェクション攻撃を仕掛けてきます。彼らは、それを迎え撃つ企業や団体よりも人数も多く、執念深いのが特徴です。　　
　攻撃を受ける方は100％護り切らないと意味がありませんが、攻撃する方は１人でも侵入できれば勝利となります。そういう意味では、一筋縄ではいかないことも多く、完全に護り切ることは、実質的に不可能に近くなっています。

＜CISOを配置して、CSIRTチームを編成する＞
　――企業や団体等は、この状況に戦略的にどのように対応をすればよいのですか。

　佐々木　１つは、セキュリティポリシーをしっかり持って管理的対策を強化することです。これには、私たちのチームが開発した多重リスクコミュニケーター（MRC）が参考になると思います。
　２つ目は技術的対策です。これはできること（「セキュリティホールのないプログラムを使いましょう」とか「ワクチンプログラムを入れましょう」とか）を確実に実行していくことです。古いプログラムだと即感染してしまうケースでも、最新のものを使えば、かなり感染を防ぐことができます。

　また、入口対策だけでは十分ではありません。むしろ、今は出口対策が重要になっています。そのためには、最高情報セキュリティ責任者（CISO）を置き、CSIRT（インターネット上で問題が起きていないかを監視、起きていれば、原因解析や影響範囲を調査する組織）チームを編成することも重要です。現在、CSIRTはベンダー系の基幹産業だけでなく、ユーザー系の金融から建設会社まで、幅広く浸透してきました。そして、この出口対策の手法として、今、注目を集めているのが「デジタル・フォレンジック」という概念です。

≪　（３）　｜　（５）　≫

※記事へのご意見はこちら