サイバーセキュリティ月間

2014年2月6日

ウェブを、確かなものに。

OWASP Japanリーダー/Asterisk Research, Inc. リサーチャ
岡田 良太郎

 

インターネットを頼りにする社会

 早くも、本年の1月17日で阪神大震災から19年の月日が経ちました。神戸で未曾有の大震災に被災した私と家族は、当時のこの突然の出来事への対応から貴重な経験を得ました。地割れして水やガスがとめどなく吹き出す道路、公衆電話の長蛇の列、不安定な治安になかなか開店しないコンビニエンスストア、18リットルのタンクを何杯も使って入れるお風呂。それまでは安定していたはずの住む場所や仕事の変化に加え、余震やさまざまな悲報に人のメンタルへの強い影響があったことなどを今でも鮮明に思い出すことができます。こうして想像以上に生活が困難になると、何をするにしても実現のための手段はゼロベースで考えるわけですが、実際には体を張ってこつこつやる以外の有効な手立ては、そうありませんでした。
 
 当時の私はUNIX系のプログラマで、震災のあった早朝のその時間は手元の開発環境のため自作サーバで稼働させていたLinuxカーネルのアップデート・コードのコンパイルを終えたところでした。後に言う「オープンソース・ソフトウェア」を、自由に扱える楽しみを味わっていました。しかし、残念なことに、それを災害対応のためには全く役立てることができませんでした。その後、そのオープンソースという仕組みがありとあらゆる情報の土台として活用されるようになる時代が来るとは、全く想像しませんでした。しかし、ご存知のとおり、まさに、あっという間に、個人もコミュニティもビジネスも国家も、インターネットを必要とする社会になりました。それを「イノベーション」と呼ぶ人もいます。
 
 3月11日で、東日本大震災から3年が経とうとしています。この大震災の被害を軽減すべく、何十もの有用なウェブサイトが震災発生から3日と置かずに立ち上がりました。避難状況や人の安否、被災地の道路の通行実績に基づく新しい地図、公衆回線を使わない連絡・通信、生活物資から住まいの提供など、数えきれないほどの情報が扱われ、個人・組織を問わず、これまでにない規模の人々による支援の連携がなされたという報告があります。加えて、より多くの地元の事業者が販路を拡大するため、ECサイトを活用する動きが進んでいます。社会のインターネットへの依存は確実に高まっています。
 

オープンなコラボレーションによる学び

 技術的な視点で見ると、こうした状況はウェブサイトを早急に構築する手段が十分普及していることを示しています。数々のオープンソース・ソフトウェア、プログラミングメソッド、クラウドサービスが貢献してきたことは否定すべくもありません。しかし、その一方で、利用負荷や、十分予想できるレベルの攻撃に対応する手段の普及については、全くと言って良いほど進んでいないとの警鐘が鳴らされています。
 
 脆弱なサンプル・コードのコピー、バージョンの古いままのソフトウェア部品などにより量産されるウェブアプリケーションやスマートフォン・アプリは、適切な保護もなされないまま、いとも簡単に攻撃の被害を受けています。ウェブという仕組みに、人々が生活の依存や将来への期待もますます高めている現代では、もはや企業の規模に関わらず、他人ごとではありません。これに大きなダメージを受けることが、社会にどんな失望を招いてしまうのだろうかとの懸念があります。
 
 サイバー空間での「大災害」に耐える社会は、一握りのエキスパートが解決方法を提供することだけでは実現できません。ひとりひとりのプログラマが、自らセキュリティ実装を理解し、そして共にウェブを作る際の実践的な「耐震設計」を学べる環境がなければなりません。それには、具体的な方策が必要です。こうした問題意識のもと、いくつかのオープンなプロジェクトが発足しています。ウェブサイトを短時間で堅牢化する「Hardening Project」や、ウェブの脆弱性とその対策について様々な観点で情報を持ち寄り、互いに学ぶ会合を定期的に開催している「OWASP Japan」、支援と被災の両方の経験から、災害対応時の貢献の実効性を高めることを目指す「ITx災害」会議などです。
 
 このように目的を一つにしたオープンなコラボレーション、すなわち個人も組織も一緒に、あらゆる枠組みを超えて、共通課題への取組みを進められる機会がもっと増大し、さらに実践的なものへと発展していくこと。これにより、ウェブは、ユーザにとっても、サービス提供者にとっても、もっと確かなものになります。力を合わせてやっていきましょう。そうしてはじめて、この「イノベーション」から社会が益を得られるのだと信じる次第です。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。

人の心のセキュリティ=危機管理意識を育てる
~ ネット社会&グローバル社会では通じない“安全神話”~

ネット教育アナリスト
安心ネットづくり促進協議会 普及啓発広報副委員長

尾花 紀子
[http://www.frey.jp/]
※上記リンクをクリックすると別サイトに移動します。
 

 いつ頃からでしょうか、スマートフォンやタブレットを操作する人のいる情景が当たり前になったのは。飲食店の席で、バスや電車の中で、信号待ちの歩道で、etc... とにかく街中にあふれかえっています。
 
 たとえば、新幹線で進行方向に向かって通路を歩くと、画面に表示されたさまざま情報が目に飛び込んできます。中には重要な情報もあるはずですが、フィルターやアプリでのぞき見防止をしていない機器が意外と多いことに気づきます。
 
 カメラ付き端末の普及で「一億総カメラマン時代」といわれる今、隣や後ろの席の人に画面を盗撮される可能性がゼロとは言い切れません。国内外を問わず、降車扉の近くや路上等で操作しているスマホを手から奪い去る事件も起きていますから、無防備な利用は、保存してある全ての情報を危険にさらしてしまうといっても過言ではありません。
 
 また、少々古い記憶になりますが「1円で61万株」という証券会社の誤発注トラブルがありました。その原因は、幾度も表示されたメッセージに対し、全て〔はい〕で進めてしまったこと。ゲーム世代は、ワーニング(警告)メッセージを「To be continued」のように受け止めがちですが、仕事を先に進めるために〔はい〕でメッセージをクリアする、そんな感覚の人が増えればどんなシステムも形無しです。
 
 ともするとシステムの話に終始しがちなセキュリティですが、それは外からの攻撃に対してのことであって、人から漏れる情報は、どれだけセキュリティシステムを強化しても防げません。平和で治安のいい日本がグローバル化していく際の基本対策として、最も必要かつ急務なのは“人の心のセキュリティ=危機管理意識”の醸成ではないでしょうか。これが備わっていれば、セキュリティシステムの設計や活用にも大いに役立つと考えます。
 
 危機管理を学んでほしいのは、プライベートでネットを自由気ままに使ってきた20~30代の社会人といわれますが、それだけでは片手落ちです。中高校生の子供を持つお父さん世代にも、しっかりと意識してもらわなければなりません。
 
 なぜなら、子供たちのソーシャルメディア利用が増加・低年齢化の一途をたどっているからです。お父さんの仕事の話に興味を持ち、未発表の情報をネットに書き込んで、結果的に情報リークとなってしまったケースもあります。自宅で仕事の話をすることは、子供たちの社会性を育むためにも悪くないことですが、「子供の口に戸は立てられない」と考え、話す範囲に配慮する、口外してはいけないと伝えるなど、きちんと対応することが不可欠です。
 
 もちろん、日本の将来を担う子供たち自身にも、しっかりと身に付けてもらわなければなりません。保護者のお下がりのスマホを楽しそうに遊んでいる幼い子を見かける時代だからこそ、小さな頃から危機管理を教え、意識しなくても危機管理できる大人に育てていくことが望まれます。
 
 日本や日本企業がこれからも持続的な繁栄を続け、国際的にも価値を高めていくためには、国民的な危機管理意識の醸成が大切。このことを、一年に一度みんなで考えるために、新年度を目前にした2月のセキュリティ月間があるのだと、私はそう思っています。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。 

ネット社会でも求められる安全運転

奈良先端科学技術大学院大学 情報科学研究科 准教授
門林 雄基

 情報セキュリティ月間にあたり、一般読者の皆さんに考えていただきたいことがあります。それは、セキュリティ専門家は皆さんを守ってくれるのか、ということです。
 
 この問いについて、交通安全と対比しながら考えてみたいと思います。まず、交通事故の専門家は皆さんを交通事故から守ってくれるのか? 答えはノーでしょう。なぜなら運転しているのは交通事故の専門家ではなく皆さん自身だからです。 では交通標識の専門家は皆さんを交通事故から守ってくれるのか? これもおそらくノーでしょう。標識を適切に設置すれば、事故の確率は減るでしょうが、脇見運転、飲酒運転、信号無視などには勝てません。 ではプロの運転手であれば皆さんを交通事故から守ってくれるのか? 答えは多くの場合イエスでしょうが、では貴方のパソコンやスマートフォンをいじっているのは誰でしょうか。ほかならぬ貴方自身です。
 

 
 セキュリティ専門家も交通安全の専門家と同じで、脇見運転、飲酒運転、信号無視には勝てません。スマートフォンで、歩きながら、ついうっかりタップしてしまった、という経験をお持ちの方も多いでしょう。あるいは、お酒を呑みながらスマートフォンやパソコンをいじるのは良いのでしょうか。また、セキュリティ警告が画面に出ても、勢いでそのまま直進、となるとウイルス感染しないほうが不思議です。
 
 情報セキュリティの事故統計や事故事例の分析から浮かび上がってくるのは、運転手である利用者自身の安全運転スキルが足りないケースや、セキュリティへの主体的な取り組みが欠けている企業などです。プロの運転手になるには状況把握能力と危険回避能力が必須ですが、ネット社会でも同じ能力が求められます。また企業では定期的な設備の安全点検や設備の更新が欠かせません。情報セキュリティ月間を契機として、自らのセキュリティ能力を高めていただきたいと思います。
 
 セキュリティ専門家は、利用者や企業による主体的な取り組みを前提として、リスクを減らすための研究開発や、事故の軽減や、再発を防止するための研究開発に取り組んでいます。十年前は大規模なウイルス感染など、基本ソフト(OS)のセキュリティが大きな課題となっていましたが、昨今では一般利用者の危険回避能力が大きな課題となっています。つまり、機構的なセキュリティは大きく進歩したと言えます。ただし、十年前のOSを使っていなければ、の話ですが。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。 






 

 

  

 
NISC SNS一覧 
セキュリティ情報
Twitter
 活動情報
Twitter
Facebook

LINE
※ SNS運用ポリシーはこちら

 

 
NISCサイバーセキュリティ意識啓発動画ポータルへ 
ご注意 上記リンクをクリックすると別サイトに移動します。