セカンドオピニオンを流通させるエンジンに――10周年迎えたJPCERT/CC

JPCERT/CCは10月25日、「安全なインターネット社会の確立に向けて」と題するシンポジウムを開催。この10年の歩みを振り返った。

[高橋睦美，ITmedia]

　JPCERT/CCは10月25日、創立10周年を記念し、「安全なインターネット社会の確立に向けて」と題するシンポジウムを開催した。

　インシデント対応やコンピュータセキュリティ情報の流通を目的とした組織としてJPCERT/CCが設立されたのは1996年10月のことだ。2003年には有限責任中間法人となり、現在に至っている。

　しかしJPCERT/CCの代表理事を務める歌代和正氏によると、セキュリティ情報の流通、交換などの活動は、正式な設立以前からボランティア的に行われてきた。インターネットの円滑な運用／発展を目的とした技術的な調査検討のための組織として1991年に発足したJEPG/IP内で、有志の手により行われていたという。

　シンポジウム第一部のパネルディスカッションには、そうした設立前夜を知る慶應義塾常任理事／環境情報学部の村井純教授と奈良先端科学技術大学院大学の山口英教授が登壇し、当時を振り返った。

JPCERT/CC前夜は牧歌的な時代

　JPCERT/CC的な活動が立ち上がる大きな契機になったのは、1988年のMorrisワーム事件だ。

　MorrisワームはSendmailの脆弱性を突いてUNIXシステムに拡散したが、「9時間後には解析もでき、原因を突き止めてパッチを用意できた。しかし、そういった情報の流通に問題があり、対処に時間がかかった」と歌代氏。この反省を踏まえ、情報を集中的にコーディネーションする機能が必要だという反省に立ち設立されたのが、米国のCERT/CCだ。

　そのころ日本では、ちょうどCSNETやARPANETへの接続が開始された時期だった。米国のネットワークに接続するとなると「米国側から、日本でもきちんとやることをやってほしいと求められた。1つはIPアドレスの割り当て。もう1つが、セキュリティに関する情報の流通だった」（村井氏）。つまり、CERT/CCのカンターパートとしての役割が求められたわけだ。

　その後、1990年代に入ってインターネットが普及し始め、一般の人も利用するようになってきた。当初はJEPG/IP内で自発的に行われてきた活動だが、「社会化していくプロセスの中、責任とカバレッジを明確にした組織でやらないといけない」（山口氏）という認識に立ち、専任の組織として活動を始めることになったという。

　ただ、当初は「知り合いどうしが使っているネットワーク」といった色合いが強かったことから、何事につけ非常に牧歌的だった。

　Morrisワームが登場したときも「ちょうど村井氏の研究室にいて、コードを眺めて『これはすごい』とひたすら議論していた」と山口氏。対策も比較的容易で、その気になれば大本のゲートウェイを落とし、いまで言う検疫ソリューションのように日本のネットワーク全体を隔離して被害を防ぐことも可能な環境だった。

　突然、大学に米軍の車が何台もやってきて「攻撃を受けたため協力してほしい」と村井氏に直接、依頼してきたこともあったという。このときも、アドレスを見れば誰が使っているかは一目瞭然だったため、「直接電話をかけて事情を聞いたら、パスワード設定がどうやら甘くて不正アクセスを受けたことが分かった」という具合に、数ホップもコンタクトを取ればだいたいのことは分かるし、対処の依頼もやりやすい時代だった。

ユーザーに伝わる言葉を

　しかし、インターネットの商用化などをきっかけに、一般の人々もインターネットを使うようになり、一方でケビン・ミトニック氏による不正アクセス事件が世間の耳目を集めるといった事態も生じた。その中でJPCERT/CCは「信用できる、きちんと裏書きされた情報を社会に流通させていくという仕事を、政府ではない中立の組織が行う」（山口氏）という意図の元で設立されたという。

　その意味で今後もJPCERT/CCは、政府との間で緊張感を保ちながら「中立組織として、社会に対して情報セキュリティに関する健全なセカンドオピニオンを出していくエンジンになるべき」だと山口氏は述べた。

　さらに今後の課題として山口氏は、一般のユーザーやコンシューマーにも通じ、理解できる「カラフルな言葉」の必要性を挙げた。

　というのも、「現在のセキュリティは、ユーザーの心配をあおる不安ビジネスになってしまっている。その限りは、いろいろな主体による力強い対応はない」（山口氏）からだ。不安をあおるのではなく、ほかのセクターに対して「『ここまで階段を上ってこい』というのではなく、階段を下りてユーザーと一緒にやっていくコーディネータが必要だ」とした。

　村井氏も「心配しすぎるのもよくないけれど、一方で、知らなすぎるのもよくない。インターネットの仕組みやセキュリティの脅威がどういったところにあるかといった事柄を、多くの人に正しく理解してほしい」と述べた。

　最近では次世代ネットワーク（NGN）の議論の中で、「インターネットは匿名だから悪」という具合に、技術的整理がなされないまま議論されていることがあると村井氏は指摘し、「分からないからおびえて誤解が生まれてしまう」と述べた。やはり、テクノロジについてきちんと理解することが大事であり、そのためのコンテンツを提供していくことも必要だという。

　ただし、ここで技術的用語ばかり出してもユーザーには伝わらないと山口氏は述べた。「オンラインバンキングサービスのように、ユーザーが実際に使う状況の中できちんと分かりやすく説明すれば読まれるはず」（同氏）であり、そうした解説を支援するための仕掛けも必要ではないかとした。

　セキュリティや信頼性の面でとかくインターネットの対立軸とされるNGNだが、村井氏は、対立構造があるからこそ新しい創造が生まれると述べた。

　「オープンですべての人が参加するデジタルコミュニケーションネットワークをどのように安全にし、安心感を持ってもらうか。危険な人を排除したクローズな世界に対し、オープンなインターネットの世界をいかに安全にするか――それが課題であり、そのためのいろいろな活動が始まっているし、サービスが出てくるだろう」（村井氏）。

　同時に、ここに来て急激に増加している、VoIPやストリーミングといったインタラクティブで遅延に厳しいアプリケーションに対し、安全性、安定性をいかに提供していくかも課題だとした。