エンタープライズ:ニュース 2003/06/03 23:16:00 更新


「セキュリティの確保には各国、官民の協調が不可欠」クラーク元特別補佐官

ブッシュ大統領のサイバーセキュリティ担当特別補佐官も務めたリチャード・クラーク氏は、RSA Conference 2003 JAPANの冒頭を飾る基調講演の中で、サイバーセキュリティの確保に向けていくつか提案を行った。

 6月3日から4日にかけて、暗号化からセキュリティポリシー、技術的な話題から政策にいたるまで、幅広くセキュリティについて取り扱うカンファレンス「RSA Conference 2003 JAPAN」が開催されている。会場は東京国際フォーラムだ。

 日本での開催はこれが2年目だが、技術標準や企業の危機管理、不正アクセス対策など9つのトラックに分け、50を超えるセッションが行われている。また併設の会場では、参加ベンダー各社が提供するPKIや認証、VPNやサービスといった幅広いセキュリティ製品が紹介された。

 初日の基調講演に登場したのは、今年2月までブッシュ大統領のサイバーセキュリティ担当特別補佐官を務め、9月11日の連続テロ事件以降、米国のサイバーセキュリティ政策を担ってきたリチャード・クラーク氏だ。同氏は、インターネットを巡る脅威が増している今、各国首脳が協力して、サイバースペースのセキュリティについて検討するべきだと述べた。

クラーク氏

講演の中に時折ジョークを交えたクラーク氏

 同氏の講演の前半は、セキュリティに関する大半の議論と同様、インターネット上の脅威の指摘に費やされた。すなわち、この4年間、サイバースペース上の攻撃件数は毎年2倍のペースで増加し、発見される脆弱性も同様に増加している。一方で、脆弱性が発見されてから攻撃用コード(Exploit Code)が公開されるまでの時間も、短くなる一方だ。

 中でもいまだに強く記憶されているのが、2001年7月に大きな被害を与えたワーム「Core Red」である。ホワイトハウスでは幸い、水際で被害をせき止めることができたが、同時に教訓を学んだとクラーク氏は言う。すなわち、「インターネットサービスプロバイダー(ISP)とIT業界、政府機関が協調して対処することが大切だということだ」(同氏)。

 しかし、現実はそううまく行かない。「企業は自社システムを管理する。ISPも同じように、自社ネットワークを管理している。では、いったい誰がインターネットの健全性や機能性を維持するのだろうか?」とクラーク氏は問いかけ、責任を持ってインターネットの維持に当たる主体がないと指摘した。この結果、DNSやルーティングプロトコルのBGPは、インターネットを支える根幹の部分であるにもかかわらず、脆弱なままリスクにさらされるという問題が生じているという。

 クラーク氏はさらにもう1つ、米国でホットな話題となっている「スパム」対策の必要性も訴えた。「スパムメールが占有する帯域は、他のどんな正当なアプリケーションが用いる帯域よりも多い。もちろんカリフォルニア州のように、スパム対策法案を制定する州政府もあるが、スパムを効果的にブロックするには、世界各国の政府や産業界の協力が欠かせない」と、同氏はここでも国際的な協調体制の重要性を訴えた。

バグだらけのソフトは許容できない

 こうした協調体制の具体的な姿として、クラーク氏は「国際サイバースペース審議会」なるものの設立を提案している。各国政府の高官のほか、ISPや産業界の代表がこの審議会に参加するという構想だ。

 クラーク氏はさらに、この審議会が設立された暁に審議すべき10個のテーマも列挙した。中でも筆頭に挙げられたのは、「ソフトウェア品質保証プロジェクト」である。

 同氏のソフトウェア業界に対する口調は厳しかった。「21世紀の今、ソフトウェアの脆弱性を許容することはできない。しかし現在、ソフトウェア業界はバグだらけの、いいかげんなソフトウェアをリリースしている」。そして、こうした状態を解消するため、コーディングに関する国際的な標準を策定し、ソフトウェアは一定の品質保証テストをクリアしない限り市場に出荷されないようにすべきと主張した。

 2つめの検討項目は、パッチ検証環境の整備である。「パッチがリリースされると、管理者は、どのアプリケーションにどういった影響があるかを検証するためテストを行う。つまり、世界中の管理者が、同じときに同じことをやっているわけで、これは大きな無駄だ」(クラーク氏)。そこで、国際的なパッチ検証環境を整え、そこでパッチのテストを行うことにより、無駄を省くことができるという。

 他にも同氏は、FIRST支援を通じた全世界的な警戒・警報網の整備、BGPやDNSの強化、組織出口側でのコンテンツ/コードフィルタリングなど、さまざまなテーマを提案した。その中には、実運用や環境の多様性、実現のためのコストなどを考えると困難に見える部分もあれば、頷ける内容もある。

 少なくともこれだけは言えそうだ。最終的にどういう形になるにせよ、産官が国際的に協調して対処しない限り、セキュリティを確保するための取り組みは成功しない。そして、サイバースペースのセキュリティが確保されない限り、ITのポテンシャルをフルに活用することはできない――クラーク氏は、nmapが登場することでも知られる映画「マトリックス・リローデッド」を引き合いに出しながら、このように述べている。

関連記事
▼サイバーテロへの恐怖をあおる“プロの妄想家”たち
▼政府、業界、国民が一丸に――ホワイトハウスのネットセキュリティ戦略
▼RSA Conference 2003レポート

関連リンク
▼RSA Conference 2003 JAPAN

[高橋睦美,ITmedia]



Special

- PR -

Special

- PR -