個人情報保護法施行後も漏えい事件がなくならないワケ

ISSのCTOに就任した高橋正和氏は、「個人情報保護法が全面施行されたからといって急に情報漏えい事故が減ったわけでもない」と指摘する。

[高橋睦美，ITmedia]

　2005年4月より全面施行となった個人情報保護法を機に、セキュリティ関連ビジネスが盛り上がり一種の「バブル」の様相を示した。しかし実際のところ、同法が施行されたからといって「急に情報漏えい事故が減ったというわけでもない」と、インターネット セキュリティ システムズのCTO（最高技術責任者）兼エグゼクティブ・セキュリティ・アナリストの高橋正和氏は指摘する。

　同氏は11月24日に行った報道関係者向けのセミナーにおいて、個人情報保護法の建前と実態の間にギャップが存在すると述べた。

　そのことを端的に示すのが、P2P型ファイル共有ソフト「Winny」を通じた一連の情報漏えい事故だ。原子力発電所関連の資料流出が相次いで発生したことを考えると、政府が取り組む「重要インフラの防護」に影響を及ぼす可能性もあるという。

　高橋氏はその背景に、個人情報保護という「建前」と企業業務の「実態」とのギャップが見え隠れしていると述べた。

　「個人情報保護法の全面施行を機にノートPCの社外持ち出しを禁止した企業は多いが、一方で仕事上の要求は変わらない。となると、どこかで無理をしなければならなくなる」（高橋氏）。

「セキュリティが産業発展の足かせになってはいけない。情報をちゃんと利用しつつ、適切に守っていくべき」と述べた高橋氏

　その「無理」の一例が、どうしても片付かない仕事を処理するため業務データをこっそり持ち出して自宅PCで作業し、結果として情報流出につながる、といったケースだ。この場合、流出させた当の社員に責任があるのはもちろんだが、その背後には、建前上は個人情報保護法対応をうたいながら、現実には実効性ある取り組みをしていない企業の姿勢もあるのではないかと高橋氏は指摘した。

　本当に真剣に情報の保護を考えるのであれば、ただ「持ち出し禁止」というルールを定めて終わるのではなく、「PCを持ち出すことを前提に、暗号化や認証といったしっかりとした対策を取るべきではないか。そうすれば、仮に盗難や紛失に遭ったとしてもリスクを減らすことができる」（同氏）

　併せて、ITに携わる技術者と、企業全体の視点からマネジメントに携わる総務や企画、法務といった部署との間に認識のギャップがあるとも指摘。二者の間の橋渡しをいかに行うかが今後の課題になるとした。

隠密化が進むボット

　セミナーでは、その危険性が指摘されているボットネットの最新動向についても説明が行われた。同社シニア・セキュリティ・エンジニアの守屋英一氏によると、最近の観測から、ボットネットに2つの新しい動きが見られるという。

　1つは、Windows OSの脆弱性を狙うボットだけでなく、UNIX／Linuxサーバで動作するアプリケーションを攻撃し、感染するボットが登場していることだ。現に4月以降、UNIX上で動作する「AWStats」や「XML-RPC for PHP」といったアプリケーションの脆弱性を狙い、サーバに感染するボットが観測されたという。

　「クライアント単位では収集できる情報にも限りがある。そこで、より多くの情報が集約されるサーバが狙われるようになったのではないか。2006年以降はこれが爆発的に増える可能性もある」（守屋氏）。

　もう1つの傾向は、特定の国で利用されているローカルアプリケーションのように、特定の範囲を狙ったボットが登場していること。9月8日から9日のわずか2日間だけ登場したあるボットは韓国製の掲示板ソフト「ZeroBoard」の脆弱性を狙ったもので、「ピンポイントで韓国をターゲットにした可能性がある」（同氏）という。

　一言でまとめてしまえば、「見かけ上の被害が目立つワームとは異なり、ボットは目立たない方向に向かっている。継続的にコントロールして攻撃者のお金儲けにつなげるため、潜伏化する傾向が強い」（高橋氏）。

　隠密化するボットへの対策としては、まず、脆弱性の修正をはじめとする基本的なセキュリティ対策を継続し、ボットへの感染を防ぐこと。そして「ボットはたいていの場合、IRCを使って通信を行う。そこで、IDS（不正侵入検知システム）やファイアウォールのログを丹念にチェックし、通常ならばあり得ない通信を見つけ出していくこと」（高橋氏）が挙げられるという。