毎年10月に経済産業省らの主催で行われる「情報化月間」の開催を記念した記念式典・講演会が、東京・港区にて開かれた。毎年恒例のこのイベントでは、IPA(情報処理推進機構)やJIPDEC(日本情報処理開発協会)、ECOM(次世代電子商取引推進協議会)らといった経産省の外郭団体が顔を揃え、それぞれ自団体の日頃の活動成果をアピールしていた。その中から本稿では、IPA主催の講演会において行われた「情報セキュリティの新たな脅威と対策について」と題したパネルディスカッションの模様をご紹介する。

同パネルには、セキュリティ業界ではおなじみの存在であるラック代表取締役社長の三輪信雄氏、そしてアンチウイルスソフトベンダーを代表してトレンドマイクロの戦略企画室長を務める小屋晋吾氏、またユーザの立場から日本銀行金融研究所 情報技術研究センター長の岩下直行氏の3氏がパネリストとして登場、東京電機大学教授 佐々木良一氏の司会で、それぞれの立場から現在のネットワークセキュリティに関する諸問題を語った。

セキュリティ技術者不足は雇用側にも問題がある

まず三輪氏は、最近のインターネット上の攻撃傾向を解説した上で、実際の業務を執り行う現場としてのセキュリティ業界側とその準備段階としての教育側の需要と供給に関するミスマッチについて「セキュリティ業界を最初から志望して、それらの業務を行うつもりで勉強している新卒の学生はせいぜい100人に1人しかいない」「(ラックへの)入社を志望する学生を面接すると、昨年はYahoo! BBの個人情報漏洩事件がきっかけ、今年は価格.com事件や『ガイアの夜明け』(テレビ東京)を見て志望したという程度の学生が多く、きちんと知識や経験を持った人はほとんどいない」などと語った。

ただ、だからといって教育現場だけを責めるのも酷な話だと三輪氏は語る。同氏は「よく『セキュリティ業界は人材不足』といわれるが、それらの発言の多くは供給側からの発言であり、需要側を見るとセキュリティ関連企業で積極的に新卒者の雇用を行っているのはラックとあと2社ぐらいしかない」「セキュリティ業界には『優秀な人がいるとその会社には何も事件が起こらなくて、結果としてその人が不要になる』というパラドックスがあり、なかなか褒められることが少ないなど、消防士に近いものがある」などと述べ、「もっと需要側から技術者不足をアピールしないといけない」と主張した。

Botの亜種が大きく増加、それを防ぐためには?

続いて小屋氏は、最近のコンピュータウイルスの動向について「技術スキル向上や愉快犯といった、ウイルスの配布自体が目的だった時代から、最近はウイルスを金銭入手のための手段として利用するようになっている」と語った上で、特にその傾向を如実に示すものとして、いわゆるBotの増加を挙げた。

小屋氏は8月に同社に寄せられたウイルス被害件数報告を元に「最近のBotは亜種が非常に多く、中には1企業からしか発見されていないものも存在する」と語り、実は特定の企業をターゲットとしたBotが水面下でかなり広まっているのではないかとの危険性を指摘した。そこで同氏は「パッチについては適用することの副作用がよく指摘されるが、少なくともBotに狙われるのを防ぐためにはパッチを速やかに適用すべき」「Botは確かに亜種が多いものの、攻撃手法のバリエーションとなると実はそれほど多くはないため、いわゆるIPS(Intrusion Protection System＝侵入防止システム)でかなりBotの攻撃を防ぐことができるようになってきている」「企業においてもエンドポイントセキュリティとしてのパーソナルファイアウォールは有効」など、Botの感染を防ぐための様々な手法を紹介していた。

金融機関はもっとインターネットバンキングのセキュリティに気を使うべき

岩下氏は金融機関を指導する立場から、近年増加しつつある偽造キャッシュカードやキーロガーなどを用いたID・パスワード盗用、フィッシング詐欺などの諸問題について語り、「元々金融機関はレガシーシステム型産業であり、このような新しい攻撃へのリアルタイムな対応がなかなかできていない」と銀行らの対応の立ち遅れを指摘した。

岩下氏は、近年都市銀行を中心に導入が進みつつあるバイオメトリクス認証について「(指紋や静脈の偽造などに対し)まだ十分な評価がされているとは言いがたい」、現在インターネットバンキングでよく使われる乱数表方式について「あれはフィッシング詐欺等の手法が登場する以前に考えられた方式であり、本当なら『一度使用した番号は二度と使わない』とすべきなのに実際は同じ番号を再利用していることから、一部で『あれはビンゴカード方式だ』と揶揄されている」などと、それぞれの方法が問題を抱えていることを指摘。その上で岩下氏は、「金融機関の関係者はいわゆる勘定系システムを守ることにばかり頭が向いていて、インターネットバンキングのセキュリティを守ることへの関心が薄く、業界としての情報共有も進んでいない」と述べ、金融機関に対してより真剣な姿勢での対応を望んだ。