京都インターネット利用研究会9月例会報告
開催日 平成12年9月13日 15時15分から16時45分
開催場所 京都リサーチパーク
インターネットのセキュリティ対策
情報技術開発(株)京都ネットワーク技術研究所 力武健次
氏
「プライバシー管理基準」と「電子認証」
情報管理を考える上で、不正アクセス禁止法と同様に重要な基準として、通産
省が策定した「プライバシー管理基準(プライバシーマーク)」があります。こ
れは、業務上取引をしている顧客の個人情報や、相手企業の機密情報などを明か
さないということです。当然ながら、取引相手にも同じルールを守らせる必要が
あります。
今後プライバシーマークの認定を受けることはビジネスを進める上で
大事になります。例えばEU(ヨーロッパ連合)などでは「EU指令」(EU加盟国への
行政遵守事項)として、 EU加盟国の企業はEUと同等のプライバシー規定を守れな
い国とは取引してはいけないという指令を各加盟国政府に通達しています。
ネットワークの利点は情報の共有にあります。しかし、無制限に共有すること
は危険です。例えば、人事部の情報は外部ネットワークに出さないなど、だれが
何を共有できるのかという線引きをきっちりとすることが大切です。インターネッ
トは道路にたとえると公道と同じです。インターネットの回線に対しては関所
(ファイアウォール)が必要であると考えてください。通常のダイアルアップ接続
でも、ファイアウォールなしでは関所を設けたことにはなりません。
また、最近話題になっている「電子認証」は、個人の認証情報について公開の
証明書を添付して相手に渡す方法です。これには公開鍵暗号、つまり暗号化の鍵
と解読の鍵が別々になっている暗号を使います。この方法で個人認証を行えば、
自分の秘密情報を漏らさずに通信ができます。いまwebの電子商取引で使われて
いるSSLという方法では、この電子認証の仕組みが使えるようになっています。
多様化・複雑化する不正アクセス
不正アクセスとは、基本的にはこちらがアクセス許可した以外の情報にアクセ
スする行為すべてを含みます。具体的には、他人の通信内容を盗聴、あるいは傍
受してその内容を第3者に漏らす、あるいはそれを書き換えてあたかも自分が当
事者になったかのように「なりすます」ことで、他人に被害を与える行為です。
では、不正アクセスの具体例はどのようなものかというと、一番多いのがwww
サーバーから情報を盗まれたり改ざんされる事例です。今年、科学技術庁がwww
サーバーの内容を書き換えられるという事件があったのは記憶に新しいところで
す。こういったことは企業でも頻繁に起こっていて、ある日突然、その企業の
webサーバーのwwwページが書換えられていたという嘘のようなことも現実に起こっ
ています。
他の具体例として、電子メールの不正中継もあります。日本の場合、メールサー
バーの防護が不完全で、第3者から第3者へ中継できるようになっているところが
多いのです。電子メールでDMなどを送付する際は、このような無防備なサーバー
をを経由して、虚偽のアドレスを使い自分の身元を隠します。また、無意味なメー
ルを大量に送りつけ、相手のメールサーバーをパンクさせるということが多々発
生しています。
その他の具体例として、DNS(ドメイン名システム)サーバーのなりすましが
あります。これは、あるドメイン名とまったく同じドメイン名を名乗るサーバー
をつくって、メールなどのアクセスをそちらに誘い込むというような方法です。
今後直接不正侵入は行わずに、他人の運用を邪魔することによって結果的に経済
的利益を得ようとする試みが、今後ますます増えてくるでしょう。
他人の運用を邪魔する直接的な方法として最近増えているのが、「サービス拒
否攻撃」と呼ばれるものです。俗に「そば屋の出前攻撃」などといったりします
が、「頼みもしないそばを関係のない第3者に向けて大量に注文する」という行
為に良く似た悪質ないたずらです。具体的には、特定の組織に向かって内容のな
いメールやパケットを大量に投げかけることによって、相手のコンピュータの機
能をすべて麻痺させるのです。最近でも、『Yahoo!』や『amazon.com』など有名
な電子商取引サイトが、このサービス拒否攻撃に遭い運用不能になり大混乱した
こともあります。
問題なのは、こうした事例は侵入ではないので、不正アクセス行為禁止法の範
疇に問えるかどうか定かでないということです。攻撃によって被害を受ける原因
は、基本的にシステム管理の甘さにあります。法律に頼るのではなく、まず自己
防衛の措置をしっかりと講じておくことが大切です。
必要なアクセスのみ許可し、裏口をつくらないこと
では、不正アクセスに対する防御にはどのような方法があるのでしょうか。
まず最初に、社内ネットワークの範囲を決めることが重要です。つまり、外部への
出口をなるべく少なくした上で、ファイアウォールなどの関所を設置して、情報
の入退室管理を行うということです。具体的方法として、ドメイン名やIPアドレ
スで区別をつけ、「ポート番号」を制限するという方法があります。ポート番号
はプロトコルの種類を示します。wwwだとTCPの80番という番号を持っています。
電子メール(SMTP)ではTCPの25番です。たとえば、TCPの110番(POP)はダメだとあ
らかじめ中継用ルータに記憶させておけば、外部からPOPでのアクセスはできな
いのです。このように、簡単なルールを組み合わせていくことにより、必要な通
信内容を選別できるようになります。
次に、絶対に裏口をつくらないということが大事です。裏口は簡単につくれま
す。たとえば社内のパソコンの中にひとつでもダイアルアップ端末があれば、そ
れが裏口となって外部との通信が可能になってしまいます。最近では、モバイル
端末から社内情報が漏れてしまうケースが多くなっています。モバイル端末を使っ
たインターネットアクセスを社内からは禁止するなど、就業規則の一部として明
確な規定を設けることも必要になるでしょう。裏口厳禁というのは、ファイアウォー
ルを使ったセキュリティ対策の基本です。
そして、不正アクセスに対する防御で最も大切なことは、必要なアクセスだけ
を許可することです。一般企業の場合、電子メールとweb程度の許可にとどめて
おき、社内メールを絶対に社外に出さず、外部からのアクセスは最低限にするな
どのルールを徹底することです。できれば、社外公開用のwebサーバーは分離し
ておくのが理想的です。社外公開用のサーバー上に社内の重要機密が乗っていた
りすると、不正に侵入された瞬間、機密情報をごっそり持っていかれる可能性も
あります。社外公開用webサーバーの運用には費用も手間もかかるので、社外の
プロバイダーに運営を委託するのもひとつの方法です。
結論: まず社内のアクセス管理から
自分のコンピュータが不正アクセスに利用されないためには、メールサーバー
が踏み台にならないように、第3者の通信を中継しないこと。また、外部への発
信はIPアドレスで、そして外部からの着信はドメイン名で規制するなど必要最小
限の対策を講じておくことが必要です。不正アクセスに対する防御策は技術的に
完璧ではないため、常に新しい情報を収集することも必要です。最も大切なこと
は、こうした不正アクセスはいつ起こるか分からないという意識を持ち、社員一
人ひとりが社内教育や研修などを通じて危機管理への理解を深めておくというこ
とでしょう。
開催日 平成12年9月13日 13時30分から15時
開催場所 京都リサーチパーク
講演
「不正アクセス行為の禁止等に関する法律」の解説
講師/矢部善朗 弁護士
ネットワーク上の住居侵入行為を禁止
「不正アクセス行為の禁止等に関する法律」は、平成11年8月に可決・公布され、
今年2月13日から施行されました。不正アクセス行為とみなされると、1年以下の懲役
または50万円以下の罰金が課せられることになります。例えば、みなさんの職場の中
にあるコンピュータを用いて不正アクセス行為が行われた場合、警察による捜索がそ
の事務所やそのコンピュータに入ることを意味しているわけです。その反面、刑罰法
規である以上、法律解釈が厳格になされなければならないため、かなり難しい法律と
なっています。
不正アクセス行為とは、ネットワークコンピュータの世界における住居侵入行為だと
理解すれば分かりやすいでしょう。住居侵入罪というのは、他人の家に承諾なしに勝手
に入るような行為を指しますが、窃盗行為に及ぶ以前であったとしても犯罪は成立します。
ネットワークの世界においても、パスワードでガードされている範囲を超えて、目的の
フォルダディレクトリに対してアクセス可能な状態にあれば、それで不正アクセス禁止法
の既遂に達します。データの流出や破損などの実害発生は必要要件ではありません。
ちなみに、不正アクセス行為によりそのコンピュータのデータを破壊した場合は、刑
法234条の2の規定により「電子計算機等損壊業務妨害罪」に問われます。当該コンピュータ
のデータを破壊したり改ざんしたりして実際の業務を妨害した者は、5年以下の懲役、
もしくは100万円以下の罰金が課せられることになっています。
不正アクセス禁止法の対象ですが、コンピュータが2台以上あり、それが電気回線通信で
つながれてデータ交換できる状況にあることが必要です。ネットワーク化されていないスタ
ンドアロンのコンピュータは当該法律の対象にならないので注意してください。
情報管理に責任と権限のあるアクセス管理者
第2条では、「アクセス管理者とは電気通信回線に接続している電子計算機―簡単にいうと
ネットワークコンピュータ―につき、当該特定電子計算機の動作を管理する者をいう」と
規定されています。この「動作を管理する者」とは、「情報を管理する者」と解釈していいと
思います。ネットワークを構築している企業では、実際のところ社長さんなどはあまりコン
ピュータに詳しくないので、だれか知識のある社員がLANを構築することが多いようです。
その場合、その社員が会社のすべてのコンピュータのパスワードを管理したり、すべての
データにアクセスできる権限を獲得するわけですが、では会社のコンピュータを任された人
間がアクセス管理者なのかというとそうではありません。あくまでも情報管理に対する責任と
権限のある人、社長や店主、理事長、部署に分かれている会社であれば部内における情報管理
責任者ということになります。
社内などで不正を防止する場合、明らかに権限外のデータに対するアクセスだということが
明確にならないと警察は捜査に着手できませんので、不正アクセス禁止法を使って保護を受け
ようとすれば、自らのデータ管理の範囲をきちっと明確にしておくことが大前提です。
第2条にはパスワード、―法律では「識別符号」という言葉を使っていますが―の規定もな
されています。権限を与えられた者か、そうでない者かを区別するための情報すべてを識別符号
といい、その典型といえるのがキーボードから入力される英数字記号であるパスワードです。
ほかにもインターネットで商品を買うときにクレジットカードのナンバーを入力しますが、こ
れもクレジットカードの決済システムに対するパスワードといえるでしょう。
助長行為の禁止で社内の不正アクセスを抑制
第3条には「何人も、不正アクセス行為をしてはならない」と規定されています。不正アクセ
スの方法としては、正規に発行されたパスワードの不正取得を行って、許可されていないデータ
にアクセスするパターンと、例えば玄関の横に置いてある鍵を失敬して他人の家に入る場合や
セキュリティーホールを突破するという2つのパターンがあります。要するにシステム上の脆弱な
点をついて行う不正アクセスパターンです。本来これはシステム側の問題ですが、現状ではセキュ
リティホールを完全に排除することが困難であるという前提に立って、それを利用した不正アクセ
ス行為は許さないと明言しているわけです。
第4条にあるのが、「不正アクセス行為を助長する行為の禁止」、つまり自ら不正アクセスをし
ないけれど他人の不正アクセス行為を援助する行為のことです。具体的にいうと、会社のコンピュータ
のデータを見てみたいと言っている人間に対して、アクセス制御機能に関するパスワードを教えた
りする行為は、不正アクセスを助長する行為ということで処罰の対象になります。パスワードを不
正入手する代表的なパターンは、いわゆる内部犯行によるものが大きな割合を占めることから、
特にこの条項を規定しているわけです。自分のパスワードはしっかり管理しなさいよという注意喚起
が込められているのだと思います。ちなみに助長罪というのは、特定の部屋に入る鍵を渡された人が、
勝手に合い鍵を作って他人に渡してしまう行為と同じだと理解していただければ分かりやすいでしょう。
アクセスの権限の範囲を明確に
このように不正アクセス行為にはいろいろとありますが、それぞれに例外規定が設けられています。
第3条については、「当該アクセス制御機能を付加したアクセス管理者がする行為及び当該アクセス
管理者または当該識別符号に係る利用権者の承諾を得てする者を除く」と規定されています。つまり、
アクセス管理者の授権範囲でパスワードを他人に使用させたりする場合、もしくは範囲を限定してパ
スワードの使用を認める場合などは不正アクセス行為とはいわないというわけです。
例えばセキュリティーホールを突破する不正行為でも、自社コンピュータのセキュリティがどの程度
強力であるかを試すために、ハッキング技術に長けた第3者に依頼して侵入させた場合などは不正
アクセス行為ではありません。この場合の不正アクセス行為とは、アクセス管理者の意思に反するか
どうかに帰着します。つまり、不正アクセス禁止法の適用要件は故意犯であることが前提ですので、
本人が許されたアクセスだと思っていた場合などは故意がないと見なされ、罪に問われない可能性が
出てくるわけです。アクセス管理者としてはどういう範囲の人にパスワードを付与するかを明確にして
おかなければいけません。また、第3者にパスワードの使用許可を行う場合があるとしても、限定的な
範囲でしか許可しないというような社内規定を設けるなど、社内のすみずみまで周知徹底しておくこと
が必要だと思います。
フロンティア時代に対応した自己防衛を
さて、インターネットの世界は、いわば西部劇のフロンティア時代のような無法地帯といえます。住居
侵入の例を見ても、1つの鍵よりは2つの鍵をかけた方が犯罪の確率がグンと減ることから、まずは
自己防衛、自分のデータは自分で守るという姿勢が肝要です。そして、アクセス管理者、つまり情報に
対して責任を持っている方の意識の向上、さらに権限の範囲を明確にするということ。それを周知徹底
することが不正アクセス禁止法を実効あらしめる大きな要素になってくると思います。