第1回インターネットセキュリティセミナー結果
1.日時
2000年01月29日(土)
2.愛媛県ネットワーク防犯協会会長挨拶
最近、毎日のように中央省庁のホームページがクラッカーに侵入される事件が続発しているところであるが、本県においてもこうしたクラッキングを懸念していたことからこのような防犯協会を設立するに至った。ただ、今回の論点はあくまでインターネットシステムのセキュリティ保全に関することであり、事件についての問議を行うものでないことを了承していただきたい。
3.警察庁技術対策課伊貝講師
国内の中央省庁へのクラッキング事件は現在対応中なので紹介することはできない。もう少し時期が後であれば紹介できたと思う。残念である。
全国的にハイテク犯罪捜査官を募集しているが、これは警察官が法学部等文系の大学出身が多いことから、的確に対応しきれていないためである。
全国的にハイテク犯罪捜査官を募集しているが、これは警察官が法学部等文系の大学出身が多いことから、的確に対応しきれていないためである。
| 質疑1: | スパムメールは不正アクセス禁止法の処罰対象となるか。 |
| 回 答: | スパムメールそのものは処罰の対象にならない。 |
| スパムメールを送信する過程で不正アクセスがなされたときに対象になるにとどまる。 | |
| 質疑2: | 当初から国外犯と断定できている場合はどこの機関が対応するのか。 |
| 回 答: | 第一次的には、当該都道府県が対応し、捜査の結果、国外犯と言うことが断定できれば、警察庁が捜査共助を通じて当該国に捜査要請する。 |
| 質疑3: | 他国に不正アクセス禁止法が無い場合は捜査共助要請できないのか。 |
| 回 答: | 現在、ほとんどの国で制定されているのでそのような問題は発生しないと思われる。 |
| 質 疑: | 管理者責任として、ログを残す義務が課せられるのか。 |
| 回 答: | ログを残す義務規定はない。 |
警察としては、サーバに残された記録、つまり、そこにあるものだけで証拠化を図るしかない。
4.徳島大学森井教授
危機管理意識は、それぞれの組織全体が持つべきである。幹部だけあるいは実働部隊員だけで意識をもっていてもだめである。
世界中の不正アクセス状況を紹介するサイトがあるが、最近日本が非常に多くなってきている。
電子メールは頻繁に盗まれているが、Httpよりむしろこの方が問題である。また、攻撃の手口は、メールサーバを停止させたり、パスワードクラックしたりと様々であるが、我が国における問題は、「被害を隠す傾向にある」ことと「被害に気付かないこと」である。
プロのクラッカーは証拠を残さないものである。真に懸念されるのはプロのクラッカーにやられることである。プロに防御されたサーバ内に侵入されて証拠を残さずして極秘情報などを盗まれた場合、当該官公庁や企業の事後的な被害は甚大であろう。
今後の、ネットワークセキュリティは、ケースバイケース、費用対効果で考えていくべきである。日本はややもすると欲張りすぎて何でも保護しようとする傾向や、反面、ずさんな管理を行う傾向にある。アメリカの国防総省のサーバは頻繁に侵入されているが、守らなければならないところはしっかりとガードされている。ということは、各サーバに対してランク付けを行っているのである。たいした情報がないサーバはわざと侵入させといて相手の出方を研究しているようである。
ファイアーウォールは万能ではない。ファイアーウォールは基本的にはプロトコルを通すかどうかの設定を行うものであるが、丁寧に管理・設定できていないと素抜けになる。我が国の官公庁・企業のファイアーウォールの設定はでたらめなものが多い。
最近の技術で侵入感知システム(IDS)があるが、もう少し積極的に導入していく必要がある。ファイアーウォールには結構穴があることを理解して運用することが重要である。日本におけるファイアーウォールは、導入後放置したままでその後の管理が充分に行われていないケースが多い。
クラッキングツールは、Web上で大量に出回っているが、興味本位で行う学生や若者からの侵入にはある程度防御できる。実はこれが90%以上を占めていると言っても過言ではない。問題はプロのクラッカーに狙われた場合であるが、これはほとんどあきらめるしかない。
セキュリティ対策の具体的ポイントであるが、まず、何をどのように守るか構成(セキュリティポリシー)を確立させるべきである。各OSやサービスはデフォルトではセキュリティはゼロである。これは、それぞれセキュリティを重点に開発しているわけではなく、まず接続できることを重点に開発しているからである。例えば、昨年NTTは、guestアカウントで侵入されて問題になったが、デフォルトユーザーを運用開始後は削除すると言うことは常識であるにもかかわらず、それをしていないのは初歩的なミスとしか言いようがない。ゴミ箱はクラッカーにとって宝である。各種設定ファイルのバックアップファイルの管理もきちんと行うべきである。(ややもするとサーバに残す。)自宅から公衆回線で接続できるような環境にしておくのも問題である。
サーバは守れば守るほど使いにくい環境になる。反面使いやすくするとセキュリティは落ちていく。そこで、バランスをどこにおくかセキュリティポリシーを確立させておく必要があるのである。ファイアーウォールの設定で運用開始当初は、メールだけは通す設定にしておいても不便なため次第に各ポートを開け、最後には全開にしたというケースが多いが、これではファイアーウォールの意味がない。
費用対効果の面でいうと、一円のものを守るのに100億円もかかったシステムでは本末転倒である。守るべきものと守らないものをはっきり区別させていくべきである。あまり表沙汰にならないが、マスコミや各市町村は結構やられている。よく読むと町長の挨拶文が変わっている。このようにわからないように改竄されたら対応が遅れる。(ましてや統計情報等が改竄されたらなおさらだ。)
プロのクラッカーは、いきなりroot権限を乗っ取ろうとはしない。まずは一般ユーザになりすまし、徐々に権限を拡大していくものである。
IDS(侵入検知システム)を最近研究しているが、これは端的に言うとログ解析をリアルタイムにやってくれるというものである。ログインユーザが権限の範囲内の行為を行っているかを常に点検し、不審な行動をがあれば管理者にセンサーやメールで知らせると同時に防御行為を積極的に行う。
通産省が中心となって暗号の評価を行おうとしているが、安全かどうかの判断は困難である。例えば、ある暗号はスパコンで100億年かかって解読でき、ある暗号は10億年で解読できるとする。では、10億年かかる暗号の方が強度がないかというとそうではない。10億年と言えば通常では絶対に無理というレベルであるから、解読にかかる年数だけを評価基準にするのはナンセンスである。結局のところ世間で認められているもの、つまり広く使われておりながら未だに破られていない暗号も評価していくべきである。少なくとも3年は世間にさらされ耐えているような暗号でなければならない。AES(次世代標準暗号)という構想があるが、昨年5月にアメリカ、イギリス、ベルギー、イスラエルなど5つに絞られた。日本の暗号は残念ながら候補から漏れた。DESは誕生以来20数年が経過し、現在解読可能であることから、そろそろ寿命である。
世界中の不正アクセス状況を紹介するサイトがあるが、最近日本が非常に多くなってきている。
電子メールは頻繁に盗まれているが、Httpよりむしろこの方が問題である。また、攻撃の手口は、メールサーバを停止させたり、パスワードクラックしたりと様々であるが、我が国における問題は、「被害を隠す傾向にある」ことと「被害に気付かないこと」である。
プロのクラッカーは証拠を残さないものである。真に懸念されるのはプロのクラッカーにやられることである。プロに防御されたサーバ内に侵入されて証拠を残さずして極秘情報などを盗まれた場合、当該官公庁や企業の事後的な被害は甚大であろう。
今後の、ネットワークセキュリティは、ケースバイケース、費用対効果で考えていくべきである。日本はややもすると欲張りすぎて何でも保護しようとする傾向や、反面、ずさんな管理を行う傾向にある。アメリカの国防総省のサーバは頻繁に侵入されているが、守らなければならないところはしっかりとガードされている。ということは、各サーバに対してランク付けを行っているのである。たいした情報がないサーバはわざと侵入させといて相手の出方を研究しているようである。
ファイアーウォールは万能ではない。ファイアーウォールは基本的にはプロトコルを通すかどうかの設定を行うものであるが、丁寧に管理・設定できていないと素抜けになる。我が国の官公庁・企業のファイアーウォールの設定はでたらめなものが多い。
最近の技術で侵入感知システム(IDS)があるが、もう少し積極的に導入していく必要がある。ファイアーウォールには結構穴があることを理解して運用することが重要である。日本におけるファイアーウォールは、導入後放置したままでその後の管理が充分に行われていないケースが多い。
クラッキングツールは、Web上で大量に出回っているが、興味本位で行う学生や若者からの侵入にはある程度防御できる。実はこれが90%以上を占めていると言っても過言ではない。問題はプロのクラッカーに狙われた場合であるが、これはほとんどあきらめるしかない。
セキュリティ対策の具体的ポイントであるが、まず、何をどのように守るか構成(セキュリティポリシー)を確立させるべきである。各OSやサービスはデフォルトではセキュリティはゼロである。これは、それぞれセキュリティを重点に開発しているわけではなく、まず接続できることを重点に開発しているからである。例えば、昨年NTTは、guestアカウントで侵入されて問題になったが、デフォルトユーザーを運用開始後は削除すると言うことは常識であるにもかかわらず、それをしていないのは初歩的なミスとしか言いようがない。ゴミ箱はクラッカーにとって宝である。各種設定ファイルのバックアップファイルの管理もきちんと行うべきである。(ややもするとサーバに残す。)自宅から公衆回線で接続できるような環境にしておくのも問題である。
サーバは守れば守るほど使いにくい環境になる。反面使いやすくするとセキュリティは落ちていく。そこで、バランスをどこにおくかセキュリティポリシーを確立させておく必要があるのである。ファイアーウォールの設定で運用開始当初は、メールだけは通す設定にしておいても不便なため次第に各ポートを開け、最後には全開にしたというケースが多いが、これではファイアーウォールの意味がない。
費用対効果の面でいうと、一円のものを守るのに100億円もかかったシステムでは本末転倒である。守るべきものと守らないものをはっきり区別させていくべきである。あまり表沙汰にならないが、マスコミや各市町村は結構やられている。よく読むと町長の挨拶文が変わっている。このようにわからないように改竄されたら対応が遅れる。(ましてや統計情報等が改竄されたらなおさらだ。)
プロのクラッカーは、いきなりroot権限を乗っ取ろうとはしない。まずは一般ユーザになりすまし、徐々に権限を拡大していくものである。
IDS(侵入検知システム)を最近研究しているが、これは端的に言うとログ解析をリアルタイムにやってくれるというものである。ログインユーザが権限の範囲内の行為を行っているかを常に点検し、不審な行動をがあれば管理者にセンサーやメールで知らせると同時に防御行為を積極的に行う。
通産省が中心となって暗号の評価を行おうとしているが、安全かどうかの判断は困難である。例えば、ある暗号はスパコンで100億年かかって解読でき、ある暗号は10億年で解読できるとする。では、10億年かかる暗号の方が強度がないかというとそうではない。10億年と言えば通常では絶対に無理というレベルであるから、解読にかかる年数だけを評価基準にするのはナンセンスである。結局のところ世間で認められているもの、つまり広く使われておりながら未だに破られていない暗号も評価していくべきである。少なくとも3年は世間にさらされ耐えているような暗号でなければならない。AES(次世代標準暗号)という構想があるが、昨年5月にアメリカ、イギリス、ベルギー、イスラエルなど5つに絞られた。日本の暗号は残念ながら候補から漏れた。DESは誕生以来20数年が経過し、現在解読可能であることから、そろそろ寿命である。
5.パネルディスカッション
(1) 松山大学田崎教授(愛媛県高度情報スーパーハイウェイ構想代表)
セキュリティポリシーを階層化すると
1)罪意識(憲法):倫理教養
2)指針・基準:規定、綱領
3)法的規制:罰則
4)物理的制約:アクセス制限
に分類されるが、教育者の立場からすると1)及び2)が最も重要ではないかと思う。
その要点は、1)重要性の認識、2)網羅的対策、3)継続的対応である。
(2) 愛媛大学和田助教授
学内ネットやSINET(学術情報ネットワーク)で実際にあった事例では、
1)電子メールの不正中継(SendMailのバージョンアップで対応)
2)ウィルスを混入された事案
3)ポートスキャンをされサーバに対する負荷が膨大となったこと
などがある。
問題は、1)管理者の不足、2)情報保護の困難性、3)倫理教育の困難性というところにある。
(3) 愛媛県警野本情報管理課長
一般ユーザがネットワーク上で留意すべき事項として
1)自分の身元が隠せることに注意
2)必ずしも善意の人ばかりではない
3)おいしい話にはたいてい裏がある。
4)自分の個人情報をまもる。(うかつにアンケートに答えない)
5)PCのセキュリティチェックを十分に行う
6)危ないサイトへのアクセスはリスクを伴う。
等があげられる。
事後対策としては、
1)被害にあったら管理者に連絡して被害の拡大を防ぐ
2)関連ホームページを印刷しておく。証拠が散逸しやすい
3)メールの保存と印刷を確実に行っておく
4)警察への相談
5)手がかりの情報はバックアップを行う。
等があげられる。
(4) (株)ヒューコム西日本支社 蔡 博信 氏
IDS製品を国内で初めて販売させていただいた。
実際にファイアーウォールだけでは侵入は防げない。
IDSはウィルスチェックのようにパターンを見つけ撃退するというものである。
セキュリティホールを見つけだすソフトも盛んに開発されるようになってきている。
また、擬似的にOSがダウンし攻撃を受けたように思わせるようなおとり作戦もある。
(5) 日本シスコシステムズ(株) 横川 典子 氏
岩手の不正侵入事案ではファイアーウォールがなかったことであった。
ただ、問題はまだまだ身内の犯行(90%)が多いということである。
経営者や管理者としては、「どこにどういう敵がいてどう侵入されるかわからない」という危機感が欲しい。
(6) その他質疑
セキュリティポリシーを階層化すると
1)罪意識(憲法):倫理教養
2)指針・基準:規定、綱領
3)法的規制:罰則
4)物理的制約:アクセス制限
に分類されるが、教育者の立場からすると1)及び2)が最も重要ではないかと思う。
その要点は、1)重要性の認識、2)網羅的対策、3)継続的対応である。
(2) 愛媛大学和田助教授
学内ネットやSINET(学術情報ネットワーク)で実際にあった事例では、
1)電子メールの不正中継(SendMailのバージョンアップで対応)
2)ウィルスを混入された事案
3)ポートスキャンをされサーバに対する負荷が膨大となったこと
などがある。
問題は、1)管理者の不足、2)情報保護の困難性、3)倫理教育の困難性というところにある。
(3) 愛媛県警野本情報管理課長
一般ユーザがネットワーク上で留意すべき事項として
1)自分の身元が隠せることに注意
2)必ずしも善意の人ばかりではない
3)おいしい話にはたいてい裏がある。
4)自分の個人情報をまもる。(うかつにアンケートに答えない)
5)PCのセキュリティチェックを十分に行う
6)危ないサイトへのアクセスはリスクを伴う。
等があげられる。
事後対策としては、
1)被害にあったら管理者に連絡して被害の拡大を防ぐ
2)関連ホームページを印刷しておく。証拠が散逸しやすい
3)メールの保存と印刷を確実に行っておく
4)警察への相談
5)手がかりの情報はバックアップを行う。
等があげられる。
(4) (株)ヒューコム西日本支社 蔡 博信 氏
IDS製品を国内で初めて販売させていただいた。
実際にファイアーウォールだけでは侵入は防げない。
IDSはウィルスチェックのようにパターンを見つけ撃退するというものである。
セキュリティホールを見つけだすソフトも盛んに開発されるようになってきている。
また、擬似的にOSがダウンし攻撃を受けたように思わせるようなおとり作戦もある。
(5) 日本シスコシステムズ(株) 横川 典子 氏
岩手の不正侵入事案ではファイアーウォールがなかったことであった。
ただ、問題はまだまだ身内の犯行(90%)が多いということである。
経営者や管理者としては、「どこにどういう敵がいてどう侵入されるかわからない」という危機感が欲しい。
(6) その他質疑
| 質疑: | 不正アクセス禁止法にでのID、パスワードを教示した者の責任の所在 |
| 回答: | 故意がなければ責任は問えないと思われる。 |
| 質疑: | 日本は管理者責任(侵入された側)が曖昧である。もっとプロバイダの責任を明確にすべきではないか。(中国人からの質疑) |
| 回答: | プロバイダは、マンションで言うならば大家さんである。 |
| 日本では、住人が物を盗まれたからと言って即刻大家さんの責任を問うような慣習はない。 | |
| もし、責任を問うとすれば、その情を知っているか否かで決まると思う。 |