週間情報通信ニュースインデックスno.508 2005/06/04

1.「05年度は1000万台のLinux搭載3G携帯を出荷する」、NTTドコモ 照沼和明氏(6.4 ITPRO)
「2005年度のLinux搭載3G携帯の出荷は1000万台近くになる」――NTTドコモ移動機開発部ソフトプラットフォーム開発無線技術開発担当部長 照沼和明氏は6月3日、LinuxWorld Expo/Tokyo 2005の「3G携帯端末へのLinuxプラットフォームの適用」と題する講演でこう予測した。

「『おサイフケータイ』など携帯電話はITインフラへと進化している」(照沼氏)。それに伴い、搭載ソフトウエア規模は、5年で15倍になった。基幹系サーバー・システムに匹敵する規模である。これまでは携帯電話機メーカーごとにOSをメンテナンスし、独自システムを構築してきたが、それが限界に近づいてきた。

2.若年1人暮らしでも「毎日自宅で夕食」が4割、味の素調査(6.3 日経レストラン)
外食比率が高いと思われている都市圏の1人暮らしの若者だが、外食に依存している比率は、予想外に低いようだ。
味の素がこのほど発表した「若年一人暮らしの食生活」調査によると、20?39歳の単身生活者で「ほとんど毎日自宅で夕食をとる」との回答は、約4割に上った(男性34%、女性45%)。また、「週3−4回自宅でとる」との回答は、男性31%、女性35%。両者を合わせると、7割強が、夕食の大半を自宅でとっている計算になる。

なお、夕食の用意の方法については、「自分で料理したものと市販のもの(おにぎり、コロッケなど)を組み合わせる」との回答が男性48%、女性58%で最も高かった(複数回答)。また、1999年に行った調査と比べて大きく比率が上がったのが、「冷凍食品やレトルト食品、カップ麺などを作る」(男性 41%、女性36%)。調理の簡便さや安上がりで済むこと、そうした食品の質の向上などが背景にありそうだ。

同調査では併せて、よく使う食品などについても尋ねているが、男性に比べて女性の使う比率が大きく上回ったのが、「スパゲティ」「納豆」「ヨーグルト」の3品。「納豆」「ヨーグルト」については、健康志向の表れだと考えられる。一方、男性の使用比率の方が高かったのは、「カップ麺」「レトルトカレー」などの、“緊急避難食”系の簡便食品。一方、調味料に関しては、男性が女性の使用比率を上回ったのは「ソース」のみ。食や味に対する考え方や嗜好の男女差が見て取れる。

3.セキュリティ要件を“可視化”する(6.1 nikkeibp.jp)
セキュアなシステムを構築することは、企業における業務遂行の“要”です。 セキュアな開発環境の下で、セキュリティの訓練を受けた開発メンバーが、安全で使い勝手のよいシステムを開発すること。 それは、今の企業が事業の継続性を維持していくためには必須の課題です。

セキュリティポリシーは“方針・基準”、それを“具体化”することが重要

そもそもセキュリティポリシーというのは組織全体の方針であるため、個々の対象について事細かに書かれていることはまれです。そうした方針・基準と、システムを構築するといった具体的な作業との間には大きなギャップが存在します。多くの企業のシステム構築担当者はここで立ち往生してしまうのです。

企業のセキュリティ担当者がまず取り組まなければならないのは、このギャップを埋めること。つまり、自社のセキュリティポリシーを基にして、何をどのレベルでなすべきかという、セキュリティポリシーの「具体化」です。

この際、単に「法的に義務づけられていることだけ守ればよい」という受け身の姿勢では、真にセキュアなシステムを構築することはできません。繰り返しになりますが、「こんな取り組み方をしていきましょう」という方針は存在しても、「具体的にこういうシステムを作りなさい」という指示書、レシピは存在しません。

セキュアなシステム構築の第一歩は、セキュリティポリシーを「具体化」することであり、これはすなわち、各システムに対するセキュリティ要件を「可視化」していくことなのです。

「セキュリティポリシーの具体化」とは、何をどうすればよいのでしょうか。

簡単に言えば、セキュリティの視点からシステムの「要件定義書」を作成することです。セキュリティポリシーの中で示された「自社にとってあるべきセキュリティの姿」を実現するためには、どのような機能を持ったシステムが、社内(社外)のどの部分に必要なのかという全体像を視覚的にマッピングする必要があります。

マッピングでは、最初に、「組織的な対策」「人的な対策」「物理的な対策」「技術的な対策」という、セキュリティ対策の基本となる4つの視点から現状を眺めて、自社のセキュリティを支える仕組みが現状どうなっているのか洗い出し、グルーピングしていきます。

マッピングの対象となるのは情報システムだけではありません。人の入退室や記録媒体の管理方法、データへのアクセス権限、さらに万が一漏えいが発覚した場合の行動フローなどが事細かに書き出されていくはずです。

加えて、災害や犯罪、人的ミスといった「脅威の種類」、コンプライアンスなどの「組織方針」、事業の特性などから導かれる「前提条件」、システムの機能に関する「要求事項」といった、システム構築にかかわる様々な条件や要望を重ね合わせて、それぞれの項目がどの情報システムに結びついているのかを示します。

例えば、不正や犯罪といった「脅威」については、物理的と技術的な二種類の対策を講じており、物理的対策としてはサーバーをIDC(インターネットデータセンター)に置き、技術的対策としてはデータに対するアクセス制御を行っている、といった具合です。そのシステムを担当しているエンジニアの頭にだけ入っていることをすべて、セキュリティの観点からテーブルの上に並べてみるわけです。

このように、状況を図式化することによって、自社のセキュリティを形作っているシステムや仕組みの全体像を一覧できるようになります。

4.「企業セキュリティ,心配なのは社外からの攻撃よりも社員の無知と失敗」,米調査(6.1 ITPRO)
米VanDyke Softwareは米国時間5月24日,企業のセキュリティに関する調査結果を発表した。ネットワーク/システム担当者(管理者および責任者)のうち 43%は「夜は安心してぐっすりと眠れる」と答えたが,残りの回答者は,「ネットワークのセキュリティ侵害」「復旧プラン」「新たなウイルスおよびワーム」が気になって眠れないという。こうしたネットワーク/システム担当者は,社外からの脅威よりも,社内の従業員の無知やエラーから発生する脆弱性を案じている。

調査は,VanDyke Software社が委託した米Amplitude Researchが,4月26?30日にかけて,企業のネットワーク/システム担当者280人にアンケートを行ったもの。

 ネットワーク/システム担当者は,社内のデスクトップ・パソコン,リモート・アクセス,データ・センター/サーバー・ファームなどの領域のセキュリティに満足しており,特にデータ・センター/サーバー・ファームの満足度は70%強にのぼる。

 情報セキュリティ問題の対応では,88%が社内のスタッフおよびリソースを活用し,10%が社内スタッフの補佐にセキュリティ・コンサルタントを採用している。また2%がマネージド・サービス・プロバイダまたはコンサルティング企業にアウトソーシングしている。

 社内ユーザーに対する最も大きな懸念事項としては,「会社のセキュリティ・ポリシーの非順守」(40%),「トレーニング期間および予算の不足」(28%)などが挙がった。

 従業員のインターネット利用の監視については,社員250−5000人の企業に勤務するネットワーク管理者の50%以上が「ある程度満足している」「非常に満足している」と答えたのに対し,社員2万人以上の企業では,同様の回答が37%にとどまった。

5.「当社が不正アクセスの手口を公開しない理由」、カカクコムの穐田CEO(6.2 日経コミュニケーション)
5月14日から10日間、不正アクセスを受けてサイト「価格.com」を閉鎖していたカカクコム。5月24日にセキュリティ対策を終えた一部のサイトを再開した。だが同社の不正アクセス対応を巡っては、侵入手口を公開すべきと指摘する声も少なくない。今回の対応の真意について、穐田誉輝・代表取締役 CEO(最高経営責任者)に聞いた。

――不正アクセスが発覚した5月11日時点で、なぜ即座にサイトを閉鎖しなかったのか。

今から振り返れば、そうすべきだったと思う。だが当時は、何が原因か特定できないままサイトを閉鎖することは、多くのユーザーや出店者に迷惑をかけてしまうと考えていた。それよりは、サイトを運営しながら理由を突き止めて対策を打つのがよいと判断した。それが発覚してから3日間、サイトを閉鎖しなかった背景にある。
 

11日に不正アクセスを受けた時点では、被害の実態が把握できなかったため、社内プログラマーが改ざんされたサイトを修正して対応した。攻撃の間隔も開いており、単なるいたずらの可能性もあったため、どの程度被害がおよぶものか想像がつかなかった。
 

当社のサイトを閲覧したユーザーがウイルスに感染するという指摘についても、当初はウイルス対策ソフト会社に問い合わせても判明しなかった。今となってみれば、即座に閉鎖すべきだったと思う。だが当時は分からなかったのが本音だ。
 

「なんだか危ないからサイトを閉鎖しよう」と言うのは簡単。だが、多くのユーザーや当社で店舗を運営している会社を考えると、おいそれとサイトを閉鎖するのは難しかった。さらに、すぐに閉鎖すれば、不正アクセスの犯人を調子づかせてしまうことにもなる。ただ、結果としては裏目に出てしまった点は否めない。
 
 

ホームページへ