章 1章. セキュリティ概要

企業経営を支援し企業内各自の個人情報を記録する、 強力にネットワーク化されたコンピュータへの信頼度が高まったため、 企業体はネットワークとコンピュータセキュリティの実施を構成するようになってきました。 企業はシステムや適合ソリューションを正しく監査し、 企業の運営に必要とされる条件に合うようセキュリティ専門知識と技能を求めています。 従事者が会社または組織のITリソースにローカルにも遠隔的にもアクセスするので、 ほとんどの企業や団体は事実上、動的な運営となります。これが理由で、 安全なコンピュータ環境のニーズはより顕著になってきています。

しかし、ほとんどの企業や団体(個人ユーザーも含めて)は、セキュリティを補足的なものと考えており、機能、生産性、予算関連の向上の方ばかりに目をとらわれがちです。適切なセキュリティの実施は事後検討(許可のない侵入が発生してしまった後)で行われています。セキュリティの専門家の一致した意見として、ほとんどの侵入試行を遮断する効果的な方法は、インターネットなどの信頼できないネットワークへ接続する前に適切な手段を講じることであると言われています。

1.1. コンピュータセキュリティとは

コンピュータセキュリティとは一般的な用語で、 コンピュータ操作や情報処理の幅広いエリアに及んでいます。 日常業務や重要な情報へのアクセスなどの管理を コンピュータシステムやネットワークに依存している企業体は、企業データを総体的資産の重要な部分であると考えています。 TCO(Total Cost of Ownership)、QoS(Quality of Service)など、いくつかの用語や基準が日常的なビジネス用語として用いられるようになってきました。こうした基準で、企業はデータの健全性や有用性などの側面をプランニングとプロセス管理コストの一部として算出します。電子商取引などの企業では、データの有用性と信頼性が成否につながることもあります。

1.1.1. コンピュータセキュリティの成立ち

多くの読者の方が、 Matthew Broderick 主演の高校生がアメリカ国防総省のスーパーコンピュータに入り込み、 偶然にも核兵器戦争を起こしそうになってしまう"Wargames"という映画を憶えていると思います。 この映画で、 Broderick はモデムを使ってアメリカ国防総省のコンピュータ(WOPRと呼ばれる)にダイアルし、 核ミサイルのサイロをすべて管理する人工知能ソフトウェアでゲーム遊びをしてしまいます。 映画は旧ソ連と米国間の"冷戦"時代に公開され、 1983年の劇場用公開で成功を収めたと考えられています。 この映画の人気は多くの人々やグループに影響を与え、 この映画の若い主役が機密システムにクラックするのに使用した手段を実際に試みるようになりました。 この手段のうちの1つがwar dialingとして知られているものです — 限定した地域コードとプレフィックスの組み合わせでアナログモデム接続の電話番号を検索する手段です。

10年以上後、連邦捜査局(FBI)が関与する複数の司法関連の追究と、全国に渡る複数のコンピュータプロの援助により、4年がかりで悪名の高いコンピュータクラッカー、Kevin Mitnick は逮捕され25件のコンピュータ及びアクセスデバイス詐欺で起訴されました。Nokia、NEC、Sun Microsystems、Novell、Fujitsu、Motorola などの知的財産及びソースコードの損害は推定 8千万USドルに上る被害額になりました。当時、FBIではこれを米国史上で最大のコンピュータ関連犯罪となるだろうとみなしていました。有罪判決が下り、Kevin Mitnick は合計68か月の実刑を宣告され、2000年1月21日に仮釈放となるまで60か月を服役しました。さらに、Mitnick はコンピュータの使用及びコンピュータ関連のいかなるコンサルティング行為も2003年まで禁じられました。Kevin Mitnick は社会工学(人を使い偽造証明でパスワードを取得したりシステムへアクセスする)の専門家であったと捜査官は述べています。

情報セキュリティは、個人情報、ファイナンシャル情報、その他機密情報を開示するパブリックネットワークへの依存性が増大するにつれ何年にも渡って発展してきました。Mitnick 事件や Vladamir Levin 事件(詳細は項1.1.2を参照)など多くの事例があり、こうした事例が起こる度、あらゆる分野の企業は情報の伝送と開示の取扱い方を再考させられることになりました。インターネットの普及は、データの安全性における一層の努力を喚起させる最も重要な発展のひとつでした。

パーソナルコンピュータを使って インターネットが供給するリソースにアクセスする人は絶えず増え続けています。 電子メールや電子商取引に対する調査や情報取り出しから、 インターネットは20世紀で最も重要な発達としてみなされてきています。

しかしながら、インターネットとその初期プロトコールは、信頼ベースのシステムとして開発されました。つまり、インターネットプロトコールはそれ自体が安全には設計されていなかったということです。TCP/IP 通信スタックに組み込まれた認可セキュリティスタンダードがなく、ネットワーク全体に渡り悪意のあるユーザーやプロセスに対して無防備の状態になっています。近年の発達によりインターネット通信はより安全になってきましたが、まだ全米の注意を集めるような事件はいくつかあり、完璧な安全はあり得ないという事実を警告しています。

1.1.2. コンピュータセキュリティの歴史

コンピュータセキュリティの起原と興隆に寄与した重要な出来事がいくつかあります。以下に、コンピュータと情報セキュリティ、その今日における重要性などに対して影響をおよぼした重要な出来事や事件を歴史順にいくつかあげておきます。

1.1.2.1. 1930年代と1940年代

  • 1918年、ポーランド人の暗号専門家がエニグマ暗号機を発明しました。電子機械式のロータ暗号デバイスでプレーンテキストのメッセージを暗号メッセージに変換します。本来は銀行業務通信の安全化という目的で開発されましたが、ドイツ軍によって第二次世界大戦中、通信の安全化という可能性が見いだされました。優秀な数学者、Alan Turing によりエニグマのコード解読が成功し、連合軍の勝利に大いに寄与することとなり、終戦を 1年早めたとも言われています。

1.1.2.2. 1960年代

  • マサチューセッツ工科大学 (MIT) の学生により Tech Model Railroad Club (TMRC) が構成され、学内の PDP-1 メインフレームコンピュータシステムの探究、プログラミングが開始されます。今日よく知られる"ハッカー"という用語はこのグループによって生み出されます。

  • アメリカ国防総省が Advanced Research Projects Agency Network (ARPANet)を開発します。これは、データと情報の電子的な交流のパイプとして研究/学術サークルで支持を得ます。これが今日インターネットとして知られるキャリアネットワーク創作の道を開きます。

  • Ken Thompson が UNIX オペレーティングシステムを開発し、最も"ハッカーフレンドリーな" OS として広く歓迎されました。その理由は、この OS が持つ利用しやすい開発者ツールとコンパイラーであり、また、その支えとなるユーザーコミュニティの存在です。ほぼ同時期に、Dennis Ritchie は Cプログラム言語を開発します。これは恐らくコンピュータ史上で最もポピュラーなハッキング言語でしょう。

1.1.2.3. 1970年代

  • 行政機関及び企業向けコンピュータリサーチ・開発のコントラクターである Bolt、Beranek、及び Newman が、ARPANet のパブリックエクステンションとなる、Telnet プロトコルを開発します。これにより、かつては行政機関のコントラクターや学術研究者に限られていたデータネットワークの使用が公開されることになります。しかし、Telnet も論証上、公共ネットワークには最も不安定なプロトコールであるとするセキュリティリサーチャーもいます。

  • Steve Jobs と Steve Wozniak が Apple コンピュータを創立し、パーソナルコンピュータ(PC)の市場化を開始します。 PC は、幾人かの悪意あるユーザーがアナログモデムと war dialer などの共通 PC 通信ハードウェアを使用して遠隔的にシステムをクラッキングする技巧を学ぶ足がかりとなります。

  • Jim Ellis と Tom Truscott が USENET を考案します。これは、さまざまなユーザー間で電子的な通信ができる掲示板スタイルのシステムです。USENET は瞬く間にコンピューティング、ネットワーキング、 そしてクラッキングまでものアイデアを交換する最もポピュラーなフォーラムのひとつとなります。

1.1.2.4. 1980年代

  • IBM が Intel 8086 マイクロプロセッサに基づく、比較的廉価なアーキテクチャの PC を開発、市場化します。 これにより、オフィスから一般家庭までコンピュータ化がもたらされました。 また、PC を庶民的で利用しやすいツールとして商品化するのに貢献します。 庶民的で利用しやすいツールとは、適当にパワフルで使いやすく、 悪意のあるユーザーの自宅やオフィスにあるハードウェアの激増を促進するものでした。

  • Vint Cerf によって開発された Transmission Control Protocol は、 2つに分離した独立パーツになっています。インターネットプロトコールはこの分離から誕生し、混合の TCP/IP プロトコールは今日のインターネット通信すべての標準となります。

  • フリーキング、電話システムの調査・ハッキングなどの分野における開発を基にして、2600: The Hacker Quarterlyマガジンが出版され、幅広い読者に向けてコンピュータやコンピュータネットワークのクラッキングなどのトピックの解説が開始されます。

  • 414 ギャング(犯人が居住し、ハッキング行為を行なっていた地域コードにちなんで名付けられる)が、 9日間にわたるクラッキング騒動の果てに当局によって踏み込まれます。 414 ギャングは、ロス・アラモス国立研究所、核兵器研究施設など最高機密扱いの場所などの システムに不正侵入していました。

  • 先駆的クラッカーグループであった Legion of Doom と Chaos Computer Club が、 コンピュータや電子データネットワークの脆弱性に不正アクセスを開始します。

  • The Computer Fraud and Abuse Act of 1986 が Captain Zap としても知られる Ian Murphy の不正アクセスに応じて議会で可決されます。Ian Murphy は軍部のコンピュータに侵入、会社製品発注のデータベースから情報を盗み、 行政機関専用の電話交換台を利用して回線を使用していました。

  • Computer Fraud and Abuse Act に基づき、裁判所は大学院生の Robert Morris を インターネットに接続していた6000台を超える コンピュータに対してモリスワームをまき散らした罪で有罪判決を下します。この法令に基づき判決が下った次の有名な事例は、高校中途退学の Herbert Zinn で、AT&T 及びアメリカ国防総省の所有するシステムに対するハッキング行為と不正使用でした。

  • モリスワーム裁判のような事例がくり返されることを懸念し、 コンピュータユーザーにネットワークセキュリティ問題について警告するために CERT(Computer Emergency Response Team)が考案されました。

  • Clifford Stoll が The Cuckoo's Egg を執筆、 自分のシステムに不正アクセスしているクラッカーを調査して行く話しです。

1.1.2.5. 1990年代

  • ARPANet が廃止になります。 このネットワークからの交信はインターネットに移行していきます。

  • Linus Torvalds が GNU オペレーティングシステムで使用するための Linuxカーネルを開発します。Linux の開発と採択が普及したのは、主としてインターネットを介したユーザーと開発者の情報交換による協力の成果によるものです。UNIX を起原とするため、登録商標になっている(クローズドソース)オペレーティングシステムを稼動しているレガシーサーバーに対して、Linux が安全な代替 OS を構築できる便利さを知ったハッカーや管理者の間で最もポピュラーです。

  • グラフィカル Web ブラウザは一般のインターネットアクセスの需要の急激な高まりを呼びました。

  • Vladimir Levin とその共犯者達が、CitiBank の本社データベースにクラッキングして非合法に1千万米ドルもの金額を複数の口座に送金します。Vladimir Levin は国際刑事警察機構であるインターポールによって逮捕され、ほぼ全額が回収されました。

  • こうしたクラッカーの中でも最も騒がれ報道されたのは恐らく Kevin Mitnick でしょう。 複数の企業システムにハッキングし、有名人の個人情報から2万枚を超えるクレジットカードの番号、 登録商標となっているソフトウェアのソースコードまですべてを盗んだのです。 逮捕され、電信詐欺罪で有罪判決となり、5年間服役しました。

  • Kevin Poulsen と 不明の共犯者は、車や現金の賞金を獲得するために ラジオ局の電話システムを不正に操作しました。 コンピュータ及び電信詐欺で有罪となり、5年の実刑判決が宣告されました。

  • クラッキングやフリーキングの話題は伝説となり、 未来のクラッカーは毎年開催される DefCon 大会に集結し、 クラッキングを祝って仲間同士でアイデアの交換をしています。

  • イスラエル人で19才の学生が、ペルシャ湾岸戦争中に米国政府のシステムへの多数回に渡る侵入を手配したとして逮捕、有罪となりました。軍当局は、米国政府のシステムに対する過去の攻撃の中でも「非常に綿密に計画されており組織的な攻撃」としています。

  • 米国司法長官、Janet Reno は、米国政府システムへのセキュリティ侵害の拡大に憂慮し、 National Infrastructure Protection Center を設立します。

  • 英国通信サテライトが未知の犯罪者に制御を奪われ、 その代償を要求されます。 最終的には、英国政府はサテライトの制御を奪還することができました。

1.1.3. 今日のセキュリティ

2000年2月、協調分散型 DoS攻撃が、インターネット上でも非常に過密な交信量となる複数のサイトに仕掛けられました。被害にあった yahoo.com、cnn.com、amazon.com、fbi.gov、その他、のサイトは、ping floodとも呼ばれるラージバイトのICMPパケット送信で数時間に渡りルーターをタイアップさせられたため、一般ユーザーからは完全に接続不能となりました。未知の攻撃者によるこの攻撃は、攻撃を受けやすいネットワークサーバーをスキャンし、そのサーバーにトロイの木馬 と呼ばれるクライアントアプリケーションをインストールさせ、それに感染したそれぞれのサーバーが攻撃目標のサイトを溢れさせ機能を停止させてしまうことで攻撃のタイミングを計る、という特別に作成され広く出回っているプログラムを使用して行なわれました。使用していたルーターやプロトコールは、発信元やそのパケット送信の目的に関係なく受信データのすべてを受け取ってしまう構造になっており、これが多くの人から非難された根本的な弱点です。

これがミレニアムのはじまりで、世界中で推定 9 億 4 千 5 百万人がインターネットを使用したことがあるまたは使用しています(Computer Industry Almanac, 2004)。同時に、

  • 任意の1日に、Carnegie Mellon University の CERT Coordination Center に報告されたセキュリティ侵害は約 225 件あります。[1]

  • CERT に報告された件数は 2001 年の 52,658 件、2002 年の 82,094 件から、2003 年には 137,529 件に跳ね上がりました。[2]

  • 過去 3年の危険なインターネットウィルストップ3による世界経済への影響は 132億USドルに上ると推定されます。[3]

コンピュータセキュリティはあらゆる IT 予算の正当な計量可能経費となってきています。データの健全性と高い有用性を必要とする企業や団体は、自社のシステム、サービス、情報の信頼性を 24 時間体制で常に確保するためにシステム管理者、開発者、エンジニアなどからその技術を引き出します。悪意あるユーザー、プロセス、計画的攻撃の犠牲になるということは、企業、団体の発展を直接脅かすものとなります。

システムとネットワークセキュリティは難しい問題となりがちで、 企業、団体のその情報についての考え方、使用法、処理方法、 発信方法などを理解することが必要とされます。 企業、団体(また、その企業、団体を構成する人々)のビジネス経営を理解することは、 適切なセキュリティプランを実行する上で大変重要です。

1.1.4. セキュリティの標準化

いずれの分野の企業も規則や規定にしたがっています。これは米国医師会(American Medical Association - AMA)、米国電気電子学会 (Institute of Electrical and Electronics Engineers - IEEE)、などの組織を作る標準で構成されます。情報セキュリティにも同じ理念が該当します。多くのセキュリティコンサルタントやベンダーが、機密性(Confidentiality)、健全性(Integrity)、有用性(Availability)の頭文字をとった CIA として知られる標準セキュリティ基準を認めています。この3基準は、機密に関る情報の危険性を計ったり、セキュリティ方針を確立するために一般的に受け入れられる基準です。以下に、CIA基準の詳細を説明しておきます。

  • 機密性(Confidentiality) — 機密に関わる情報へのアクセスは事前設定された人物に限ります。許可のない送信や情報の利用は制限します。例えば、情報の機密性とは、顧客の個人・財政情報が ID 窃盗やクレジット詐欺などの悪意ある目的を持つ許可のない人物に入手されないようにすることです。

  • 健全性(Integrity) — 情報は、 それ自体が不完全または不適当になるよう改ざんをされてはいけません。許可のないユーザーには、機密に関わる情報の変更・消去の権限を限定します。

  • 有用性(Availability) — 情報は許可のあるユーザーには必要なときいつでもアクセスできるようにしておきます。有用性は、情報が合意している頻度とタイミングで入手できるという保証です。これはネットワークサービスプロバイダーとそのクライアントである企業間で使用されるサービスレベル契約書の正式なパーセンテージや同意事項に関してよく調整されます。

注記

[1]

Source: http://www.cert.org

[2]

Source: http://www.cert.org/stats/

[3]

Source: http://www.newsfactor.com/perl/story/16407.html