 |
98年6月 JEIDA駐在員・・・長谷川英一
米国における
|
|
98年6月 JEIDA駐在員・・・長谷川英一
米国における
|
| セキュリティ侵害の状況
上に見たのは、不正アクセスと内部サボタージュの例であるが、コンピュータ・セキュリティを脅かす行動としてはいろいろなものがある。企業にとっては、?窃盗(theft)(PC窃盗、電子資金転送、クレジット・カード番号窃盗、長距離電話フリーク(ただで使うこと))、?妨害工作(sabotage)(上述のロジック爆弾など企業活動を様々な形で混乱させるもの、得意先との関係悪化を狙う例もある)、?スパイ行為(espionage)(企業の戦略上の秘密や新技術開発情報などを盗み出す)、などが有り得る。問題は、セキュリティが侵されると、その影響は企業の信用問題も含め広範に及び、それを解消するためのコストが通常、直接コストより間接コストの方が膨大になってしまうところにある。 DODの事件もその可能性をはらんでいるが、国家の情報セキュリティへの脅威の中でも、最も深刻な被害が予想されるものが、情報戦争(information warfare)や情報テロ(infoterrorism)である。ホワイトハウスが組織する「重要インフラ保護に関する大統領諮問委員会」はコンピュータを使った不正行為が米国経済に与えている脅威について分析し、「重要インフラ」として「通信」「電力」「ガス・石油」「金融」「輸送」「水道」「緊急サービス」「公共サービスの継続」を指定している。これらへの攻撃は社会や経済をパニックに陥れるものであるが、攻撃自体の規模は必ずしも大掛かりであるとは限らない。例えば、化学プラントを制御するコンピュータに侵入し、バルブの調節機能を停止させるだけで、大惨事を引き起こし、社会全体に心理的打撃を与えることができるからである。 さて、今のところ情報テロのような深刻な被害は報告されていないものの、コンピュータ・セキュリティーの侵害は増え続けている。コンピュータ・セキュリティ研究所(Computer Security Institute)とFBIの国際コンピュータ犯罪班(International Computer Crime Squad)は、この3月、コンピュータ犯罪とセキュリティに関し、毎年行っている調査の最新結果を発表した。この調査は企業や政府機関、大学のセキュリティ専門家520人に対して行ったものである。調査結果の主な内容は、次のとおり。 ● 回答者の64%が「ここ12カ月の間にコンピュータ・セキュリティに対する攻撃があった」とし、97年の同じ調査の結果に比べると16%ポイント増加している。この数字は、コンピュータ・セキュリティ侵害を探知する技術の向上によるところもあるが、攻撃自身が増えているとみるのは間違いない。 ● 回答者の72%が「コンピュータ・セキュリティ侵害やウイルスの侵入による経済的な損失があった」としている。しかし、この中の46%は損失額を正確に算出できなかった。損出額の総額は1億3600万ドルに上っている。 ●被害件数別に見た場合、コンピュータ犯罪で最も深刻だったのが「ラップトップパソコンの窃盗(162件)」であり、「ウイルス侵入(143件)」「内部関係者によるインターネットアクセス乱用(67件)」「コンピュータ・セキュリティ侵害による不能サービス(36件)」「不正通信(32件)」と続いている。 ●損失額でみた場合、コンピュータ犯罪で最も深刻だったのが「外部からの違法アクセス」であり、「独自情報の漏洩」「不正通信」「金銭的詐欺」と続いている。昨年の場合は、「金銭的詐偽」「不正通信」「独自情報の漏洩」「ウィルス」の順であった。 ●セキュリティ侵害の原因については、54%が「インターネット」と回答している。この数字については、「内部スタッフ」とほぼ同数であり、注目できる。過去においては、職務怠慢を含む、内部スタッフを原因とするセキュリティ侵害はかなり多いとみられていた。しかし、インターネットを原因とするセキュリティ侵害の技術が巧妙になっており、今回は「インターネット」と「内部スタッフ」は、ほぼ同数となっている。 企業に限った調査ではあるが、インフォメーション・ウィーク誌とアーンスト・アンド・ヤングが共同で97年に行った調査でも、上の調査と同様の結果になっている。コンピュータ・ウイルス感染や産業スパイなどの項目では、ほとんどの回答者が損失を推定できなかった点は注目される。例えば、「感染規模が大きいウイルスに犯された」とした回答者の中でも、58%が感染による被害額を把握していなかった。また、38%の回答者が「産業スパイの被害を受けた」としているが、その中の84%が被害額を推定できないとしている。上の調査結果と同じように、40%強の回答者が「ここ1年の間に外部からの情報セキュリティ侵害があった」としているほか、「内部スタッフによる情報セキュリティ侵害があった」と回答したのは、43%に上っている。 以上の結果から推定すると、米国全体で考えた場合、コンピュータ犯罪やセキュリティ侵害による被害は10億ドルを大きく超すものとみられている。セキュリティ問題専門家の中には、この数字以上の被害を予想する者もいる。と言うのも、セキュリティ侵害の実際の数字を意図的に報告しないケースもあると見られるためである。それは、?自社や自社の属する産業群が「コンピュータ・セキュリティ保全に十分でない」という噂が広がる可能性がある、?セキュリティに問題があることを顧客に知られるという不安があり、潜在的な顧客減が予想され、特に、セキュリティの弱さを競合相手に付け込まれ、顧客を奪われる可能性がある、?セキュリティ侵害があったことが公になった場合、セキュリティを強化する前にさらに別のセキュリティ攻撃を招きかねない、等の理由による。それでも、これまでの統計データと比べると、セキュリティ侵害の数も、損害の規模も年を追うごとに、次第に大きくなってきている。これには、セキュリティを破る各種技術の巧妙化や、ミッション・クリティカルなネットワークのインターネット接続増加などの原因がある。
|