第 1章. セキュリティ概要

企業経営を支援し企業内各自の個人情報を記録する、 強力にネットワーク化されたコンピュータへの信頼度が高まったため、 企業体はネットワークとコンピュータセキュリティの実施を構成するようになってきました。 企業はシステムや適合ソリューションを正しく監査し、 企業の運営に必要とされる条件に合うようセキュリティ専門知識と技能を求めています。 従事者が会社または組織のITリソースにローカルにも遠隔的にもアクセスするので、 ほとんどの企業や団体は事実上、動的な運営となります。これが理由で、 安全なコンピュータ環境のニーズはより顕著になってきています。

しかし、ほとんどの企業や団体(個人ユーザーも含めて)は、 セキュリティを補足的なものと考えており、 機能、生産性、予算関連の向上の方ばかりに目をとらわれがちです。 適切なセキュリティの実施は事後分析 (許可のない侵入の発生後)に定められています。 インターネットなどの信頼できないネットワークへ接続する前に行なわれる適切な手段は、 ほとんどの侵入試行を妨害する効果的な方法であるとセキュリティの専門家の意見は一致します。

1.1. コンピュータセキュリティとは

コンピュータセキュリティとは一般的な用語で、 コンピュータ操作や情報処理の幅広いエリアに及んでいます。 日常業務や重要な情報へのアクセスなどの管理を コンピュータシステムやネットワークに依存している企業体は、 企業データを総体的資産の重要な部分であると考えています。 TCO(Total Cost of Ownership)、QoS(Quality of Service)など、いくつかの用語や基準が日常的なビジネス用語として用いられるようになってきました。 こうした基準で、企業はデータの健全性や有用性などの側面を プランニングとプロセス管理コストの一部として産出します。 電子商取引などの企業では、データの有用性と信頼性が成否につながることもあります。

1.1.1. コンピュータセキュリティの成立ち

多くの読者の方が、 Matthew Broderick 主演の高校生がアメリカ国防総省のスーパーコンピュータに入り込み、 偶然にも核兵器戦争を起こしそうになってしまう"Wargames"という映画を憶えていると思います。 この映画で、 Broderick はモデムを使ってアメリカ国防総省のコンピュータ(WOPRと呼ばれる)にダイアルし、 核ミサイルのサイロをすべて管理する人工知能ソフトウェアでゲーム遊びをしてしまいます。 映画は旧ソ連と米国間の"冷戦"時代に公開され、 1983年の劇場用公開で成功を収めたと考えられています。 この映画の人気は多くの人々やグループに影響を与え、 この映画の若い主役が機密システムにクラックするのに使用した手段を実際に試みるようになりました。 この手段のうちの1つがwar dialingとして知られているものです — 限定した地域コードとプレフィックスの組み合わせでアナログモデム接続の電話番号を検索する手段です。

10年以上後、連邦捜査局(FBI)が関与した複数の法制度に渡る追究と、 全国に渡る複数のコンピュータプロの援助により、 4年がかりで悪名の高いコンピュータクラッカー、 Kevin Mitnick は逮捕され25件のコンピュータとアクセスデバイス詐欺で起訴されました。 この詐欺行為は、Nokia、NEC、Sun Microsystems、Novell、Fujitsu、Motorolaなどの 知的財産とソースコートの損失による推定 8千万米ドルの被害額という結果になりました。 当時、FBIではこれを米国史上で最大のコンピュータ関連犯罪とみなしました。 有罪判決が下り、Kevin Mitnick は合計68か月の実刑を宣告され、 2000年1月21日に仮釈放となるまで60か月を服役しました。 さらに、 コンピュータの使用及びコンピュータ関連のいかなるコンサルティング行為も2003年まで禁じられました。 Kevin Mitnick は社会工学 (人を使い偽造証明でパスワードを取得したりシステムへアクセスする) の専門家であったと調査にあたった刑事は述べています。

情報セキュリティは、個人情報、ファイナンシャル情報、その他機密情報を開示する パブリックネットワークへの依存性が増大するにつれ何年にも渡って発展してきました。 Mitnick 事件や Vladamir Levin 事件 (詳細は項1.1.2 を参照)など多くの事例があり、 こうした事例が起こる度、 あらゆる分野の企業は情報の伝送と開示の取扱い方を再考させられることになりました。 インターネットの普及は、 データの安全性における一層の努力を喚起させる最も重要な発展のひとつでした。

パーソナルコンピュータを使って インターネットが供給するリソースにアクセスする人は絶えず増え続けています。 電子メールや電子商取引に対する調査や情報取り出しから、 インターネットは20世紀で最も重要な発達としてみなされてきています。

しかしながら、インターネットとその初期プロトコールは、 信頼できるシステムとして開発されました。 つまり、インターネットプロトコールはそれ自体が安全には設計されていなかったということです。 TCP/IP 通信スタックに組み込まれた認可セキュリティスタンダードがなく、 ネットワーク全体に渡り悪意のあるユーザーやプロセスに対して無防備の状態になっています。 近年の発達によりインターネット通信はより安全になってきましたが、 まだ全米の注意を集めるような事件はいくつかあり、完璧な安全はあり得ないという事実を警告しています。

1.1.2. コンピュータセキュリティの歴史

コンピュータセキュリティの起原と興隆に寄与した重要な出来事がいくつかあります。 以下に、コンピュータと情報セキュリティ、その今日における重要性などに対して影響をおよぼした 重要な出来事や事件をいくつかあげておきます。

1.1.2.1. 1960年代

  • マサチューセッツ工科大学、Tech Model Railroad Club の学生が学内の PDP-1 メインフレームコンピュータシステムを調査・プログラムを開始します。 このグループが、今日よく知られる"ハッカー"という用語をそのコンテキストで使用します。

  • アメリカ国防総省がAdvanced Research Projects Agency Network (ARPANet)を開発します。 これは、データと情報の電子的な交流のパイプとして研究・学術サークルで支持を得ます。 これが今日インターネットとして知られるキャリアネットワーク創作の道を開きます。

  • Ken Thompson が UNIX オペレーティングシステムを開発し、 最も"ハッカーフレンドリーな" OS として広く歓迎されました。 その理由は、この OS が持つ利用しやすい開発者ツールとコンパイラーであり、 また、その支えとなるユーザーコミュニティの存在です。 ほぼ同時期に、Dennis Ritchie は C プログラム言語を開発します。 これは恐らくコンピュータ史上で最もポピュラーなハッキング言語でしょう。

1.1.2.2. 1970年代

  • 行政機関及び企業向けコンピュータ調査・開発の請負人である Bolt、Beranek、Newman が、 ARPANet のパブリックエクステンションとなる、Telnet プロトコールを開発します。 これにより、かつては行政機関の請負人や学術研究者に限られていたデータネットワークの使用が 公共使用に向けて前進することになります。 しかし、Telnet も恐らく公共使用にとって最も不安定なプロトコールであろう、 とするセキュリティリサーチャーもいます。

  • Steve Jobs と Steve Wozniak が Apple コンピュータを創立し、 パーソナルコンピュータ(PC)の市場化を開始します。 PC は、幾人かの悪意あるユーザーがアナログモデムと war dialer などの共通 PC 通信ハードウェアを使用して遠隔的にシステムをクラッキングする技巧を学ぶ 足がかりとなります。

  • Jim Ellis と Tom Truscott が USENET を開発します。 これは、いろいろな人々の間で電子的な通信ができる掲示板スタイルのシステムです。 USENET はあっという間にコンピューティング、ネットワーキング、 そしてクラッキングまでものアイデアを交換するための最もポピュラーなフォーラムとなります。

1.1.2.3. 1980年代

  • IBM が Intel 8086 マイクロプロセッサに基づく、比較的廉価なアーキテクチャの PC を開発、市場化します。 これにより、オフィスから一般家庭までコンピュータ化がもたらされました。 また、PC を庶民的で利用しやすいツールとして商品化するのに貢献します。 庶民的で利用しやすいツールとは、適当にパワフルで使いやすく、 悪意のあるユーザーの自宅やオフィスにあるハードウェアの激増を促進するものでした。

  • Vint Cerf によって開発された Transmission Control Protocol は、 2つに分離した独立パーツになっています。インターネットプロトコールはこの分離から誕生し、 結合 TCP/IP プロトコールは今日のインターネット通信すべての標準となります。

  • フリーキング、電話システムの調査・ハッキング などの分野における開発を基にして、 2600: The Hacker Quarterlyマガジンが出版され、 幅広い読者に向けてコンピュータやコンピュータネットワークのクラッキングなどの トピックの解説が開始されます。

  • 414 ギャング(犯人が居住し、ハッキング行為を行なっていた地域コードにちなんで名付けられる)が、 9日間にわたるクラッキング騒動の果てに当局によって踏み込まれます。 414 ギャングは、ロス・アラモス国立研究所、核兵器研究施設など最高機密扱いの場所などの システムに不正侵入していました。

  • 先駆的クラッカーグループであった Legion of Doom と Chaos Computer Club が、 コンピュータや電子データネットワークの脆弱性に不正アクセスを開始します。

  • The Computer Fraud and Abuse Act of 1986 が Captain Zap としても知られる Ian Murphy の不正アクセスに基づいて議会で可決されました。 Ian Murphy は陸軍のコンピュータに侵入、会社取引製品注文のデータベースから情報を盗み、 機密の行政機関電話交換台を使用して電話をかけました。

  • Computer Fraud and Abuse Act に基づき、 裁判所は 大学院生である Robert Morris を インターネットに接続していた6000台を超える コンピュータにモリスワームをまき散らした罪で有罪判決にすることができました。 この法令に基づき、次に判決が下った有名な事例は、高校中途退学の Herbert Zinn で、 AT&T 及びアメリカ国防総省の所有するシステムに対するハッキング行為と 不正使用が行なわれました。

  • モリスワーム裁判のような事例がくり返されることを懸念し、 コンピュータユーザーにネットワークセキュリティ問題について警告するために CERT(Computer Emergency Response Team)が考案されました。

  • Clifford Stoll が The Cuckoo's Egg を執筆、 自分のシステムに不正アクセスしているクラッカーを調査して行く話しです。

1.1.2.4. 1990年代

  • ARPANet が廃止になります。 このネットワークからの交信はインターネットに移行していきます。

  • Linus Torvalds が GNU オペレーティングシステムで使用するための Linux カーネルを開発します。Linux の開発と採択が普及したのは、 主としてインターネットを介したユーザーと開発者の情報交換による協力の成果によるものです。 UNIX を起原とするため、 登録商標になっている(クローズドソース)オペレーティングシステム を稼動しているレガシーサーバーに対して、 Linux が安全な代替 OS を構築できる便利さを知ったハッカーや管理者の間で最もポピュラーです。

  • グラフィカル Web ブラウザは一般のインターネットアクセスの需要の急激な高まりを呼びました。

  • Vladimir Levin とその共犯者達が、 CitiBank の本社データベースにクラッキングして非合法に1千万米ドルもの金額を 複数の口座に送金します。 Vladimir Levin は国際刑事警察機構であるインターポールによって逮捕され、 ほぼ全額が回収されました。

  • こうしたクラッカーの中でも最も騒がれ報道されたのは恐らく Kevin Mitnick でしょう。 複数の企業システムにハッキングし、有名人の個人情報から2万枚を超えるクレジットカードの番号、 登録商標となっているソフトウェアのソースコードまですべてを盗んだのです。 逮捕され、電信詐欺罪で有罪判決となり、5年間服役しました。

  • Kevin Poulsen と 不明の共犯者は、車や現金の賞金を獲得するために ラジオ局の電話システムを不正に操作しました。 コンピュータ及び電信詐欺で有罪となり、5年の実刑判決が宣告されました。

  • クラッキングやフリーキングの話題は伝説となり、 未来のクラッカーは毎年開催される DefCon 大会に集結し、 クラッキングを祝って仲間同士でアイデアの交換をしています。

  • イスラエル人で19才の学生が、ペルシャ湾岸戦争中に米国政府のシステムへの多数回に渡る侵入を 手配したとして逮捕、有罪となりました。 軍当局は、米国政府のシステムに対する過去の攻撃の中でも 「非常に綿密に計画されており組織的な攻撃」としています。

  • 米国司法長官、Janet Reno は、米国政府システムへのセキュリティ侵害の拡大に憂慮し、 National Infrastructure Protection Center を設立します。

  • 英国通信サテライトが未知の犯罪者に制御を奪われ、 その代償を要求されます。 最終的には、英国政府はサテライトの制御を奪還することができました。

1.1.3. 今日のセキュリティ

2000年2月、協調分散型 DoS攻撃が、インターネット上でも非常に過密な交信量となる複数のサイト に仕掛けられました。被害にあった yahoo.com、cnn.com、amazon.com、fbi.gov、その他、 のサイトは、ping floodとも呼ばれる ラージバイトのICMPパケット送信で数時間に渡りルーターをタイアップさせられたため、一般ユーザーからは完全に接続不能となりました。 未知の攻撃者によるこの攻撃は、攻撃を受けやすいネットワークサーバーをスキャンし、 そのサーバーにトロイの木馬 と呼ばれるクライアントアプリケーションをインストールさせ、それに感染したそれぞれのサーバーが攻撃目標のサイトを溢れさせ機能を停止させてしまうことで 攻撃のタイミングを計る、 という特別に作成され広く出回っているプログラムを使用して行なわれました。 使用していたルーターやプロトコールは、発信元やそのパケット送信の目的に関係なく 受信データのすべてを受け取ってしまう構造になっており、 これが多くの人から批難された根本的な弱点です。

これがミレニアムのはじまりで、世界中で推定4億人がインターネットを使用しています。 同時に、

  • 任意の1日に、約225件のセキュリティ侵害がカーネギーメロン大学にある CERT Coordination Center に報告されています。[source: http://www.cert.org]

  • CERT に報告された件数は2001年の52,658件から、2002年には82,094件に跳ね上がりました。 このガイド作成時、2003年の第1四半期だけで42,586件が報告されています。 [source: http://www.cert.org]

  • 過去2年の危険なインターネットウィルストップ3による世界経済への影響は推定で132億米ドルでした。 [source: http://www.newsfactor.com/perl/story/16407.html]

コンピュータセキュリティはすべてのIT予算として正当化できる計量可能な経費となってきています。 データの健全性と高い有用性を必要とする企業、団体は、システム管理者、開発者、 エンジニアなどからその技術を引き出し、システム、サービス、情報の信頼性を 24x7 常に確保します。 悪意あるユーザー、プロセス、計画的攻撃の犠牲になることは、 企業、団体の発展を直接的に脅かすものです。

システムとネットワークセキュリティは難しい問題となりがちで、 企業、団体のその情報についての考え方、使用法、処理方法、 発信方法などを理解することが必要とされます。 企業、団体(また、その企業、団体を構成する人々)のビジネス経営を理解することは、 適切なセキュリティプランを実行する上で大変重要です。

1.1.4. セキュリティの標準化

いずれの分野の企業も規則や規定にしたがっています。 これは 米国医師会 (American Medical Association - AMA)、 米国電気電子学会 (Institute of Electrical and Electronics Engineers - IEEE)、 などの組織を作る標準で構成されます。 情報セキュリティにも同じ理念が該当します。 多くのセキュリティコンサルタントやベンダーが、 機密性(Confidentiality)、健全性(Integrity)、有用性(Availability) の頭文字をとったCIAとして知られる標準セキュリティ基準を認めています。 この3基準は、機密に関る情報の危険性を計ったり、セキュリティ方針を確立するために 一般的に受け入れられる基準です。 以下に、CIA基準の詳細を説明しておきます。

  • 機密性(Confidentiality) — 機密に関わる情報へのアクセスは事前設定された人物に限ります。 許可のない送信や情報の利用は制限します。 例えば、情報の機密性とは、顧客の個人・財政情報が ID 窃盗やクレジット詐欺などの悪意ある目的を 持つ許可のない人物に入手されないようにすることです。

  • 健全性(Integrity) — 情報は、 それ自体が不完全または不適当になるよう改ざんをされてはいけません。 許可のないユーザーには、機密に関わる情報の変更・消去の権限を限定します。

  • 有用性(Availability) — 情報は許可のあるユーザーには必要なときいつでもアクセスできるように しておきます。有用性は、情報が合意している頻度とタイミングで入手できるという保証です。 これはネットワークサービスプロバイダーとそのクライアントである企業間で使用される サービスレベル契約書の正式なパーセンテージや同意事項に関してよく調整されます。