防衛調達と情報セキュリティ kikannsi.pdf1 財団法人 防衛調達基盤整備協会...
TRANSCRIPT
1
財団法人 防衛調達基盤整備協会
Defense Procurement Structure Improvement Foundation
Defense Procurement and Information Security MAR. 2010
h t t p : / / w w w . b s k - z . o r . j p /
防衛調達と情報セキュリティ
No. 4
2
目 次
1 平成21年度情報セキュリティ技術セミナー講演抄録
⑴ 急変するITと情報セキュリティ ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 1
― 情報セキュリティ最前線 ―
⑵ 近隣諸国のサイバー戦事情 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・12
2 平成21年度 情報セキュリティ技術セミナー・保全管理講習の実施状況報告
⑴ 情報セキュリティ技術セミナー
講 演
「急変するITと情報セキュリティ」 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・22
― 情報セキュリティ最前線 ―
奈良先端科学技術大学院大学 教授
(内閣官房情報セキュリティセンター 情報セキュリティ補佐官)
工学博士 山 口 英
「近隣諸国のサイバー戦事情」 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・23
株式会社 シマンテック総合研究所
ディレクター 主席アナリスト
工学博士 伊 東 寛
「ISMS視点からの防衛省情報セキュリティ制度の改正点と組織の対応について」 ・・・・・25
当協会 防衛調達研究センター
研究部 研究員
ISMS主任審査員
榊 勝
器材展示とデモ ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・26
⑵ 保全管理講習 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・27
3 平成22年度事業計画(予定) 公募開始の間近い事業の紹介 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・28
⑴ 「防衛調達基盤整備協会賞」の募集のご案内
⑵ 「情報セキュリティに関する懸賞論文」の募集のご案内
⑶ 「防衛装備品契約・原価計算研修会」参加者募集のご案内
啓発広告 ― 情報セキュリティの困難な時代が来ています!(あなたなら、どうする) ・・・・・・・・・・・・・・30
Defense Procurement and Information Security MAR. 2010
Defense Procurement Structure Improvement Foundation
3
4 セキュリティ・メモ(平成21年10月~12月) ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・31
― 日刊紙掲載のインシデント、アクシデントなどの掲載記事から ―
5 掲 示 板 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・32
⑴ 平成22年度 防衛調達研究センターの事業計画概要(予定)
⑵ 情報セキュリティに関する小冊子のご案内
⑶ 防衛装備品等の生産等に関する調査研究成果物のご案内
7 編 集 後 記 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・37
Defense Procurement and Information Security MAR. 2010
Defense Procurement Structure Improvement Foundation
- 1 -
本記事は、今年二月一〇日㈬にホテル
グランドヒル市ヶ谷において、当協会主
催で行った「情報セキュリティ技術セミ
ナー」における講演内容を抄録版とした
ものです。
講演は、奈良先端科学技術大学院大学
教授(
内閣官房情報セキュリティセンタ
ー
情報セキュリティ補佐官)
工学博士
山口英
氏に「急変するITと情報セキュ
リティ」―
情報セキュリティ最前線
―
を演題に講演をしていただいたものです。
一
はじめに
最初に、世の中のIT基盤の話をして
いきます。
これにはいろいろな見方があると思い
ますが、一つは、最先端の技術を防衛・
軍事部門が使って、民生部門にあふれ出
てくるというモデル、逆に、民生部門の
技術が防衛・軍事部門で使われるという
ような逆向きの流れも当然あるわけです。
今の世の中のIT基盤がどうなっている
のか、今後どういう方向に行くのかの一
つの指標として、防衛装備品にITの技
術がどう使われていくかが一つの指針に
なっているのは事実だと思います。
もう一つは、皆さんが使っているコン
ピュータ、ネットワーク機器など、多く
のIT製品は、企画・設計段階からロー
ルアウトまで、だいたい十八か月ぐらい
です。大規模開発、例えば、ネットワー
クのルーターで言うと、NTTの地域会
社がフレッツのサービスで使っている巨
大なルーターの開発ですら三十六か月~
四十八か月ぐらいで現場投入になります。
また、この前、話題になったアローヘッ
ドという東京証券取引所のシステムも、
開発の期間を入れると、四十八か月ぐら
いで現場投入しているということでした。
情報処理をする基盤やサービスの製品化
は非常に早く、大規模開発なものでも四
年ぐらいです。
このようなロールアウトの期間を考え
ると、話を聞く限りでは、今までの防衛
装備品のロールアウトが、七年とか一〇
年、キャタピラーの付いたものになると
十五年、エンジンが付いたものになると
十八年という話を聞くのですが、それに
比べると非常に短いタイムスパンで出て
きます。
また、並行開発型システムというもの
が始まっています。これは、いったん納
品されたシステムを開発側と顧客が一緒
になって改良していこうという、顧客の
満足度を高め、新たな機能を随時追加す
る形の製品開発が一般的になってきてい
ます。
前掲したアローヘッドという東証のシ
ステムも、確かに開発段階で、開発終了
時を見据えたスペックを決めて開発し、
同時に各証券会社とか大口の取引の人た
ちの満足度を上げるために、納入後にシ
ステムの改良と機能拡張を並行しておこ
なっています。こういった成長型開発は、
今のITの非常に大きな特徴的なことに
なります。
もう一つの大きなポイントは、単独一
社ですべてを開発することはありません。
ラップトップコンピュータをとっても、
メーカーとなっているところがアッセン
平成二十一年度
情報セキュリティ技術セミナー講演抄録
急変するITと情報セキュリティ
―
情
報
セ
キ
ュ
リ
テ
ィ
の
最
前
線
―
- 2 -
ブリをするが、中に入っているハードウ
ェアだけでも二〇社以上の他のメーカー
のものが入っているわけです。また、ブ
ラックボックスで提供されているコンポ
ーネントを組み合わせて一つのシステム
を作り上げていくものもあります。それ
はソフトウェアでも同じようなことが起
きていて、そのような集合体が一つの製
品やサービスとして形作られる時代が来
ているわけです。
このような時代になって、皆さんが慣
れ親しんできた防衛装備品の世界とは大
きく変わっていって、かつ、急速に変化
をしていくということです。今後、この
急速な変化がもたらす情報システムと情
報セキュリティの課題を解決しなければ
いけないかということが見えてくるので
はないかということをお話します。
これからの防衛装備品などにどう展開
していくか、今のままでやるのか、それ
とも新しい世界に行くのか、それはこれ
から答えが出てくるのではないかと思っ
ています。
われわれが分かっているいくつかのこ
とを紹介すれば、すでに米国は、センサ
ードリサーチやクラスファイドリサーチ
など、われわれが見ている世界、民間で
見ている世界を外部に非公開の研究に入
れていっています。移動体通信、モバイ
ルデバイスという持ち歩きのできる情報
処理機器に関する研究が学会や、オープ
ンになっている場から見えなくなってき
ています。センサードリサーチの領域の
テーマが増えてきていることから、少な
くとも、今のわれわれが研究レベルとか、
あるいは、民間で取り扱っているレベル
の話が、米軍などの中には入っていくの
ではないか、たぶん今のままではなくて
変わっていくことが予想されております。
本題では二つのパートで話しをします。
最初は、今のITの環境がどういうふう
に変わってきているかということ、その
後で、それに対応した情報セキュリティ
の運用とか技術は、どういうポイントが
問題になってきているかということを話
します。
きょうの話の結論を先に申し上げれば、
「ITはバラ色の未来が見えてきている」
のですが、「ITセキュリティ、サイバー
セキュリティの方は、バラ色が霞んできて
いる」感じがして、かなりいろいろ考え
ないといけないというところにあります。
したがって、セキュリティを考えていく
責任のある人たちは、本当に今からどう
するのかということをちゃんと考えてい
かないと、たぶん足枷になり、足を引っ
張る要因になってきますので、よく分か
ってもらえたらいいなと思っています。
二
社会基盤のIT化
今、ITを使っていない社会基盤は本
当に少なくなりました。社会基盤にはい
ろいろなものがあります、例えば、この
写真は、ある都市を撮ったものです。こ
の写真に写
っているど
こにもIT
は使われて
います。例
えば、ビル
のメンテナ
ンスとマネ
ジメントは、
センサーネ
ットワーク
が大量に入
って管理や
警備などを
しています。
- 3 -
最近建っているビルだと、部屋の中に
山のようにセンサーが入っていて、一〇
階とか二〇階ぐらいのフロアは、ほとん
ど一人か二人で監視していて、何かある
と初めて警備ユニットがそこに行って対
応するという管理になってきているわけ
です。同じようなものに、部屋の管理、
電源の管理、温調などが非常に少人数で
できる環境を作っています。
これ以外にも道路に、速度センサー、
取締り用カメラほかたくさんのセンサー
が入り始めています。実際には、この五
年ぐらいでインフラ自身に非常に多くの
センサーが入り、ITが取り入れられ、
それをネットワークで接続して、それに
よってコストパフォーマンスを上げ、新
しい機能を提供するということが普通に
なってきています。これがさらに加速し
て、社会インフラの第二世代化が急速に
進められていて、ITを使えなければす
まないような状況になってきています。
三
なんでも相互接続される世界が広がる
われわれが知っている社会インフラで
言うと、化学プラント、その他のプラン
トの制御はITの導入で省力化が進んで
いるのです。センサーやコントローラー
が取り付けられ、東電東神奈川火力発電
所のように中央制御室に二人でオペレー
ションをしている時代になって来ていま
す。二人態勢のオペレーションは、安全
上の理由で一人を減らしても制御ができ
るそうです。
これ以外にも、交
通管制、航空管制、
鉄道管制など、多く
の情報システムが取
り入れられ、またネ
ットワークで結合さ
れている世界になっ
ています。
昨年、全日空の予
約発券システムがダ
ウンして、その日に
欠航が二十五便ぐら
い出たということが
ありました。航空機
の運行システム自身
は全部生きていたが、
予約発券システムの部分だけが止まった
ので、どうしても必要な搭乗者名簿がで
きないので、結局、飛ばせられないとい
うことになったそうです。航空機の運行
システム自身は全部生きているが、サー
ビスを提供する部分のシステムが止まる
とサービスが出来ないという時代が来て
いるわけです。
同じように、最近、医療のIT化がす
ごく進んでいます、医療行
為自身をITがサポートし
ているという世界が、入院
患者の管理システムとして
IT化をどんどん進めてい
ます。
これは、看護師不足が慢
性的なので、いかに省力化
をするかということから、
病気の特徴の管理、投薬の
管理、食事管理などをコン
ピュータで行われるように
なっているのです。実際に
起こった投薬管理システム
ダウンを例にとれば、オン
ラインで薬の特徴、カルテ
との照合などの投薬前の確
認ができたものが、システムが復旧する
までの間、医師と看護士がカルテと投薬
の照合を一人ひとりの患者ごと行い、カ
ルテを持って患者のところに走るなど大
- 4 -
変なことになったそうです。
また、RFIDのようなIDも、いろ
いろなところで使われています。例えば、
博多港の港湾貨物、船で運ぶ貨物は、R
FIDを積んだコンテナをフルオートマ
チックで管理ができるようになっていま
す。あるいは、香港の空港でスイッチす
るとき、飛行機に預けた荷物のタグの中
のRFIDが自動読み取りして荷物を仕
分けていくという世界があります。
現在では、センサーやデバイスがネッ
トワークにつながり、それによって省力
化あるいは最適化をしていくという世界
になってきています。
これは、コンピュータの世界がどんど
ん広がっているということです。
それも、ネットワークで見るようにな
れば、今、ほとんど使われていない情報
がもっともっと分かることがたくさんあ
るのです。
いろいろなセンサー、デバイス、コン
ピュータ、これらがネットワークにつな
がれて、その中で新しいバリューを生ん
でいく、あるいは、新しいメンテナンス
ビリティを生んでいく、あるいは、新し
い機能を生んでいくというのが、今のI
Tの世界がめざすところです。
四
ITが目指す世界
これからITがめざす社会というのは、
今までのような、IT機器が単独にあっ
て、素敵な機能を提供するという世界か
ら、より積極的にネットワークにつなが
れて、より積極的に新しい機能が追加さ
れて、そういう中で実際にバリューが生
まれていくのだという方向に動いていく
わけです。
いちばん分かりや
すいのが携帯電話で
す。二〇世紀の携帯
電話を使っていると、
電話という感じです
が、例えば、iph
one、ノキアH9
00とかを使ってい
くうちにそれ自身も
変わっていくし、サービス自身がネット
ワークにつながっているので、そこから
非常に大きなバリューを入手することが
できます。
そういった意味で、われわれがめざし
ているIT社会とはいったいどういった
ものになっていくか考えると、二〇世紀
は、いろいろな繰り返し作業の経済的効
率性を求めるため、コンピュータが入っ
た時代で、これからは、それにさらに知
恵をつけて、知恵はどんどん増やし、ネ
ットワークによって知恵や情報を得て、
変化していくトータルナレッジ(
Total
Knowledge)
という装置化へのシフトが今
起きているわけです。これは、一つの機
器が最適化をするという時代から、サー
ビス全体、あるいは社会インフラ全体が
最適化をしていく。全体最適への挑戦と
いうことになってくるわけです。
「この全体最適への挑戦ができるよう
になったのは何故か」と云えば、実は、
量的な改善が行われたからです。これは
IBMが、スマートプラネットというデ
ィレクションドキュメントの中に、二〇
一一年には全世界の情報機器のトータル
容量が約一八〇〇エクサバイト(
エクサ:
一〇の十八乗)
の容量を持ったネットワ
ークに接続されたコンピュータ、センサ
ー、デバイスなどの情報機器が、世界中
にあることになります。そういう量的な
改善が行われると、今まで、一生懸命、
「メモリはない、CPUパワーはない、
コンピュータは高い」という時代から、
- 5 -
コンピュータはどこにでも落ちていて、
メモリは、どこでもあって、「それを使
って何かやるともっといいことできる」
となるわけです。
五
新しい社会インフラへの移行
そういう量的改善が行われたことによ
って、今まで容量を心配して情報処理を
やっていたのが、どんどんできるように
なってきているわけです。
したがって、その量的改善をしたとこ
ろのCPUパワーを使ってやっていこう
というところが、最近出てきた、いわゆ
るクラウド(
Cloud)
とかスマート(
Smart)
という世界です。
このなかのスマートというものは何な
のかというと、社会インフラとか、社会
で多く使われている情報機器をネットワ
ーク化し、情報収集を積極的に行い、解
析をして課題を抽出して最適の解を見つ
けていこうというものです。そうするこ
とで「社会がどんどん効率良くなり」、
「社会はもっとうまく動くようになる」
というところを狙っているわけです。
これは、スマートグリッドといい電力
送電系でも行われております。それから、
スマート化の一種でデジタルリンク化と
いうのが航空管制のほうでは始まろうと
しています。これ以外にも道路管制、鉄
道、家の中もスマートホームという話が
出てきています。
六
新しいインフラの特徴
スマート化の特徴とは、インフラのC
PUパワーが上がりまし
たとか、メモリが大きく
なりましたという、そう
いうITの言葉による拡
大ではなくて、コンピュ
ータだけでなく、センサ
ーもデバイスも家電も車
も医療機器もなど、情報
機器の何でもが適切に相
互接続され、持っている
知恵をちゃんとシステム
の中に入れて、その知恵
が進化すると自動的に情報システムも進
化するというもので、より洗練された機
能がそこで提供されるのです。
この状況は、身近にあるiPhone
が分かりやすいので例にとると、そこに
アプリケーションを入れて、システムを
カスタマイズしていくことでき、自分で
育てていけるようになっているものです。
これには、個人で育てるシステムもあ
るし、社会が育てるシステムもあるし、
企業が育てるシステムもあります。例え
ば、グーグルオフィスのコミュニティで、
「こういう機能があったらいいな」と英
語で書くと、「できました」というのが
出てくるわけです、それは、
パッケージソフトではなく
て、オンラインで成長して
いく形になっているからこ
そ日々の更新とか、日々の
改善というのができるので
す。 そ
れは、システムが、ボ
リュームを増やす、性能を
上げることではなくて、知
恵が入って高度化し、成長
していくことなのです。そ
れを実際に使うためには、従来みたいに、
「メモリをどれだけ使っているのかな」、
「ディスクどれだけ使っているのかな」
ではなくて、「ユーザーはどういうこと
をやっているのか」、「ユーザーはどこ
に問題を感じているのか」、「サービス
は円滑に出ているのか」、「他のサービ
スとの連関はうまくいっているのか」と
- 6 -
いうような統合管理をして、同時に、こ
のインフラが大きくなっているので徹底
してメジャーラブルインフラにしていき
ましょうということです。
これは、自分が作った地図などのサー
ビスを他の者が使い新たなサービスを広
くおこなうようなものです。全体として
資源制限への調整機能と最適化というこ
とになり、グリーンとかクラウドという
話になります。この例にあるように、新
しいインフラの特徴として、ネットワー
クが必要不可欠なものになります。
七
その結果として・・・・・
アプリケーションの作り方がどんどん
変わってきています。特に知恵とか知識
というものを形式表現して、それをどん
どん利用していこうということです。こ
の形式表現というのは、プログラムを書
くより一段上の抽象度を持っています。
その処理も抽象化して書いて、現実の処
理はその先にあるのですよ、というよう
な書き方ができるのです。
ネットワークですから、当然、分散処
理技術が非常に強く使われている。そし
てこの技術が社会に入ってきているので、
趣味の人が使うコンピュータではなく、
インフラで使われだしているのです。安
全
で
頑
丈
(Robust)
で
し
な
や
か
な
(Resilient)
社会基盤になります。どのよ
うな状態かというと、グーグルが持って
いるテクノロジーのように機械を壊れな
いようにするのでなく、何台かのコンピ
ュータが壊れてもサービスを継続できる
と同じように、「部品が少々壊れても機
能はゼロにはならない」ような「しなや
かで、しぶとい(
Resiliency)
」というも
のです。
想像になりますが、装備関係の人は特
に、高品質・高精度・頑丈で壊れないよ
うものつくりに励んできたはずです。と
ころが、「いいのだ、壊れても。一〇%
ぐらい壊れてもちゃんと機能すればいい
のだ」これがこれからのターゲットにな
ってくる。
この技術は、故障許容型システムみた
いなものの標準化を進めて作らないとい
けなくなってきているわけです。
当然、電力事情もたいへん重要でして、
電力がグリーン機能というところもちゃ
んとやらないといけ
ないことになってきています。
八
規模と密度への挑戦
いろいろな意味で規模、密度というと
ころに挑戦しています。その一つがクラ
ウドコンピューティング。これは、世界
中の顧客を相手にしていかに効率良くし
ていくのか、これがクラウドコンピュー
ティングの挑戦になるわけです。
一方、スマートシティとかスマートホ
ームという考え方があります。スマート
シティというのは、経済的に破綻しまし
たが、アラブ首長国連邦の人口約一〇万
人が住むドバイで、二酸化炭素を除き、
ゴミを一切排出しない、ゼロエミッショ
ンシティにするというスマートシティチ
ャレンジが一昨年発表されました。
- 7 -
これ以外
にも、オー
ストラリア
やアメリカ
でも、町を
いかに高密
度にIT化
して、電力
消費を抑え、
交通管制など効率を良くした町をつくろ
うという試みがあります。イギリスでは、
防犯、安全などのセキュリティの高い町
を作っていこうというチャレンジも行わ
れているのです。
日本の場合は、松下電工が「スマート
ホーム」と言って、家の中にたくさんの
デバイスと仕掛けを入れることによって、
不要な電力、不要な熱、ゴミなどの出な
い快適な暮らしを提案しています。
これから分かることは何かというと、
ITの密度を上げて最適化する、あるい
は、ITの規模を大きくして全体最適を
していくという、今までのような特定の
領域での個別の最適化ではなくて、部分
最適でもない、全体最適を狙っていく世
界がやって来ています。
九
情報技術と通信技術の相補的発展
情報技術と通信技術の相補的発展とい
うものが今、始まっています。今まで、
箱屋(
コンピュータ)
と線屋(
ネットワー
ク)
が喧嘩をよくしていました。原因は、
ネットワークの情報システム開発などを
やっていると、途中に発生した問題を、
お互いが相手に責任があるといって仲違
いしておりました。もはやそうやってい
られない時代が来ているわけです。ちゃ
んとがっちり手を組んで、一体化したイ
ンフラを、一体化した情報システムを作
っていかなければならないし、情報シス
テムを大きく変化させなければならない
時代がやって来ているのです。
十 新たなセキュリティ機能の実装
ITには明るいバラ色の未来があるよ
うに描きましたが、情報セキュリティの
専門家がやってほしくないことばかりや
ってくれるのがこれからのITです。こ
れまでのセキュリティは、一九六〇年代
から使われているセキュリティのすべて
が境界防衛モデル(
perimeter defense
model)
なのです。要は、情報システムの
内と外を決めて、内側が良く、外側は悪
いとして、そこに壁を作り守るものでフ
ァイアーウォールが典型です。
ところが、今、話題となっているクラ
ウドやスマートは、自分たちの機能が他
所の人の機能として使われ、他所の人の
機能を自分たちで使うわけです。そうす
ると、これは「内だ」「外だ」という区
別が付けられなくなります。「私も社員
もカスタマーだが、外の誰かも使ってい
る」という世界です。これの典型は、サ
プライチェーン・マネジメントのシステ
ムです。
サプライチェーン・マネジメントで、
生産から販売までのシステムに関わって
いる多くの関係者に、「あなたたちは外
ですからね」とはできないので、みんな
呉越同舟、運命共同体を作り、同じリス
クを背負うようになります。今までのよ
うな、「内側が安全」で、「外側にリス
クがある」というモデルではなくなりま
す。そうすると、「外だ」、「中だ」と
いう区別が付けられないので、今までの
情報システムが作っていたいわゆる境界
防衛モデルに基づいた、内、外の境の防
衛ラインで守ろうという考え方はできな
くなり、すべての領域・すべてのエリア
にセキュリティを入れていかなければい
- 8 -
けない。
次に、均一ではな
い多種多様なデバイ
スが接続されること
です。例えば、携帯
電話のような非力な
ものからスーパーコ
ンピュータまで、ネ
ットワークに接続さ
れます。そうすると、
パソコンでできるセ
キュリティの機能は
携帯電話ではできな
いけれど、同じよう
な情報は取り扱うことになります。実際
にiPhoneを持っている人のなかに
は、業務に使っている人がいます。また、
iPhoneだけで業務をやっている人
が出てきています。iPhoneはかな
りパワフルとはいえ普通のコンピュータ
から見たら非力です。そういう物理的制
限が山のようにある中でどうやって均一
な情報管理をしていくのか。しかも、管
理するノード数が数千、数万台に増えて
きている環境での情報管理となります。
情報セキュリティの基本とは、できる
限り均一なデバイスを使い、
異物を排除しましょう。異
物がつながってくるときは、
それはセキュリティポリシ
ーでダメだと妨害しよう。
こういうルールになってい
るのです、しかし、今やっ
ていたら、スマートなライ
フはできない。スマートな
ビジネスはできなくなりま
す。iPhoneは、日本
の多くの会社ではセキュリ
ティポリシーで使ってはい
けないことになっています。
それ以外に、信頼というのをどう考え
るかということがあります。今まで、「一
か所ですべてを開発しており、本物です
し、信頼のできるものです」と言えたの
です。ところが、今、OS、ライブラリ
ー、データ整理、セキュリティパッケー
ジ、GUI(
Graphic User Interface)
が
それぞれに違っていて、「このシステム
は、私どもが作りました」と言ったとき
に、どこが信頼のベースになり、誰が信
頼の根っこで「この人が保証したから大
丈夫ですよ」と言えるのでしょうか。
信頼の概念の再構築が必要です。
それから、ロバスト(
robust)
とかレジ
リエント(
resilient)
というのは、もとも
とセキュリティでは考えていないし、機
能不全を起こしても「いや、いや、壊れ
ても、なんとか生き残りましょうよ」と
いうシステムと、それをどかしてバック
アップに行きましょうということになっ
ているセキュリティポリシーでは相容れ
ないのです。このロバスト(
robust)
とか
レジリエント(
resilient)
という考えを
どうしたらいいのかということが残りま
す。
十一
CSP(C
omputing Service Provider)
さらにスマートテクノロジーの中核と
なってくる仮想化という技術があります。
どういうものかというと、例えば、自分
の使っているウィンドウズシステムをデ
ータセンターに置いておいて、行く先々
でコンソールをつなげることで、別にパ
ソコンを持ち歩かなくてもいいという世
界はもうできるのです。現実にこのサー
ビスは、シンクライアントのもう少しカ
ッ
コ
い
い
版
と
し
て
I
S
P(Internet
Service Provider)
で始まりだしています。
十二
〝BYO〟(B
ring your Ow
n) for
- 9 -
reducing the cost
アメリカですごく流行っているのが、
Bring
Your
Ownという考え
方です。何をやっているかというと、ま
ず、業務で使うシステムは、データセン
ターの中に全部置いて、コンソールだけ
ネットワークで引っ張ってきて、ユーザ
ー側のところは仮想化を入れて、業務に
シンクライアントを入れる。まず、社員
には、コンピュータを最初に支給するが、
企業側がデータセンターのシステムをア
ップグレードするだけで、シンクライア
ントしか使わないコンピュータが陳腐化
することはないし、バーチャルマシンと
して完全に分離しているのでウィルスに
感染することもない。
そうすると、ある社員は、「僕はMa
cがいいのですが」と言って来た場合も、
「では、自分のものを持ってきなさい、
こちらでセットアップしますから」。そ
ういう意味で、Bring
your
o
wn
laptop
computer
to
the
office
by
BYO、
自分のコンピュータを持っていていいけ
れど、業務を行うところだけは、バーチ
ャルマシンとして完全に分離した形でや
りなさいというのが流行ってきているの
です。
そうすると、自分が「業務で使うコン
ピュータはどこにあるの?」、「これを
使っているのですよ」と目で見えている
のと違って本当の実体はデータセンター
にある。自分のコンピュータがデータセ
ンターにあるという時代がもう来はじめ
ているのです。
十三
プロセス移動は普通
もっと凄いのが、バーチャルマシンに
なると、使うコンピュータのハードウェ
アには関係ないプログラムの動いている
ランタイムのイメージなのです。それを
「ストップ」と言ってファイルとして固
め、ぎゅっとメモリを全部ダンプして、
一つのファイルにして、それを人に送っ
て、「レジューム」と言いうと、使って
いた状態に復活でき、必要な作業を加え
て送り返すことができる。このシステム
は、四月ぐらいからマーケットに出ると
いう噂が出ています。
これからは、「この論文を見てくださ
い」と、メールでコンピュータを送って
くる時代が来るのです、これがこれから
先に起こる現実なのです。
十四
分らないことが次々出現
そうすると、われわれが今使っている
コンピュータは物理的に存在しているの
か、データはどこにあるのか、このシス
テムはいったい誰が使っているか、メー
ルでコンピュータを送れるようになった
ら、そのコンピュータは誰のものなのか、
分からないことが山のように出てきます。
この分からないことが出てくるのがスマ
ートなのです。
コンピュ
ータが仮想
化されて運
用されるよ
うになった
ら、その仮
想化したコ
ンピュータ
の管理方式
はどうした
らいいので
しょうか。
メールで送れるような、すなわちトラン
スポータブルなコンピューティング環境
になったときに、そこでのユーザーはど
ういうイメージですか。そこでのデータ
- 10 -
保全というのは何ですか。これに対して
われわれは答えを出していかなければな
りません。
もちろん、こういうものを使わないと
いう世界もかんがえられます。それは、
ガラパゴス化になるかもしれない。今、
岐路に立たされているのです。進歩して
いくがいばらのある道を歩むのか、進歩
しないかわりにガラパゴス化していくの
か、どちらに行こうかと見ている状態で
す。これをセキュリティに関係している
人たちも見ているわけです。ITに携わ
っている人たちは、日刊紙に毎日のよう
に「クラウド」、「スマート」という言
葉が掲載されているとおり、進化の道に
一斉に進んで行っています。
進化の道を選んだ場合のこれからのセ
キュリティはどうしたらいいのでしょう
か。これは大きな問題で解決方法は、結
論として冒頭で言ったようにバラ色のセ
キュリティの未来はないのです、実際に
クラウドサービスを提供している人たち
ですら残念ながら。今から作らないとい
けないといっており、困っています。
よし、スマートに行くぞ、グリッドに
向かうぞ、クラウドを採用するぞといっ
たときに、最後に残されたボトルネック
が実はセキュリティで、これに対してち
ゃんとした答えを出せたらビジネスウィ
ナーになれるぞと思っているわけです。
これができれば、いろいろタフでクリテ
ィカルインフラとか、防衛などもいける
ぞとみんな思っているのです。
ここが今のITと情報セキュリティの、
いちばんおもしろくて、かつ不健全で未
来のないところですが、おもしろそうな
領域になってくるでしょう。
もう一つ、われわれが考えないといけ
ないのは、コストです。まず、アタッカ
ーは、自分の攻撃を目立つようにして攻
撃するのではないのです。クリックして、
ソフト買って、「GO」とやると、「わ
ーっ」と攻撃をするという世界です。こ
の世界は、Easy
to
go、Eas
y
to
attackなのです。
一人で五〇〇〇台のシステムを管理で
きる技術をマイクロソフトが作って、実
証して商品になり始めているのを知って
いますか。それは、一台一台のコンピュ
ータをセンサーとアクチュエーターに見
立てて、ロボットの制御プログラムで、
三〇〇〇台、四〇〇〇台のコンピュータ
を管理するというのをやってみたら、う
まく動いたのです。他の人たちもそうい
ういろいろなアイディアを使ってやって
いるのです。
われわれが今から活動していく中で、
数台のコンピュータと数台の携帯電話と
数十のセンサーと数百のモバイル、サポ
ートデバイスがある空間の中で活動して
いくのです。その中から得られるサービ
スを使って業務をやり、活動するのです。
それに対して、ユーザーという立場での
管理、それから、サービスを提供するイ
ンフラの側での管理をどうしていくのか、
というところがもう一つの課題になりま
す。 前
述したマイクロソフトの話は、実例
ですが、完全な答えではありません。こ
こもまだ分かっていない世界なのです。
十五
「信頼」(
trust)
の形成
最後の一つが、信頼の問題です。これ
は、答えが出ていなくて、いちばん危な
いところなのです。さっきのクラウドと
か、新しい情報基盤とか、スマートとい
う世界で利くのか。これで十分か。誰も
答えがありません。でも、適切な信頼の
根っこ(
Trust Anchor)
の形成、C・I・
- 11 -
Aの適切な実装、アクセス制御、イメー
ジの健全性の確認、通信路の暗号化、ソ
フトウエアの安全性評価、サービス提供
ベンダーの認定指標、物理的データセン
ターの管理レベル認証、サービス運用者
のクリアランス認定などがきちんとでき
ればよいということになります。
では、システムの
安全性評価はどうす
るのでしょうか。シ
ステムは、キチンと
作っているのかを1
5408のスタティ
ック(
static)
な基準
(
システムに改修、拡
充があったとき再度
認証)
で検査して、
「はい、ちゃんとできています」、これ
が二〇世紀型なのです。二十一世紀型の
システムは、15408が取れ納品を受
けた日から成長しています、と言うと、
毎日認証を取らないといけなくなってし
まうわけです。これは何なのだと。これ
は本当の意味での安全性評価なのだろう
か。スタティックな基準を考えなおさな
いといけなくなります。
それから、第三者が提供する情報シス
テムをわれわれは使っていくわけです、
では、サービスを提供する人をどうして
安全だと思えばいいのでしょうか。例え
ば、グーグルの安全性をわれわれはどう
いうふうに認定するのでしょうか。ある
いは、インドのどこかの会社が出したミ
ドルウェアを使いました。
これはどうして安全だと
言えるのでしょうか。
このような状況でスマー
ト化に向かって行くため
には、信頼というものの
構造が必要となりますが、
適切なTrust
An
chorの形成、C・I・
Aの適切な実装、アクセ
ス制御などの三つぐらいまでしか実現で
きそうもないわけですが、その先、イメ
ージの健全性確認、通信路の暗号化、ソ
フトウエアの安全性評価、サービス提供
ベンダーの認定指標、物理的データセン
ターの管理レベル認証、サービス運用者
のクリアランス認定などを全部やってい
かないといけません。しかし、前掲した
うち、ソフトウエアの安全性評価、サー
ビス提供ベンダーの認定指標、物理的デ
ータセンターの管理レベル認証、サービ
ス運用者のクリアランス認定などがどう
しようもないのです。
十六
まとめ
以上で、ITは本当にバラ色になりま
す。すばらしい。早く、二〇世紀の携帯
電話を使っている人は二十一世紀型の携
帯電話を使ってみてください。iPho
neだけではありません、ラップトップ
もいちばん新しい環境を使ってみてくだ
さい。本当に幸せです。自分たちがもう
快適になります。iPadを買って、あ
れにバーチャルターミナルを入れて、そ
れで講演をすることなど夢ではなくなり
ます。
とはいっても、セキュリティを考えると、
頭が痛いですね。
霞が関はクラウド化すると言っていま
す。このセキュリティルールを考えるの
は極めて難しいことです。これからのス
マートというのはセキュリティの問題が
たくさん潜在しています。
皆さんで一緒にこれを考えていきまし
ょう。それから、本当にどういう答えが
いいかをぜひ考えていってください。
- 12 -
本記事は、今年二月一〇日㈬にホテル
グランドヒル市ヶ谷において、当協会主
催で行った「情報セキュリティ技術セミ
ナー」における講演内容を抄録版とした
ものです。
講演は、㈱シマンテック総合研究所主
席アナリスト
工学博士
伊東 寛
氏に
「近隣諸国のサイバー戦事情」を演題に
講演をしていただいたものです。
一
はじめに
日本人は、現に、いろいろな不安全や
危機があるのに気がついている人が少な
く、危機意識に欠けているのではないで
しょうか。それを訴えることが私のライ
フワークの一つです。本日、取り上げる
「サイバー戦」もその一つです。
「サイバー戦」という言葉の定義はま
だありません。一般的には、コンピュー
タシステム、ネットワーク等に、いわゆ
るハッカーが侵入してきたり、それらが
コンピュータウイルスに感染してシステ
ムがダウンさせられてしまうことを軍事
的に利用する分野で、これをサイバー戦
というのではないかと思います。
このサイバー戦自体も、いくつかに分
析することができます。例えば、太平洋
戦争のときに、B-
29爆撃機が日本の都市
を爆撃して、工業インフラを破壊しよう
としました。これを戦略爆撃と言います
が、同じように日本の産業インフラのI
T基盤、電力系のネットワークや航空管
制などの社会インフラの攻撃に、戦車や
ミサイルを使うのではなく、ITを使っ
て攻撃を仕掛けて機能麻痺にさせるよう
な場合の「サイバー攻撃」を戦略的なサ
イバー戦と言うと思います。
また、自衛隊の指揮統制システム等を
「サイバー攻撃」から守ることは、戦術
的なサイバー戦と言えるものです。
サイバー戦についての話をすれば、長
い時間がかかりますので、本日はこのあ
たりでとどめ、以降サイバーテクノロジ
ーを軍事技術に使うという発想で、われ
われ日本の回りにある国のうち、中国・
ロシア・北朝鮮の状況についてお話しし
たあと、最後に、日本は、今どうなって
いるということに簡単に触れて、まとめ
ます。
当然のことですが、どこの国の軍隊も、
自分たちの秘密とするところが知られれ
ば、相手が対応してしまいますから、サ
イバー戦技術やサイバー戦戦法に関する
情報を外部に知らせるようことはありま
せん。したがって、今日の「サイバー戦」
に関するお話のソースは、インターネッ
ト及びマスコミからの公刊情報がほとん
どです。そのなかで、インターネットの
情報は一〇〇%真実ということはありま
せんので、取捨選択して確度の高いと思
うものを拾い上げまとめたものです。
本題に入る前に、講演の内容は、特定
の企業・団体の公式見解ではなく個人の研
究の成果であることを申し添えておきま
す。
二
諸外国の状況
㈠
中国
ア
超限戦
平成二十一年度
情報セキュリティ技術セミナー講演抄録
近
隣
諸
国
の
サ
イ
バ
ー
戦
事
情
- 13 -
中国では、一〇年ちょ
っと前の、一九九九年に
中国人民解放軍の二人の
空軍大佐が書いた『超限
戦‐グローバル化時代の
戦争と戦法についての考
え方』という本が出てい
ます。その中に、今、ア
メリカが騒いでいるテ
ロ・生物兵器・化学兵器・
ハッカー戦・麻薬密売等、
戦争行為としてタブーと
されている各種手段のす
べてを使い、それらを組
み合わせて戦争を遂行す
るというようなことが述
べられています。
中国という国は、軍人がものを言うと
きに、まったく中国政府の意向に反する
ことを言うはずもないというお国柄です
ので、こういうことが公刊文書で出たと
いうこと自体が、中国人民解放軍が戦争
についていろいろなことを考えているこ
とを物語っています。そして、その中で、
コンピュータに関する戦闘というものも
当然のように考えていることを窺い知る
ことできます。
イ
情報戦争シミュレーションセンター
同時期の一九九八年、中国人民解放軍
に「情報戦争シミュレーションセンター」
ができたという記事がありました。名称
からして、必ずしもサイバー戦部隊では
なかったかもしれませんが、中国人民解
放軍は、一〇年以上前から、情報戦争や、
科学技術を戦争の要素として非常に重視
していたということが窺えます。
ウ
サイバー戦部隊を組織、ウィルス開発
を実施
中国人民解放軍のサイバー戦部隊に関
する情報は、米国の国防白書の二〇〇七
年版に、「サイバー戦部隊を組織して、
ウィルス開発もやっている」と書いてあ
りました。以降、二〇〇八年版、二〇〇
九年版のも同じようなことが書いてあり
ます。二〇〇九年の三月には、さらに組
織の拡充の速度を増しているとも記述が
ありました。
では、人民解放軍のサイバー戦部隊は
どのようなものなのでしょうか。ネット
の情報を見ていると、本当にたくさんの
情報があり、なかなか判断をつきかねて
います。組織の規模は、最近のFBIの
報告による数千人という説があります。
一万人を超えているという説もあります
し、台湾の報道による「中国網軍四〇万
人」というのもあります。四〇万人とい
うのはちょっと多いのですが、おそらく、
軍隊、人民解放軍のサイバー戦部隊のほ
かに、政治的なものを取り締まるような
組織、それから、民間人のハッカー、全
部合わせて、それを中国語で網軍と称し
て、四〇万人ぐらいになるのではないか
と考えられます。
一年前の二〇〇九年にゴーストネット
と呼ばれるサイバー・スパイ・ネットワ
ークの話が出てきました。
これは、カメラやマイクが付いている
最新型のパソコンが、相手とリアルタイ
ムでテレビ会議やテレビ電話できるよう
な機能を持っており、このパソコンがゴ
ーストネットで使われたマルウェアに感
染すると、持ち主の知らない間にマイク
ロフォンやテレビカメラがオンになり、
会議や会合の情報が漏洩してしまうとい
うものです。
このゴーストネットが確認されたのは、
チベット亡命政府の内部情報がどうも外
に漏れているらしいということから調査
- 14 -
が始まりました。カナダの会社とカナダ
のトロント大学のチームの調査の結果、
インド・インドネシア・韓国・パキスタ
ンなどの大使館のパソコンを含め、多く
の重要なパソコンへのマルウェアの感染
が確認されましたが、ダライ・ラマ14世
を監視の対象になっていることからも、
確証はないが犯人として中国が怪しいと
疑われているのは、公然の事実です。
中国に関
するもので、
イギリスの
王立統合防
衛安保研究
所の安全保
障部署の責
任ある人が、
「
最
近
の
米・英・独・
仏に対する
サイバー攻
撃に関して、中国人民解放軍が関与して
いる可能性は極めて大きい」と二〇〇七
年に言っています。
そのほかに、台湾等への執拗な攻撃が
行われたと思われる節がありました。次
のグラフですが、縦軸がサイバー攻撃す
る量です。横軸は、時間軸になっていま
す。このようにフタコブラクダのような
パターンを示しています。パケットを調
べると、cn
というアドレス。つまり、中
国を示しています。
しかし、他人になりすまして攻撃して
いるのかもしれませんし、他人のシステ
ムを乗っ取って、そこから攻撃したのか
もしれません。cn
が付いているから、こ
の攻撃の犯人が中国からだということに
はならないのです。
グラフの
横軸は二十
四時間にな
っています。
つまり、一
日の間に、
二回のピー
クがある。
これは、い
ったい何な
のだろうと
考え、分析することからはじめます。
先ず、ハッカーといわれる一般の人は、
自分が嵌ると、寝食を忘れてやりますか
ら、こういうパターンにならないだろう
と判断の前提ができます。そうすると、
ピークの谷になっている時間帯は正午に
かかっていて、おそらく昼休みではない
かと仮定した場合、一つ目のピークの立
ち上がりが朝の課業開始に、二つ目のピ
ークの終了が午後五時の課業終了と思わ
れる時間とともに、やめてしまうという、
いかにも官僚的な攻撃のパターンが見え
てきます。
では、このパターンで昼休みの正午を
迎え、課業時間のパターンに合うところ
はどこなのか、グリニッジ時間で探すこ
とで中国の北京だと特定されました。
また仮に、ネット監視の厳しい中国か
ら攻撃をやっているとすると、外に向か
って攻撃を仕掛ける場合、ネット監視網
を通り抜けなければなりませんが、それ
を黙認をしているのか、見逃しているこ
とがない限り、こういう国の識別記号cn
付きのアドレスが外国に嫌がらせをする
ことはあまりないはずです。ということ
は国としてやっている臭いがちょっとし
ます。決して中国を誹謗しているつもり
はありません。こういうことも考えられ
るということです。
- 15 -
エ
中国サイバー戦の能力は
最後に、中国のサイバー戦の能力はど
れぐらいなのかというのを評価してみた
とろ、軍隊のサイバー戦能力は、あまり
高くないかもしれないと思っています。
一つは、前述した中国からと思われる
フタコブラクダ型パターンの攻撃が、い
かにも官僚的で、レベルの低い攻撃を一
定周期でやっていること、最近あまりな
いということ。
もう一つは、中国
は、経済が急激に発
展していて、パソコ
ンを所有する富裕層
の子供たちは人民解
放軍に入隊をしない
し、また、貧困層か
ら入隊したなかの優
秀な子供たちは、人
民解放軍でしっかり
サイバー戦について
の教育を受けるが、
安月給の軍をすぐに除隊して、民間に行
く者や、起業する者がいて、人民解放軍
のサイバー戦部隊が人材育成という問題
を抱えているという内輪話を耳にしたこ
とがあります。いかにもありそうな感じ
です。
そうすると、経済が順調な時代が続け
ば人民解放軍のサイバー戦能力が上がら
ないということになります。しかし、民
間に目を転じますと、今度は、逆に驚く
ほど高い能力をもっていると思われます。
日本のハッカーの皆さんと去年、中国
から帰ってきたハッカーの方を交
えて話をする機会がありました。
そこで、中国製のW
indows
、Vista
のOSに漢字の書いてあるディス
クを見せてくれたのです。
それは、中国人のハッカーが、
正規のマイクロソフトのOSのデ
ィスクを解析して、必要のないと
ころや冗長な部分、チェックが入
っているところを全部はずして、
最適化して、アクティベーション
の機能なども全部取っ払って、工
業製品のような格好でパックして
売っていたそうです。ちょっとす
ごいなと思いました。
日本人でこのレベルのハッカーはいる
のだろうかという質問に、少なくとも私
たちの周りの中にはOSをばらして戻す
というハッカーはいないのではないかと
言っていました。
このW
indows
の偽OSですが、安くて
いいものを買ったというかも知れません
が、間違いなくバックドアが付いていま
す、絶対に危ないです。
中国をまとめますと、国家意思に基づ
くサイバー戦能力が整備されており、サ
イバー戦部隊の能力は低いかもしれませ
んが、とにかく頭数が多いので、能力が
高い人もいるでしょうし、愛国心に燃え
る人もいると思いますから、全体として
の能力は侮れないものだろうと思います。
また、反日教育ですり込まれたりする
こともありますが、民間人のハッカーが、
もし戦争になった場合は、「愛国無罪」
という号令で、戦争に協力する可能性も
まったく否定できません。また、サイバ
ー戦組織として、既に中国政府によって
組織化されているかもしれませんし、民
間団体を装って、現にあるのかもしれま
せん。
このように見ていきますと、中国全体
は、国家の意思の下で、サイバー戦部隊
は編成・訓練されているだろうし、国家
レベルとして、侮れない能力を保有して
- 16 -
いるのではないかと思います。
㈡ ロシア
ア 将来戦は情報戦である
ロシアは、
ネットその
他の資料を
調べてもサ
イバー関係
の情報があ
りませんで
した。最初
に調べた頃
にあったの
は、軍の高
官が、数年
前に発言し
たという内
容で、「も
しロシアを
サイバー攻
撃した場合
は、核兵器をもって報復する」という発
言が二〇〇二年頃の一般資料に掲載があ
ったというものだけでした。
そのあと、二〇〇八年に、ロシアの参
謀総長代行のアレクサンドル・ブルティ
ンが、モスクワで演説をした中で、「将
来戦は情報戦」であるといっています。
また、「将来の情報戦に勝利する」目
的を達成するため、「軍や特務機関に特
別な部門が編成されているところである。
情報作戦の準備と実施に関する基本的文
書も作成中であり、訓練も始まっている」
と発言しています。このような演説から
も間違いなく、サイバー戦部隊を創り、
規則や教範等を整備した教育環境もでき
あがっていると思われます。
イ
ロシア軍のグルジアへの軍事作戦に
連携したサイバー攻撃
二〇〇八年のグルジア侵攻時に、ロシ
アによるサイバー攻撃がかなり広範囲に
行われたことは有名です。このときには、
グルジアの大統領府、グルジアの議会、
外務省、国防省、メディアなどに重大な
被害が発生しました。もちろん、ロシア
軍は、これはわれわれでないとしていま
すが、軍の作戦行動にリンクした形でサ
イバー攻撃が行われております。
どんなことが行われたかというと、グ
ルジアの政府のサイトが書き換えられる
攻撃や、相手のコンピュータに無意味な、
あるいは意味があってもいいのですが、
情報を大量に流してパンクさせてしまう
ような攻撃、それから、受信者の意向を
無視して、無差別かつ大量に一括して送
信するスパムメールです。
それから、Stop G
eorgia.ru
というロシ
アのサイトに、みんなでロシア軍を応援
しようというページが立ち上がっていま
す。このサイトは、前からあったらしい
のですが、戦争が始まると同時に、熱狂
的に戦争を支援して、愛国心をあおって
- 17 -
いました。そこに、われわれロシア人は、
祖国のために一緒に戦おう。オンライン
パルチザンと呼ぶらしいのですが、グル
ジア大統領府のメールアドレスや、ホー
ムページのアドレスというものがいっぱ
い書いてあって、ここを攻撃しましょう、
みんなでそこに何かやりましょう。あな
たもロシアのために戦えますよというよ
うなページができていました。
そのほかに、ゲートウェイという何カ
所かで外につながっている場所が攻撃を
受けて、グルジア人たちが世界と連携が
取れないようにするというバリケードと
いう攻撃をうけています。
それに対して、グルジアのハッカーは、
同じようなページを作って、われわれグ
ルジア人もロシア人と戦おうというペー
ジを立ち上げたのですが、ロシア側のハ
ッカーにより、グルジア人同士のハッカ
ーの連携が妨害されたと言われています。
最後に、私自身では確認できなかった
のですが、Stop G
eorgia.ru
というサイト
をたどっていったら、最後にたどりつい
たのがロシアの軍情報部本部のビルの隣
の番地になったと書いていた研究者がい
ました。
ウ
サイバー戦部隊
ロシアで
すが、サイ
バー戦部隊
の編成組織
などは不明
です。しか
しながら、
サイバー戦
実施の可能
性がありま
すし、基本
的文書の作
成や訓練は
始まってい
ると思われます。サイバー戦に関する事
業は開始したばかりと明言しています。
始まったばかりに見えますが、将来的に
は大きな能力を有する可能性があると思
います。
㈢
北朝鮮
ア
去年七月のD
DoS
攻撃騒動
去年の七月に、アメリカと韓国に対す
る大規模なD
DoS
攻撃の騒動がありまし
た。
実際は複雑な形態ですが、簡単に言う
と、マルウエアの添付されているメール
が送りつけられ、パソコンが感染すると、
感染したパソコンのメールアドレスを調
べて、また自分を投げるという方法で広
がっていきます。広がった先で、今度は
バックドアを開けて、別のところから、
「どこかを攻撃するためのマルウェア」、
「攻撃する相手先のアドレスのリスト」、
それから、「自爆するためのソフトウェ
ア」など、いろいろなものをダウンロー
ドしてくるものでした。
このD
DoS
攻撃につい
ては、北朝
鮮からだろ
うという報
道が極めて
多かったの
を覚えてい
ます。攻撃
経路を追跡
すると、I
Pアドレス
が、北朝鮮
の逓信庁だったとか、たくさんこのよう
- 18 -
な報道が出ておりました。
個人的な見解をここで少し述べたいと
思います。
このマルウェアの特徴ですが、「メー
ルで増やす」、「一瞬見ただけでは何だ
か分からないようにする難読化の処置が
ない」、「感染したPCが二万台から五
万台」と少ない、「時限爆弾の機能を持
っていた」、「技術的に、中を見たとこ
ろ、技術的にはあまり高くない」、それ
から、「ソフトの構造が、いろいろなソ
フトを持ってきたような形のマルウェア
で、構文とか作り方から見て、一人で作
ったように見えない」という感じがあり
ます。
そういう兆候のうち、ではどう見るの
だというのですが、いちばん上の「メー
ルの仲間を増やすとき」、当然、アメリ
カと韓国の政府機関のアドレスがいっぱ
い載っているのは当然としても、農協が
入っているは不自然です。
これは、もしかすると、あまり、外国
のアドレスの事情に詳しくない人が犯人
かもしれません。
「時限爆弾の機能」がありましたが、
どういうものかというと、ファイルの名
称のあとに、エクステンションといって、
三文字でその種類が分かるようになって
いて、ppt
があったら、それは壊せ、ttx
が
あったら壊せとなっていましたが、その
中に、韓国の陸軍が一〇年前に作り、現
在使用していないワープロソフトのエク
ステンションが入っていました。これも、
最新の韓国のインターネット事情に詳し
くない人の犯行に見えます。
「感染したものは、二万台から五万台」
と言われ、その前に流行ったコンフリッ
カーは、一〇〇万台レベルで感染してい
ますので、感染力はあまりたいしたこと
はありません。
複数のマルウェアが相互に連携するよ
うになっており、このタイプのものは、
あまり例がありませんが、技術的には高
くないものを、上手に組み合わせて作る、
結構賢く、スマートな感じがしました。
韓国のセキュリティ会社のアンチョル
ス研究所のサイバー攻撃に対する解析が
群を抜いていたので、一部では自作自演
ではないかとも言われていました。
最近のマルウェアは、金銭目的に使用
されることが多く技術レベルが高いのに
比べて、昨年七月のものは、金銭目的で
もなく、技術的にも決して高度なもので
はないように見えるが、結構賢いものだ
ったのは何だったのでしょうか。
思い出すのは東
西冷戦時代に、航
空自衛隊の訓練レ
ベルやレーダー緒
元を調べる目的で
ソビエトの飛行機
が定期的に太平洋
岸を北から南へ、
東京の上空まで飛
んできて、帰って
いく、東京急行と
いう偵察行動と同
じような、サイバー戦上の東京急行では
なかったのではと、ふと想像しました。
イ
北朝鮮のサイバー部隊
北朝鮮のサイバー部隊の評価をする前
に結論をいいますと、ここまでの話から
レベルは低いように感じたように思いま
すが、実はかなりレベルが高いとおもわ
れます。
その訳は、北朝鮮のサイバー部隊自体
は、一つではなく、党に属しているもの、
軍に属しているものなどのほかに、サイ
- 19 -
バー戦組織、
もしくはサ
イバー部隊
も、軍や党
や、いろい
ろな思惑の
ある人たち
がそれぞれ
やっていて、
それぞれの
能力が違う
のかもしれ
ないという
ことです。
現在、北朝鮮は、国家レベルの産業基
盤は崩壊状態です。
このような状態にあるときに、どのよ
うなことを考えるかというと、肉体を極
限まで鍛え上げた特殊部隊の編成、地対
地弾道ミサイルの開発、そしてお金のか
からないサイバー戦などになるのではな
いでしょうか。
これは、二
〇〇五年に、
国家情報院
と韓国の西
江大学が開
催したサイ
バー戦のセ
ミナーで、
北朝鮮の美
林自動化大
学では一九
八一年以来サイバー戦技術を持つ卒業生
がでているという脱北者の証言があった
のですが、これは、通信電子技術を持っ
ている卒業生がいますということだと思
います。そのあと、この脱北者が一九九
二年には攻撃用ソフトウェアの開発に成
功したと言っていることを考えると、や
はり、サイバー攻撃を軍が考えている可
能性が高いと思います。
また、この脱北者の何気ない発言に、
「サイバー戦は、日常生活に侵入する可
能性のある戦争である」という言葉があ
ることから、北朝鮮では、サイバー戦と
いうものは、有事のものではなく、平時
をも考慮にいれたものなのでしょう。
最新の情報では、軍に総勢五〇〇名程
度のハッカーの要員がいると言われてい
ます。総参謀部には三〇〇人、敵攻局に
一〇〇人のハッカーがいるといわれてい
ます。
さて、その北朝鮮の軍隊のサイバー戦
のレベルですが、非常に高いと思ってい
ます。先ほどの中国と事情が似ていて、
ぜんぜん様子は違います。小学校や中学
校に相当旧式なパソコンが一台ぐらいし
かないことからも、パソコンに触ったこ
とがない国民がほんどなのは中国の貧困
層に似ています。
しかしながら、優秀な子供たちは、推
薦という制度によって前述したような通
信電子技術専門の学校に優先的に入れら
れて、国が丸抱えで勉強させてくれる仕
組ができあがっているそうです。
貧乏だが、優秀な子どもたちもエリー
ト教育を受けさせているのです。
これらの人の中には、世界コンピュー
タ囲碁選手権で、連続五年優勝したぐら
国家レベルの産業基盤は
崩壊状態
- 20 -
い強いソフトを作れる者、コンピュータ
将棋選手権の初出場で上位の成績を残せ
るような高い能力を持っている者がたく
さんおります。
北朝鮮は、
このような
優秀な子供
たちを優先
的に教育し
て、集めら
れているこ
とが分かる
と思います。
戦争があれ
ば、当然、
そういうハ
ッカーとか、
サイバー攻
撃の要員として使われるのは間違いない
と思います。
最後に、北朝鮮の弱点ですが、閉鎖社
会で、創造性・ひらめき・独創性に欠け
ているのではないかと思っています。あ
と、情報が制約されているので、思いも
つかないミスをするかもしれません。そ
れが、先ほどの昨年七月のDDos攻撃
にあった、農協への攻撃や、一〇年以上
前に使っていたワープロソフトを消去対
象にしたことかもしれません。
㈣
我が国
近隣の三国を述べましたが、日本はど
うなのでしょう。日本も、二〇〇一年に
はe-Japan
重点計画が出されるなど、いく
つかのセキュリティに関する取組を始め
ています。
また、二〇〇二
年には、日本戦略
研究フォーラムか
ら、日本はこれか
らインターネット
の社会になるのだ
から、国としてこ
れらを守らなけれ
ばいけないという
緊急政策提言が出
ています。
しかし、e-Japan
の中をよく読むと、本
格的戦争という観点からは、当時、分析
はされていませんでした。
その後の状況ですが、総務省は、平成
十八年から三か年計画で、電気通信事業
分野でサ
イバー攻撃
対応演習を
実施してい
ます。でも、
まだ始まっ
たばかりで、
これからと
いうことで
す。 そ
れから、
経産省もい
ろいろなソ
フトウェア
の脆弱性撲
滅対策セミ
ナー等、いろいろなことをやっています。
警察庁は、ご承知のように、二〇〇一
年に重要社会インフラも含めた警察ネッ
トワークに対する攻撃監視を目的とした
サイバーフォースができています。
各自衛隊にもサイバー戦部隊はありま
す。そして、二〇〇八年には、指揮通信
システム隊も新編されました。
さて、二〇〇九年にセキュアジャパン
2009が出ましたが、その中で、防衛
その後の状況
- 21 -
省に関しては、やはり、防衛省の保有す
るネットワークに対するサイバー防護等
になっております。
つまり、現時点に
おいても、自衛隊の
任務に、「国民のシ
ステムを守る」は入
っていません。陸上
自衛隊の戦車は、自
衛隊の駐屯地を守る
ためにあるわけでは
ありません。しかし、
日本の国民の生命・
財産を守るためにあ
るにもかかわらず、
任務に入っていない
のです。任務に入っていないから、自衛
隊の人を責めてもしょうがないのです。
これは、国民一人ひとりが、政治家に訴
えなければならないと思います。そのほ
かに、サイバー戦にかかわる法律上の問
題があります。国際法、戦争法は、戦争
とは何ですかという法律と、戦争はどう
やりますかという法律になっていますが、
どちらもサイバーに関するものはありま
せん。もちろん、国内法規にもありませ
ん。今あるのは、サイバー犯罪何とか条
約とか、サイバー犯罪に関するものだけ
です。 有
事法制自身も、武力攻撃事態関連
三法案が成立したくらいの状況ですの
で、まだまだ遅れています。
しかし、本日は時間の関係で近隣諸
国の三国でしたが、ほかに目を転じれ
ば、イギリスは、もうサイバー戦担当
の大臣、アメリカは、大統領の顧問、
調整官などを準備したり、おいたりし
ていますし、また、サイバー部隊を作
るといっております。サイバー攻撃を
危惧している国は、どの国も、みんな
やっています。日本としては、サイバ
ー防護の体制を早く何とかしなければ
いけないということを言いたいのです。
今の日本では、サイバー戦についてのコ
ンセンサスができておりません。つまり、
どこかの国が、戦争に先立って、戦略的
にサイバー攻撃をしかけてきたときに、
それに対応するのは警察なのか、総務省
なのかのコンセンサスもないし、戦略も
ないようです。
それから、米国やイギリスにおけるよ
うな、サイバーセキュリティに関する調
整官もありません。そして、基本的な法
整備がされておらず、ましてや各省庁所
掌も明確にされておりませんし、具体的
な組織の整備もされておりません。
最後に、
このような
サイバー戦
に臨む態勢
を整備して
いくために
は、国家の
常用な技術
として、産
業自体のサ
イバー技術
を保護、育
成していか
なければダ
メだと思っ
ています。
日本のものだという安心感を与える対
サイバー製品を、日本の中で使えるよう
になればうれしいなと思います。
サイバー戦の対処はこれからです。まず、
危機意識の共有と戦略の策定、そして、技
術の向上が必要だと思います。
- 22 -
情報セキュリティ技術セミナー
本事業は、「情報セキュリティの最前
線」をメインテーマとして、防衛調達関
連企業や防衛省の主として保全担当者及
び一般からの講演聴講・器材展示に参加
していただいた方々に対し、情報セキュ
リティの現状について「正しい知識と理
解を提供する」ため、情報セキュリティ
の現状を紹介する講演会と、民間企業の
協力のもと、依然として情報漏えいの続
いている紙媒体、可搬記憶媒体を中心に
物理・ソフト面からのアクセス制御、統
合ログ管理やセキュリティシステムの先
端技術を活用した特色あるゾーンを設け
た器材展示・デモを平成二十二年二月一
〇日㈬に新宿区のホテルグランドヒル市
ヶ谷三階で開催しました。
なお、講演会は、午前一回、午後二回
の計三回を琉璃中・西の二間で行い、器
材展示とデモは、午前九時から十七時の
間、珊瑚の間、真珠の間に分けて行いま
した。
一
講演会
㈠
午前の部
「急変するITと情報セキュリティ」
―
情報セキュリティ最前線
―
奈良先端科学技術大学院大学
教授
(
内閣官房情報セキュリティセンター
情報セキュリティ補佐官)
工学博士
山
口
英
氏
近年のIT製品は、情報処理をする基
盤の製品開発とサービス提供のタイムラ
インが非常に速い。企画からロールアウ
トまでが大規模なものでも四十八カ月程
度になっている。今までの防衛装備品の
ロールアウトに比べ、非常に短いスパン
で出てくる。さらに、既存のシステムを
成長させ、顧客の満足度を高める新たな
機能を随時追加するなどの並行開発型と
いうものが一般的になってきているそう
です。また、開発には、単独一社ではな
く、その開発にかかわるコアのテクノロ
ジーを提供するところが十社を超えるそ
うです。たとえば、パソコン一つを取っ
てみても、アッセンブリしている企業以
外に多くの企業のテクノロジーが組み込
まれるということで、防衛装備品の世界
とは大きく変わってきており、かつ、急
速に変化してきている。今後の情報シス
テムとそれに対する情報セキュリティの
間には、どういう支障が予測されるのか
について話があり、「ITはバラ色の未来
が見えてきているが、情報セキュリティ
は霞んできている。そして、今からどう
するかを考えないと情報セキュリティは、
足枷の要因となる」と講演の結論を話さ
れてから本題に入りました。
本題の要点を簡単に紹介します。
社会インフラ自身にITが入り、ネッ
トワークで接続され、それによってコス
トパフォーマンスをあげ、新しい機能を
提供するということが普通になってきて
いる。そして社会基盤を少人数で管理し、
平成二十一年度
情報セキュリティ技術セミナー・保全管理講習の実施状況報告
- 23 -
メンテナンスを行うなど「ITを使わな
いと社会基盤そのものを動かすことがで
きない」時代が到来してきているそうで
す。 ま
た、社会インフラだけでなく、家電
品、自動車、携帯電話、医療サービス金
融、予約サービス、RFIDなどが相互
に接続され、価値を創造するようなとき
がくるそうです。
いままでのようにIT機器が単独に
あって、機能を提供するという世界でな
く、コンピュータやデバイスの積極的な
ネットワーク化によって、サービス全体、
社会インフラ全体を良くしていき、新た
な機能と価値を求めていこうとするスマ
ート化が進むそうです。
そして、規模と密度というものがあり、
グローバルなネットワークインフラの中
で世界中の顧客を相手にして、いかに効
率良くしていくか、これがクラウドコン
ピューティングです。
IT密度を高めて最適化し、全体最適
化を目指していくことになります。
このため、情報技術と通信技術を相補
的に発展させることのできる情報インフ
ラと情報システムというものをつくり始
めているそうです。
従来の情報セキュリティは、ファイヤ
ーウォールに代表される境界防衛モデル
でしたが、グローバルなネットワークイ
ンフラになると、多種多様なデバイスが
接続されて内と外の区別がつけられなく
が、十分な能力や資源のないシステムで
もセキュリティ管理が求められます。
また、コンピュータが仮想化されて運
用されるようになったら、コンピュータ
がメールで送れる。この仮想化されたコ
ンピュータの管理方式はどうしたらよい
のか、メールで送れるような移動可能な
コンピュータ環境になったときのデータ
保全やセキュリティをどうするのかとい
う問題がでてきます。
このような時代が到来してくるのに、
完全な答えはないそうです。
本講演の内容は、講演抄録として本号に掲載
しておりますので、お読みください。
㈡
午後の部
「近隣諸国のサイバー戦事情」
株式会社シマンテック総合研究所
ディレクター
主席アナリスト
工学博士
伊
東
寛
氏
ハッカーの侵入、コンピュータ・ウイル
スの感染させるなど、作為的な破壊など、
軍事的な目的で行う近隣諸国のサイバー
戦について講演をしていただきました。
サイバー戦にも、社会インフラを目標
に攻撃する戦略的なものや、ある目的で
運用されているコンピュータシステムを
目標に攻撃するような戦術的なものがあ
るそうです。
まず、中国のサイバー戦の話では、一
九九九年の『超限戦‐グローバル化時代
の戦争と戦法についての考え方』という
本から中国人民解放軍がコンピュータに
関する戦闘の考え方の紹介や、「情報戦
争シュミレーションセンター」を組織し
て情報戦争を戦争の重要要素に位置づけ
- 24 -
ている話がありました。
最初の中国人民解放軍のサイバー戦部
隊は、米国国防白書の二〇〇七年版に「サ
イバー戦部隊を組織して、ウィルス開発
もやっている」という部分で確認できた
そうです。その後の米国国防白書では、
さらに組織の拡充の速度を増していると
されていたそうです。
人民解放軍のサイバー戦部隊は、富裕
層と貧困層、国内経済発展事情と軍隊の
給与などの関係から優秀なもので組織さ
れていないだろう。しかし、在野には優
秀な人材がいて、有事には侮れない力が
発揮されるだろうという見解が示された。
ロシアは、二〇〇八年に参謀総長代行
のアレクサンドル・ブルティンが、「将
来戦は情報戦」であるといい、目的を達
成するため、サイバー戦部隊を創り、規
則や教範等を整備した教育環境もできあ
がっているだろう。
具体的なサイバー戦として、二〇〇八
年のグルジア侵攻時に行われた、軍の作
戦行動にリンクしたD
DoS
攻撃の紹介が
あった。
ロシアのサイバー戦の能力は、部隊の
編成組織などは不明ながら、将来的には
大きな能力を有する可能性があるそうで
す。
北朝鮮については、二〇〇九年七月に
起きた米国と韓国に対する大規模な
DD
oS
攻撃と攻撃の分析結果の話があり
ました。
北朝鮮のサイバー戦部隊は、党、軍、
その他組織、そしてそれぞれの思惑でや
っているようでが、そのサイバー戦部隊
の能力は、小・中学校の優秀なものを集
め、通信電子技術専門の高等教育まで行
う仕組みがあり、相当に高いレベルであ
ろう分析しています。その中で、ちょっ
と面白かったことは、閉鎖社会にありが
ちな情報不足、創造性・独創性・ひらめ
き等に欠けるところに弱点がではなかろ
うかと分析していました。
日本は、二〇〇一年にe-Japan
重点計画
と、いくつかのセキュリティに関する取
組を始めています。
二〇〇二年の日本戦略研究フォーラム
の緊急政策提言、総務省の二〇〇六年か
ら電気通信事業分野のサイバー攻撃対応
演習、二〇〇一年に重要社会インフラを
含めた警察ネットワークに対する攻撃監
視のためのサイバーフォースの構築、各
自衛隊にもサイバー戦の組織があります。
その後、二〇〇九年にセキュアジャパ
ン2009が出ましたが、防衛省のサイ
バーセキュリティに関する部分は、近隣
諸国と違い「日本の国民の生命・財産を
守る」ためにあるにもかかわらず、防衛
省内に限定されており、「国民のシステ
ムを守る」は入っていません。そのほか
に、サイバー戦にかかわる国際法や戦争
法のどちらもなく、国際法規にない以上、
国内法規もありません。
日本は、サイバー防護の体制を早く築
ため、そのコンセンサスを得た上の組織
作りが必要です。サイバー戦に臨む態勢
を整備していくためには、産業自体のサ
イバー技術の保護・育成が必要です。
サイバー戦の対処はこれからです。ま
ず、危機意識の共有と戦略の策定、そし
て、技術の向上が必要だと講演を締めく
くられました。
本講演の内容は、講演抄録として本号に掲載
しておりますので、お読みください。
- 25 -
「ISMS視点からの防衛省情報セキュ
リティ制度の改正点と組織の対応につい
て」 当
協会
防衛調達研究センター
研究部
研究員
ISMS主任審査員
榊
勝
講演は、次の六つの項目にわけて行わ
れました。
一
ISMSと適用規格JIS
Q
27
001について
ISMSの構築をJIS
Q
270
01とリンクさせながら、①メリット、
②認証審査プロセス③フレームワークプ
ロセス及び主要なプロセスである④リス
クマネジメント、⑤運用管理、⑥内部監
査、⑦マネジメントレビュー並びに⑧継
続的改善に分けて説明がありました。
二
防衛省情報セキュリティ制度の改正
点について
JIS
Q
27001に相当する基
準によって構築されている防衛省の情報
セキュリティ制度の改正点を確認した後、
当該事務次官通達、添付されている情報
セキュリティ基準、特約条項及び対策実
施確認書などの中身の個々の項目につい
ての改正点の説明がありました。
三
ISMS:
JIS
Q
27001と防衛
省情報セキュリティ基準の類似点について
ISMSの適用規格JIS
Q
27
001と防衛省の情報セキュリティ基準
とが多くの部分で類似しており、かつ、
JIS
Q
27001が防衛省の情報セ
キュリティ基準を包含している一方で、
大きな相違点として、リスクアセスメン
ト、マネジメントレビュー及び事業継続
管理などがあるということの説明があり
ました。
四
改正点の分析と組織の対応点について
防衛省の情報セキュリティ制度の改
正点を分析することによって組織は、①
保護情報の集約化への対応、②旧・保護
情報への対応、③地方調達における保護
情報への対応及び④下請負者への対応と
いう四つのリスクに対応する必要がある
という説明がありました。
五
ISMS:
JIS
Q
27001の役割
前掲の四つのリスクにISMS:
JI
S
Q
27001の持っている基盤的な
機能で対応可能であるという説明があり
ました。
六
新たな情報保全体制構築への取り組み
最後に、新たな情報保全体制構築への
取り組みとして、「調和と活用」、「マネジ
メントシステム・体制のムダの削減」、「マ
ルチタスク」及び「BCMS的発想と取
組みによる包括的なマネジメントプロセ
スの構築」などの説明や紹介がありまし
た。
本講演は、これからISMSの導入を
検討している企業、もう既に導入してい
る企業の方々に参考となったことと思い
ます。
本講演には、当協会のホームページなどから
のお申込を含め、定員を超える聴講申込をいた
だきました。ありがとうございました。意義あ
る講演会にさせていただいたことも合わせて御
礼申し上げます。
- 26 -
当日の展示器材とデモは、下表に掲げ
たもので行われました。
ご参加いただいた一〇社のご協力、ご尽
力があってできたものです。有り難うご
ざいました。
展示企業(50 音順) 展示器材等 機能の概要
エプソン販売㈱ 紙文書の電子ファイリングとセキュリティの印刷
業務現場主体の情報共有、承認プロセスの構築と業務の効率化・コストの低減
指静脈認証鍵管理ボックス 指静脈認証で鍵の貸出・返却 ㈱QUICK電子サービス VP-Ⅱ
手の甲静脈認証システム 簡単登録でスピーディーな本人確認
ライブカメラ ソューション
(遠隔監視、映像配信) ブロードバンド回線、au 網を利用し、シンプルな機器構成とネットワーク構成で安価に構築できる映像による遠隔監視
au 携帯を利用した セキュリティソューション
(au 携帯電話を利用した機器の紛失防止対策) Bluetooth とのリンク切断があれば、感知して警報音
イリジウム衛星携帯電話 (衛星回線を介した携帯電話) 地上ネットワークでなく、衛星を介した画像データを含む非常時の通信手段
KDDI㈱
インマルサット BGANサービス
(衛星回線を介した通信サービス) 地上ネットワークでなく、衛星を介した非常時の通信手段
日東造機㈱ Crush Box (譲渡・廃棄時のデータ消去器材) データ復元を完全に不可能とする物理的破壊手段
ユビキタス環境で活用する RFIDサービス基盤
ヒト・モノ・場所のIDハンドリングの実現するサービス基盤の統合管理構築 日本電気㈱
日本アビオニクス㈱ 体表温スクリーニング 機能付入退出管理
RFカードリーダ、赤外線カメラと連動した入退出管理
㈱日立製作所 統合ログ管理システム 出力するログをリアルタイムに分析して、セキュリティインシデントの監視・監査
BizMobile㈱ BizMobile いつも繋がっていて、持ち歩ける安全なモバイル環境
富士通㈱ CLEARSURE (PC のデータリモート消去サービス) 盗難・紛失した電源 OFF のノート PC のデータを遠隔消去や PC ロック
静止衛星用 セキュリティシステム
(衛星のセキュリティ向上対策) コマンドの暗号化と改ざん防止
三菱電機㈱ 暗号化カメラ
(静止・動画の画像を暗号化処理) 画質を損なうことなく瞬時に暗号化保存や復号をする
器
材
展
示
と
デ
モ
情報セキュリティ技術セミナーにご協力いただいた企業と出展器材等
- 27 -
保
全
管
理
講
習
一 保全管理講習について
本事業は、保全教育を実施する第三者
として防衛省から認定を受けている当協
会が、保全講習を受講している企業の保
全業務に携わる保全責任者以上の関係者
に対し、当該業務を実施する上での管理
者として必要な知識、心構えなどについ
て、防衛省装備施設本部の保全担当者や
著名な部外講師を招聘して講習を無料で
行っています。平成十五年度の第一回目
からの招聘講師は、次のとおりです。
保全講習及び集合講習参加企業の事
業所の保全管理者等に対して保全教育・
保全業務の一層の充実を目的に毎年開催
しています。今年度の保全管理者講習は、
六十三事業所の保全管理者等約百二十名
の参加をいただき、平成二十二年二月九
日㈫にホテルグランドヒル市ヶ谷で行い
ました。
二
講習の概要
講習は、一三三〇から一七二〇の約四
時間のうちに四つの講習と一つ講演を行
いました。
講習の内容
は、まずシステ
ム審査センタ
ーから秘密に
係る「QMS審
査」について、
次に調達研究
センター保全
担当講師から、
原点である「秘
密保全教育の基本」について、防衛関連
企業向けの「カウンターインテリジェン
ス対策」について、現状の態勢を考える
ために「保全・セキュリティ態勢の再確
認」の三つの講習を行いました。
講演は、講師
を新社会シス
テム研究所代
表(
元内閣官房
調査官)
の宮﨑
貞光氏にお願
いして、「防衛
産業は、こんな
手口で狙われ
る」と題し、「不
正アクセス、不正手段による情報取得の
現状・実情の紹介」、「技術情報がどのよ
うな経路で漏洩していくのか」、「その対
応策の提言」などの講演でした。
講習、講演終了後の意見交換会では、
企業からの参加者、講演講師、協会関係
役員、協会保全担当講師で、保全業務に
おいて保全教育が如何に重要であるかの
共通した認識を持って今後の業務にあた
る事を確認できました。また、事業継続
のためにも保全業務の充実が大事である
という認識も深まったという感触を得ら
れました。
平成 年度 21 20 19 18 17 16 15 新社会システム研究所
代表(
元内閣官房調査官)
桃山学院大学
教授
防衛省装備施設本部契約情報保全室長
外交ジャーナリスト(
元NHKワシントンDC
支局長)
防衛省装備本部契約情報保全室長
防衛大学校
安全保障・危機管理教育センター長
防衛庁契約本部契約情報保全室長
日本電気株式会社
顧問
内閣官房副長官補
防衛庁管理局通信電子システム室長
日米防衛相互援助事務所米国人職員
宮 﨑 講師
- 28 -
当協会防衛調達研究センターの平成
二十二年度事業計画(
予定)
のうち、年度
開始早々に公募開始を予定している三事
業の公募概要(
予定)を紹介いたします。
ここに紹介する事業は、それぞれ四月
から五月に公募を開始する予定にしてい
る公益事業です。
正式な公募は、二十二年度事業計画の
承認が得られたあと、具体的な内容をホ
ームページなどでご案内いたします。
「防衛調達基盤整備協会賞」とは、当
協会の寄付行為事業に掲げる事業のうち
の「防衛装備品の生産等に係る自主的な
研究」について、民間で自主的に行われ
た研究開発、あるいは生産技術の向上に
特に優れた業績を挙げた技術者・研究者
のグループ、又は個人に対して成果の称
揚と奨励を目的として始めたものです。
昭和五十四年に「防衛装備協会賞」と
して発足以来、平成十二年度に「防衛調
達基盤整備協会賞」と名称の変更がされ、
今年度で三十二回目を迎えることになり
ました。この間、百七十九件が特に優れ
たものとして授賞の対象となっておりま
す。
平成二十二年度の「防衛調達基盤整備
協会賞」(
以下、協会賞)
の公募を次のと
おり行う計画(
予定)
です。
一 公募の対象
防衛装備品に関連し、民間で自主的
に行われた研究開発、生産技術等の
向上について、特に優れた業績を挙
げた技術・研究者の個人、又はグル
ープ
二
応募資格
一に掲げた内容に該当するグループ、
又は個人
三
応募規定
平成二十二年度協会賞応募申込書を
提出していただきます。なお、細部
については、別途、当協会ホームペ
ージなどでご案内いたします。
四
賞状及び賞金等
表彰状(
各自にレプリカ)
純銀製協会賞受賞メダル(
各自)
賞
金
五
審
査
当協会が委嘱する部外の識者で組織
する「防衛調達基盤整備協会賞審査
委員会」で審査をします。
六
公募期間
平成二十二年四月上旬~六月下旬
七
結果通知
平成二十二年九月
八
表彰式
平成二十二年十一月下旬
「情報セキュリティに関する懸賞論
文(
以下、懸賞論文)
」とは、当協会の寄
付行為に掲げる「防衛装備品の生産等に
係る技術情報管理の向上」に関する事業
として、広く一般に「懸賞論文」の公募
平成二十二年度事業計画(
予定)
公募開始の間近い事業の紹介
防衛調達基盤整備協会賞
情報セキュリティに関する懸賞論文
- 29 -
を行い、授賞作品をホームページに掲載
するなどして、情報セキュリティに対す
る正しい理解と知識を広め、合わせて情
報セキュリティ意識の向上に貢献すると
ともに、防衛基盤の強化にも寄与するこ
とを目的に一昨年の平成二十年度からは
じめた事業です。
平成二十二年度の「懸賞論文」の公募
を次のとおり行う計画(
予定)です。
一
応募資格
情報セキュリティに関心があり、こ
の募集要項に同意した方
二
テーマ
今後、大きな社会問題になっていくだ
ろう「サイバー攻撃」をメインテーマ
として、複数のテーマを検討中です。
例えば、
▽「インターネット上の脅威」に関す
るもの
▽「サイバー攻撃への対応」に関する
もの
▽「自由仮題(
ネットワークセキュリ
ティに関するもの)
」など
三
応募規定
㈠
論文は、六〇〇〇~八〇〇〇字の日
本語とします。
㈡
本「懸賞論文」応募のために書いた
ものとします。(
国、地方公共団体、
その他これらに準ずる機関からの委
託を受けて作成したものや、他に発
表したものは除きます。)
四
顕
彰
表彰状、及び賞金
五
審
査
論文審査は、学術分野、電気通信分野、
保全教育分野、インターネット分野、報
道分野の五分野の識者各一名の方々に選
考委員を委嘱して組織した「情報セキュ
リティ論文選考等委員会」(
以下、「論文
選考等委員会」)
で審査します。
六 公募期間
平成二十二年四月上旬~六月下旬
七
結果通知
平成二十二年九月
八
表彰式
平成二十二年十二月中旬
防衛装備品契約・原価計算研修会(以
下、研修会)
は、「防衛装備品の調達の適
正、円滑かつ効率的な実施の協力」を目
的に平成五年度から実施しているもので、
今年度で十八年目を迎えることになりま
す。
今年度の「研修会」の公募は、次のと
おり行う計画(
予定)
です。
一
研修期間等
平成二十二年六月中旬~七月下旬
(
週三日(
月・水・金の一八三〇~二
一〇〇まで)
、計十七日間)
二
研修内容
防衛装備品調達に関係した、簿記、
原価計算、民法、企業のコンプライ
アンス、情報セキュリティを予定し
ています。
(
参考に、昨年度のカリキュラムを字
次ページに掲載しております。)
三
研修会場
都内(
JR山手線駅環状内予定)
四
研修経費
無料(
教材費、講師料、施設使用料)
五
応募資格
防衛関連企業及び防衛省の生産、調
防衛装備品契約・原価計算研修会
- 30 -
達関連業務に従事されている方
六
募集期間
平成二十二年五月上旬~六月初旬
七 募集定員
四十五名(
申込み順)
以上の事業は、実施までに一部変更されるこ
とがありますのでご承知おきください。
平成二十二年度事業計画が決定後、当協会ホ
ームページ等で別途ご案内いたします。
(URL: http://bsk-z.or.jp
)
参考:平成21年度研修会カリキュラム
情 報 漏洩 防 止の た め に!
情 報 管 理 は、一 人 ひとりの自 覚 と責 任 が基 本 です !!
財団法人 防衛調達基盤整備協会
Ⓡ
情報保全は、
・国にとっても
・企業にとっても
・個人にとっても
大事であることを認識しましょう。
情報セキュリティは、
一人ひとりの自覚と責任で!
エヘヘヘ・・・
- 31 -
セキュリティ・メモ(平成21年10月~12月) ― 日刊紙掲載のインシデント、アクシデントなどの掲載記事から ―
報道
月日 報 道 タ イ ト ル な ど 備 考
10. 7n 3万人以上のパスワード流出 -グーグルメールなど-:米国HPに流出
10. 7s 労働基準監督署で支給請求書紛失:個人情報記載の1通 管理不備
10. 7a 情報流出の補償 アリコ計5億円 -顧客に商品券郵送- 高い漏えいの代償
10. 4s かんぽ生命、1,3574人分の顧客情報流出:委託先企業社員が私有PCのウィニーを介して 遵法精神欠如?
10.17s 重症心身障害者の個人情報紛失 :北療育医療センター職員のUSB入りカバンがひったくり 管理不備
10.21n 電子マネー詐取容疑 1-テレビ当選と虚偽メール-:名簿業者から100万人分の個人情報 遵法精神欠如
10.30n ハッカー攻撃「発信は北朝鮮」:昨年のウェブサイト攻撃(韓国政府発表)
11. 4m 情報流出検査日程漏らす -2等陸尉「準備を」部内に指示:09’4の検査日を漏らす 検査意義の認識欠如
11. 4a ミクシィの人気ゲーム4,200人情報「露出」:メルアド、電話番号がシステム不具合で暴露
11.12s 情報流出 32,000 件に -アリコ、23 万件に拡大も:中国の業務委託先が情報流出元とみて告訴を検討 危機管理態勢?
11.13y 食品モニター380 人分アドレス流出を放置 -内閣府食品安全委員会事務局-:苦情を受けるまでの3ヶ月間放置 内部規定違反
11.14a 北海道庁 違法コピー -マイクロソフト社の4700本-:著作権の認識欠如 遵法精神欠如
11.17m 都立校USBマモリー管理状況 -問題例に改善指導-:都教育長の管理基準、指導に反している 情報管理意識欠如
11.17s 生徒情報のUSB -都立高教諭が紛失-:パスワード機能のない禁止された私物が紛失 74 人分の情報漏えい 遵法精神欠如
11.17s 生徒情報のUSB -足立区立中から111人分-:紛失事故を報告しなかった 危機管理態勢?
11.19s 顧客情報 35万件を不正提供:NTT西日本の子会社社員からフレッツ光販売代理店に不正提供 遵法精神欠如
11.20s また指導要録紛失 -都立高成績や進学先記載-:最重要とされている。また、施錠できないところに保管は、129/248 校 危機管理態勢?
11.25a ダビング10解除摘発 -東芝社員逮捕ソフト販売容疑-:著作権の保護仕組み危うく- 遵法精神欠如
12. 1n 共有ソフトで違法配信容疑 -全国で一斉摘発-:「シェア」を使い著作権を侵す行為 遵法精神欠如
12. 3n 電磁波を高精度に測定する器材開発:PCなど電子機器からの電磁波を高精度に測定
12. 4y 生態認証破り初摘発へ -中国人女指紋変え入国容疑-:「中国で手術」多数潜伏か:肉眼審査を未実施の結果か 審査時間だけの問題か
12. 4m アリコ情報流出操作難航 -業務委託先の中国人が米国のホストコンピュータから直接-:被害者がおり、摘発できない 海外サーバ悪用増加
12. 5n 入管汚職 内部情報漏洩か -外国人の犯罪歴など- 遵法精神欠如
12.10a 高島屋が個人情報紛失:今年7件目となる新宿店呉服売り場から 71 人分のクレジットカード情報を含む個人情報伝票 危機管理意識欠如
12.17a 7月米韓にサイバー攻撃 -日本の8台などが支持-:重要インフラへの警戒(警察庁)
12.21y 「カード偽造中国で学習」 -大阪府警日本人2人初摘発-:スキミンングで情報入手 カード管理に不備
12.21n 宿泊施設業者に個人情報を漏洩 -愛知・岡崎市職員処分-:無料定額宿泊所の改善要望書提出の3人の個人情報 遵法精神欠如
12.23s 都立学校2校でメモリーを紛失 :2校で延べ 64 人分の個人情報入り使用禁止の私物USBを紛失 ずさん管理
12.23m 「婚活」会員情報が流出 -16,000人分元役員が売り込み-:ほかにも流出の疑い 遵法精神欠如
12.24y JR東のHP改ざんされる:不正アクセスされウイルスに感染
12.24n サイバー調整官任命 -オバマ米大統領-:ブッシュ前政権のサイバー防衛担当のハワード・シュミット氏
12.25s 政府、防諜マニュアル作成 -スパイ対策重視-:手口列記 買収・ハニートラップ・潜入
12.27s テレビ東京系番組 当選者 472 人のアドレス誤送信:当選を知らせるメールに全員のアドレスを表示送信 不注意
12.28n 紀文、客メールアドレス漏出:おせち料理注文の景品案内に他の客のメールアドレスも送信(382 人分) 不注意
12.29a 患者情報入力のPCを医師紛失 -東京医科歯科大学病院-:私有PCの 166 人分の暗号化なしの個人情報 遵法精神欠如
12.30y ヤフーメール43人分他人に中身見られる -プログラム不具合-:プログラム更新時のミス 不注意
- 32 -
平成22年度 防衛調達研究センターの事業計画概要(予定) 当協会の防衛調達研究センターでは、平成22年度の公益事業を次のとおり予定しております。なお、
本計画は、実施までに変更される場合がありますので承知おきください。また、BSKのホームページには、各種行事等の実施時期の約1か月前に具体的な案内を掲載いたします。
区 分 内 容 等 時 期 講師・実施項目等 経費・案内方法ほか等
情報管理に関する公益事業
1 情報セキュリティ技
術セミナー
(情報セキュリティ基盤の醸成)
情報セキュリティの現状の理解
と知識の普及、あわせて講演会
とセキュリティソリューション
器材の展示とデモ
2月上旬予定
講師は、大学教授、研究者、民間企
業の専門家、防衛省などの中から招
聘予定のほか、展示とデモ器材は、
企業の協力を得る。
無料
HPほかで公募
2 情報セキュリティ講
演会
(情報セキュリティの実践)
情報セキュリティの現状、情報
漏洩への対応策などに関連した
講演会
9月下旬予定 大学教授、専門家(予定) 無料
HPほかで公募
3 機関誌「防衛調達と情
報セキュリティ」の発
行
◇調達、情報セキュリティ、建
設関連の論文
◇公益事業開催のお知らせ
◇公益事業実施結果
6月、 9月、
12月、 3月
◇ 論文は、主に大学教授・准教授・
研究者ほか専門家
◇ 年間事業計画
◇ BSK賞、懸賞論文ほか行事の概
要など
HPに掲載
4 情報セキュリティ管
理の向上に対する報
奨
(懸 賞 論 文)
情報セキュリティ管理の啓発の
ため、「情報セキュリティに関す
る」懸賞論文を公募し、入選者を
報奨
報奨:12月予定 ◇ 公募:4月~7月予定
◇ 入選論文の決定:3/四半期予定
HPほかで公募
HPに掲載
無料頒布
5 調査研究活動
(基本問題)
◇ 米国の最新情報
◇ 兵器技術管理
(情報セキュリティの啓発)
◇「グローバルな社会におけるサ
イバーサイバーセキュリティ
リスク・マネジメント」を予定
◇「防衛調達に係わる諸問題と対
策」を予定
◇4/四半期
(終了予定)
◇4/四半期
(終了予定)
◇専門の研究機関等に委託予定
◇専門の研究機関等に委託予定
HPに掲載
無料頒布
6 保全小冊子発行
(2回/年予定)
(情報セキュリティの注意喚起)
米国会計検査院、国家対情報局、
英国国家基盤保護センター等の
公刊資料からの情報漏洩等、最新
情報の提供
2~4/四半期
防衛関連企業、防衛省・自衛隊ほか
の技術情報保全のための教育等の参
考資料
HPに掲載
無料頒布
7 啓発広告 (リ ス ク 感 性 の 醸 成 )
情報漏洩防止のためのリスク感
性の醸成のための広告
各四半期末月 時宜に合ったテーマを選択する 新聞に掲載
HPに掲載
掲 示 板
- 33 -
区 分 内 容 等 時 期 講師・実施項目等 経費・案内方法ほか等
知識普及に関する公益事業
1 セミナー、講演会
⑴ 防衛装備品調達
◇セミナー
◇講演会
⑵ 防衛施設の建設
◇セミナー
(防衛生産体制の基盤維持)
◇防衛装備品の生産及び調達に
関する正しい理解と知識の普
及
◇国の防衛上、大きな影響のあ
る装備品等の生産体制、価格
等々についての正しい理解と
知識の普及
(防衛施設の建設基盤強化)
防衛施設建設の正しい理解と知
識普及
◇6月上旬予定
◇8月上旬予定
(燃油)
◇7月
又は12月予定
(装備品)
◇7月上旬予定
◇防衛省から講師招聘予定
最新の装備品等の調達事情につい
て
◇部外講師を予定
原油価格の動向、環境問題など
◇部外講師を予定
我が国の防衛生産に関するもの
◇防衛省から講師招聘(予定)
無料
HPほかで公募
2 防衛装備品契約・原価
計算研修会
(契約・原価計算基礎の研修)
防衛装備品等の契約・原価計算
業務に対する知識の普及のた
め、商業簿記・原価計算の基本、
防衛装備品等の契約・価格につ
いての研修
6月中旬から
(1か月程度)
(2.5h/㈰、11日間)
◇教科専門の講師
◇当協会の識者
◇その他
教材は無料支給
皆勤者に受講終了証を授与
無料
HPほかで公募
3 防衛調達基盤整備協
会賞報奨
(自主研究等成果の報奨)
装備品等の生産・製造等に関連
する自主研究開発、生産技術等
の向上の成果に対する報奨
11月下旬
◇公募:4月~6月
◇選考:7月~10月上旬
(部外審査委員による)
◇報奨先決定:10月下旬
HPほかで公募
報奨内容は,HP、機関
誌に掲載
4 調査研究活動
⑴ 情報セキュリティ
新しい防衛調達モデ
ルの探索的研究Ⅲ
⑵ 防衛施設の建設
(新防衛調達システムの考察)
防衛調達の現状をいかに変革
していくか(3年目)
(防衛施設建設基盤強化)
◇建設工事の現場業務など
◇4/四半期
終了予定
◇4/四半期
終了予定
◇一橋大学
イノベーション研究センター教授
に委託予定
◇防衛施設建設の研究機関、研究者等
に委託予定
HPに掲載
無料頒布
5 防衛取得研究 (防衛調達研究センターの論文)
調達法令、補給整備、開発管理、
契約、調達管理、原価計算、生
産管理・品質管理など研究成果
の発表
各四半期ごと 防衛調達研究センター研究部
各研究員による研究成果 HPに掲載
保全講習(情報管理(装備品調達・防衛建設)に関する公益事業)
1 保全講習
(装備品調達)
(装備品等の調達に関する情報セキュリティ)
防衛装備品等の生産等の契約に
伴い必要となる情報セキュリテ
ィ講習
5月~2月末
1~3/四半期(10 回/年
2月中旬
◇保全講習(派遣講習)
◇集合講習(東京⑸、横浜⑵、大阪⑴、
呉⑴、佐世保⑴)10回/年
◇保全管理者講習(東京)
HPほかで案内
1 保全講習
(防衛建設)
(防衛施設の建設に関する情報セキュリティ)
防衛建設の契約に伴い必要とな
る情報セキュリティ講習
2月下旬 ◇集合講習(東京)
HPほかで案内
- 34 -
保
全
小
冊
子
当協会は、防衛装備品の生産等に関す
る情報セキュリティの向上に資するため、
国外の公刊資料を翻訳し、多くの方々に
ご覧いただけるよう本ホームページに掲
載しております。
業務の参考としてお役に立ててくだ
さい。
現
在
掲
載
中
の
冊
子
で
す
。
◇№:
BSK
第20-
1
▼対情報訓練資料
―
企業秘密を盗み出す手口と
その対策
―
米国企業が扱っている連邦政府の秘
密情報や企業秘密情報に、外国の情
報機関などがどのような手口で接近
しているのか、またその対策をどのよ
うにしているのか。
(
米国国防総省国防保全局対情報
室
:Defense
Security
Service
Counterintelligence Office)
◇№:BSK
第20-
2
▼人的セキュリティ:
脅威、挑戦、およ
び対策
―
英国における人的セキュリティ
への取り組み
―
組織のセキュリティ、採用、およびラ
イン部門の管理者を対象とした人的
セキュリティに関するガイダンスで、イ
ンサイダーの脅威から保護するため
のプロセスの解説を掲載している。
(
英国国家基盤保護センター:
Centre
for the protection of National
Infrastructure)
◇№:
BSK
第20-
10
▼効果的な意識向上促進の取組み方
―
企業におけるセキュリティ意識
向上のためのビジネスケース
―
従業員に対する効果的なセキュリテ
ィ意識向上策の策定、実施について書
かれております。
(
米国国家安全保障研究所:
National
Security Institute)
▼携帯電話、携帯パソコン、携帯情報
端末(
PDA)
、その他電子装置を携帯す
る海外旅行
―
国家対情報局からの助言
―
情報セキュリティ意識向上教育にお
ける具体的な記述がされています。
(
米
国
国
家
対
情
報
局
:Office of
National
Counterintelligence
Executive)
◇№:
BSK
第20-
11
雇用中の人的セキュリティ
―
優れた実践事例ガイド
―
雇用前の人的セキュリティ(H
P
未掲
載)
に続くもので、採用後から退職ま
でを通して継続して実施すべき対策
についての解説がされています。
(
英国国家基盤保護センター:
Centre
for the protection of National
Infrastructure)
◇№:
BSK
第21-
3
▼外国の経済情報収集および産業スパイ
活動に関する議会への年次報告(2
007)
企業秘密を標的とする「産業スパイ」
の広範な活動を調査したものです。
産業スパイの脅威を理解するうえで
参考になります。
(
米
国
国
家
対
情
報
局
:Office of
National
Counterintelligence
Executive)
◇№:
BSK
第21-
7
▼インサイダー脅威の防止・探知のための
共通ガイド第3版
米国カーネギーメロン大学のコンピュー
タ緊急対応(
CERT)
で作成された、
具体的な脅威の紹介と脅威をいかに
して取り除くかを照会した内容で
す。
(
カーネギー
メロン大学
コンピュータ緊
急
対
応
チ
ー
ム:Carn
egie
M
ello
n
Univ
ersity
C
om
pute
r E
merg
ency
- 35 -
Resp
onse
Team
)
▼米国の国家対情報戦略(
2008)
2002
年対情報強化法に基づき、国
家対情報局が作成され、20
07
年版
を改訂したものです。内容は、「外国
の情報活動と電子的侵入からの国家
保護」以下、五項目について述べられ
ている。
(
米
国
国
家
対
情
報
局
:Office of
National
Counterintelligence
Executive)
◇№なし
▼平成二十一年度「情報セキュリティに関
する懸賞論文」授賞作品
①特別賞(
情報セキュリティ特別賞)
「諸外国のサイバー戦への取り組み
と我が国の状況について」
㈱シマンテック総合研究所
主席アナリスト
工学博士
伊
東
寛
氏
②佳作(
意識向上賞)
「従業員のリスク行動に対する企業
の取り組みに関する提案」
情報セキュリティ大学院大学
博士前期課程
大和田
竜
児
氏
③佳作(
意識向上賞)
「ISMSのリスクアセスメント工程の
成熟度評価採用」
情報セキュリティ大学院大学
客員研究員
星
智
惠
氏
④佳作(
教育賞)
「情報セキュリティ教育の在り方」
防衛大学校
情報工学科
中
河
清
博
氏
◇№:
BSK
第22-
1
▼標的にされる合衆国技術
-
防衛関連企業報告に基づく傾向分析(2008) -
米国国防保全局が、防衛関連企業
コミュニティにおいて開発維持さ
れている情報技術に対する外国か
らの
2006,2007
年のあいだに起こ
った不審な標的行為について、詳
細と分析結果を述べたものである。
防衛調達研究センター
業務部
業務第一課
当協会は、防衛装備品の生産等に関す
る公益事業の一環として行っている調査
研究活動の成果の整理ができましたので、
多くの方々にご覧いただけるよう本ホー
ムページに掲載しております。
業務の参考としてお役に立ててくだ
さい。
掲載中の調査研究成果です。
◇№:
BSK
第21-
1
▼わが国をめぐる兵器技術情報管理の
諸問題
軍備のハイテク化をねらった先端科学
技術の流出がどのようにおこなわれ
るのか、殊に、先端科学技術の流出は、
技術の先進国であり続ける以上とど
まることがないと考えられます。その
流出の具体的な実例の紹介と対処す
べき課題を提言したものです。
(
わが国に関係する近隣国の兵器技
術情報の移転の実態と、これらに関
する情報活動の実態)
◇№:
BSK
第21-
2
▼米国における情報システムの不測事
態対応計画について
9・11テロを契機にテロや自然災害
に遭っても事業継続を可能とする事
業継続管理の必要性が現実味を帯
びさせました。本調査研究では、米国
のIT不測事態対応計画の内容の解
説、問題点、推奨事項等を参考に、
我が国のITサービス事業継続管理
をいかに策定・維持を行ったらいいの
かの参考としてまとめたものです。
調査研究成果の紹介
- 36 -
◇№:
BSK
第21-
4
▼新しい防衛調達モデルの探索的調査
研究(
その2)
防衛調達制度の現状及び防衛調達
改革に関する考察から得られた課題
のなかから、人事マネジメントとして
公務員制度の問題点を取り上げ、そ
の内容の洗い出し、整理・分析を行い
抜本的な改善策を考察したもので
す。
◇№:
BSK
第21-
5
▼中央政府における究極の省庁別財務
責任者である会計官、主席財務官等
の役割に関する国際比較研究
―防衛調達改革の制度的環境整備へ向けて―
防衛調達改革に際して、財務的意思
決定や権限のあり方、説明責任等に
関して、英米のCFOがどのような役
割を担っているのかなどを考察し、我
が国の改革に対する教訓をまとめた
ものです。
◇№:
なし(
平成二十年度調査研究)
▼防衛施設の建設工事に係る支援業務
に関する調査研究
1
防衛施設技術審査業務実施要
領
2
防衛施設建設技術者ネットワー
ク設置・運営要領
◇№:
BSK
第22-
2
▼わが国をめぐる兵器技術情報管理の
諸問題
先端科学技術の流出は、技術の先進
国であり続ける以上とどまることが
ないと考えられます。その流出の具体
的な実例の紹介と対処すべき課題を
提言したものです。
防衛関係企業はじめ各種企業、防衛
省・自衛隊の種々の情報漏洩の防止
対策、教育などの参考にお使いくだ
さい。
(
わが国に関係する近隣国の兵器技
術情報の移転の実態と、これらに関
する情報活動の実態)
◇№:
BSK
第22-
3
▼カウンターインテリジェンスの最前
線に位置する防衛関連企業の対策に
ついて(
平成21年度)
本調査研究は、様々なスパイ事例の
分析を行うとともに、米国における
官民間のカウンターインテリジェンス・
パートナーシップを参考として、我が
国の防衛関連企業のカウンターイン
テリジェンス活動に対する推奨管理策
を提言しております。この推奨管理
策は、企業の情報セキュリティの中で
特にインサイダー脅威に焦点を当て
たもの、及び官民間のパートナーシッ
プによるインテリジェンス脅威に係る
情報の共有などに焦点を当てたもの
から構成されています。
◇№:
BSK
第22-
4
▼新しい防衛調達モデルの探索的調査
研究(
その3)
「新しい防衛調達モデルの探索的調査
研究(
その3)
」は、防衛調達改革促進
のためには原価計算的な視点からの
アプローチが重要との認識から研究
を行ったものです。
調査内容は、現行システムが成立する
までの歴史的経緯の考察及び問題の
整理、そして、アメリカ、イギリスなど
諸外国との比較検討を行い、今後の
課題について提言しております。
掲載を予定している調査研究成果です。
◇№:
なし(
平成二十一年度調査研究)
▼防衛施設の建設工事に係る発注者支
援業務のあり方に関する調査研究
発注者が、自ら発注関係事務を適切
に実施することが困難であると認め
られるとき、その事務を委託する場
合の課題の整理と今後の業務委託の
あり方の提言です。
防衛調達研究センター
業務部
業務第一課
- 37 -
▽最近、ワシントン条約(
「絶滅のおそれ
のある野生動植物の種の国際取引に
関する条約」という難しい名前らし
い)
締約国会議で、「大西洋・地中海産
の本マグロ禁輸」というモナコの提案
が否決されたそうですが、我が家の食
卓にはどうも関係がなさそうです。
▽それにしても、力いっぱい食べてみた
いなあ。
▽ご存知の方も多いとは思いますが、昨
年の七月四日のアメリカ独立記念日
のころから、米国と韓国の政府機関の
ウェッブサイトが大規模なサイバー
攻撃を受けたということが新聞記事
になりました。
▽米国で攻撃対象となったのは、ホワイ
トハウス、国防総省、国土安全保障省
などの中央官庁のほかに、ナスダック
市場、ワシントンポスト紙などでした。
情報セキュリティに準備万端怠りな
い米国でも、財務省など一部のウェッ
ブサイトは接続不能となったそうで
す。
▽一方、お隣の韓国は、この時ウィルス
に感染したパソコンは二万台と発表
しています。このパソコンは、大統領
府や国防省、銀行などを標的に攻撃し
て、二十八の機関で接続障害、つまり
ウェブサイトに接続できなくなった
とのことでした。
▽この時の攻撃方法は、良く耳にするパ
ソコン単体で攻撃するDoS攻撃と
違い、DDoS攻撃と言って、一段と
進化していてボットかなんかを使っ
てウィルスに感染した何台ものパソ
コンが命令を受けて、一斉に標的に向
かって攻撃するという激しいものだ
ったそうです。
▽ウェッブサイト側は、ウィルスに感染
したパソコンが凶暴化し、一斉にデー
タを大量に送りつけるものですから、
防ぎきれなくて、機能障害を引き起こ
してしまったということのようです。
このウィルスに感染したかわいそう
なパソコンは、暴れまわった挙句の果
て、データが壊れてしまうものもある
そうです。
▽これを操っている犯人は、どこかにい
るのでしょうが、手がかりをたどって
行っても犯人までたどり着くことは
なかなか難しいそうです。巷間言われ
ているのは、北朝鮮が「中国のパスワ
ードを使ってやったのではないか」と
いう北朝鮮説が有力ですが証拠はあ
りません。
▽わが日本では、このDDoS攻撃は確
認されなかったと内閣官房情報セキ
ュリティセンターが言っております
が、DoS攻撃は年間三十七万件もあ
るのだそうです。
▽当該号では、世界的な条約もないし、
規制もない「情報セキュリティ」や「サ
イバー戦」についての講演抄録を掲載
しております。こちらのほうは、IT
社会が進んでいく中で、私たちの生活
に大きく関係するとともに、影響を及
ぼすものです。
▽三〇年、四〇年前には、これからコン
ピュータの時代になってくると聞い
ていましたが、これほどになることを
多くの人は考えもしていなかったの
ではないでしょうか。
▽これからも、ますます進化するIT社
会になるそうですが、それに比例する
ように「ネットワークの脅威」がある
ようです。本機関誌の講演抄録をぜひ
お読みください。
本誌の記事中、意見にわたるものは、執筆者の
個人的見解であることをお断りしておきます。
防衛調達と情報セキュリティ
平成二十二年三月号(
通巻第四号)
禁無断転載・複製
発
行
財団法人
防衛調達基盤整備協会
編
集
防衛調達研究センター刊行物等編集委員会
〒一六〇-
〇〇〇三
東京都新宿区本塩町二十一番三の二
共済一号館
電
話
03-
3358-
8754
FAX
03-
3358-
8735
メール
編編編集集集後後後記記記