昨今、パソコンおよびインターネットの普及によって情報セキユリティ被害の大規模化が進み、現在では手口が高度化・複合化されてきております。そのような中、我々は、情報セキュリティに関する認知度を深め、それに対してどのような対策をしていくべきでしょうか。eラーニングマガジン編集部では、情報セキュリティの最新動向（主催：独立行政法人 情報処理推進機構／開催日 2007年6月28日＜東京ドームシティ・プリズムホール＞）を取材してまいりましたので、先月号に引き続きご報告いたします。

情報セキュリティフォーラム2007　〜情報セキュリティ対策の組織図〜  『情報セキュリティの最新動向』

（講師：独立行政法人 情報処理推進機構 セキュリティセンター長　三角 育夫氏）

企業の持つ情報の価値はきわめて高く、企業は、個人情報の漏洩などによって社会的信用を失わないためにもセキュリティ対策を行うことが大切であり、それを怠ることによって、ともすればその企業自身が加害者にもなりかねないウイルスが、日々増殖しているのが現状です。独立行政法人 情報処理推進機構（以下 IPA）セキュリティセンター長 三角 育夫氏は、そのような現実に対して、企業が行うセキュリティ対策は、それ自体が目的ではなく、自分の業務において何を守るべきか、そのためには何をすべきかということを的確に認識することが大事であると述べられました。

まず、最近のIPAへのウイルス届出情報から説明がありました。最近のウイルスは、「ワーム」と「トロイの木馬」の両方の機能を持ったウイルス（Netsky、Mytobなど）が半数以上を占めているそうです（＊「ワーム」とは、自ら繁殖して感染を拡大していくもの、「トロイの木馬」とは、そのマシンの管理者権限を乗っ取るなどしてプログラムやシステムを不正利用するものです）。 　ワームやトロイ以外で近年注目されているのは、コンピュータウィルスの一種である「ボット」だそうです。ボットは、外部からの指示を受けて実行を処理するので気が付きにくいこと、指令サーバを中心とするネットワークを組んで「ボットネットワーク」と呼ばれるものを組織するために、スパムメールや特定サイトへの集中攻撃などに利用され、大規模かつ組織的な経済的犯罪に結びつきやすいとされています。ボットは、経済産業省でも対策を打ち出しており、感染防止、駆除および被害の局限化、拡散させないことが急務とされていると解説されました。 　このような状況の中で、大事になってくるのがセキュリティの評価・認証です。セキュリティ評価の国際標準としては「ISO／IEC 15408」があり、ユーザーにとっては国際標準に適合した認証製品を使用することによる安心感、ベンダーにとってはより安全性の高い製品の共有というメリットがありますが、セキュリティは、果たして自分では安全性を満たしているのかというのは判断できないものだと三角氏は述べられています。そこで、セキュリティ認証に関しては、第三者が認証してくれる「ITセキュリティ評価・認証制度」（以下 JISEC）が創設されているのだということです。この制度によって、さらに安全性を確実にします。 　各省庁では、政府調達の際には、セキュリティに関する信頼度の高い情報システムの構築を図る観点から、今後の情報システムの構築に当たっては、可能な限り、国際規格である「ISO／IEC 15408」に基づいて評価または認証された製品等の利用を推進するものと、平成１３年３月２９日の行政情報化推進各省庁連絡会議で了承されています。 　さらに、暗号化モジュールに実装されたセキュリティ機能が正しく実装されていることを確認するとともに、鍵やID、パスワードなどの情報のセキュリティを確保していることを試験、検証する第三者認証制度である「暗号モジュール試験および認証制度」（以下 JCMVP）に関しても「ISO／IEC 15408」と同じように供給者・利用者ともにメリットがあり、こちらも信用を保つためにも必要な認証制度だと三角氏は強調されました。 　最後に、これら、セキュリティに関しては、普及啓蒙や人材育成が必要であると述べられていますが、そちらは、情報セキュリティセミナーやIPAセキュリティセンターのホームページから情報を得たり、情報処理技術者試験の「情報セキュリティ」試験などの受験からも最新情報を得てほしいと結びました。

■ まとめ

今月号は、情報セキュリティに関してご報告しましたが、先月号の「IT国際化シンポジウム」のセミナーで重要とされたアジア間で共通指標として活用できるもの（ITSSや情報処理技術者試験など）と同じく、セキュリティの情報化対策に関しても国際競争力の観点から製品の信用を得るために、共通の制度（JISCやJCMVP）が産業競争力アップに重要であるということがより深く理解できる最新の報告でした。