データベース セキュリティ・コンソーシアム (DBSC)

    DataBase Security Consortium      

 

第10回

   

 

ハッカーとの戦い セキュリティ温故知新

 
2013/04/05

DBSC監事   丸山  満彦   デロイト トーマツ リスクサービス株式会社


●●●●年8月のある日,アメリカは不本意ながらコンピュータ情報保護の大仕掛けな違法行為に揺り動かされた。それは12人ほどの15歳から22歳までの少年たちの仕業で,コンピュータの歴史に残る事件となった。
この少年たちは,ウィスコン州ミルウォーキーの電話の局番号をとって自分たちを414と呼んでいた。彼らが行ったことは東海岸の学校に通う数人の13歳の少年たちが少し前に成功した,名高い一連のコンピュータ侵入事件を凌ぐものだった。(略)
報告されているところでは,この414は,ロスアラモス国立研究所,セキュリティパシフィック銀行,ダラスのあるコンサルティング会社,そしてカナダのセメント会社などを含む60以上有名なコンピュータ関連企業のコンピュータ回線に侵入したという。火に油を注いだのは,この少年たちがテレネット国営通信網を通して簡単にシステム回線へのアクセスに成功したということだ。彼らの侵入の活動範囲はショッキングなものだった。例えば,レポートによると,彼らはスローンケターリング社に80回も不法に侵入し,その装置を述べ10時間も使用していたというのである。スローンケターリング社はニューヨークにある世界的に有名な癌センタで,そこのコンピュータには現在と過去の患者の6,000以上の治療記録が保存されている。この病院のコンピュータへの悪意的な“ハッキング”はマスコミにも広く取り上げられ,14事件を米国のほぼすべての家庭と企業の注意を引くところとなったのである。
=====
さて,ここで問題である。●●●●には西暦の年月日がはいる。いったいいつだろうか?2010年ってことはないのは十分にわかるでしょう。では2000年?,いやいやもっと古くて,1990年くらいではないの?いえいえ,答えは1983年!!です。

私の手元には「アクセス管理によるハッカー対策 コンピュータセキュリティ」(ジェルーム ローベル著/与那嶺桂子訳 1987年3月25日 マグロウヒル)がある。上の文書はその序説の冒頭部分なのです。1983年といえば今から30年前の話である。当時の15歳だった少年は45歳,22歳だった人も52歳となっています。ネットワークの状況は違えどもネットワークを使ったコンピュータシステムへの侵入はそれこそ,コンピュータがネットワークにつながった時から既に課題になっていて,そして今でも全く解決の糸口が見えない状況,いやオープンネットワークになり,ますますその状況が悪化しているといえます。この30年間以上,私たちは何をしてきたのでしょうか?そして,何をするべきだったのでしょうか?私はコンピュータやネットワークの技術には明るくないので適切な解を持ち合わせていませんが,30年前のコンピュータシステムに係わっているすべての人は今日のような状況をある程度予想しつつ,もう少し楽観的な状況を予想していたかもしれません。冒頭で紹介した1987年に翻訳されたセキュリティの本はアクセス管理についての本です。では,目次を見てみましょう。“Security”を「安全保障」と訳しているので,一部に違和感がありますが,その目次構成には大きな違和感はないと思います。

第 1 部 コンピュータアクセス管理の必要性
   1.アクセス管理問題の認識
   2.利用者本位のシステムの弱点
   3.コンピュータ詐欺と産業スパイの傾向
   4.個人のプライバシーとデータアクセス
   5.企業機密の盗難とソフトウェアの著作権侵害について
第 2 部 システム安全保障のポリシーの確立
   6.情報保護と分類
   7.リスク分析と技術的な欠点の研究
   8.自動化情報と安全保障ポリシー
   9.コンピュータ安全保障とアクセス管理プログラムの設立
第 3 部 アクセス管理のツールや技術の選択
  10.物理的安全保障とアクセス管理
  11.パスワードと個人識別装置
  12.アクセス管理用ソフトウェア
  13.オペレーティングシステム安全保障
  14.高信頼度コンピュータ
  15.データベース安全保障
  16.ネットワーク安全保障
  17.データの暗号化
第 4 部 安全なシステム設計
  18.アクセス管理しよう
  19.開放型ネットワーク
  20.閉鎖型・限定アクセスネットワーク
  21.オフィスオートメーションシステム
  22.パーソナルコンピュータの保護
  23.ホームコンピュータ
第 5 部 アクセス管理の実行と監督
  24.実行とそのチェック
  25.安全保障とフィードバック
第 6 部 変化への対応
  26.最新技術の取り込み
  27.安全保障のガイドラインと規格
  28.コンピュータ安全保障技術の将来
コンピュータのセキュリティについての基本的な考え方というのは,コンピュータができてからそれほど変わっていないのではないかと思います。
最後に本書の締めくくりである,「コンピュータ安全保障技術の将来」のまとめの部分を引用しましょう。
=====
明らかに,コンピュータアクセスを与えられる人の数とコンピュータ濫用の事件の激しさと数の間には相関性がある。
 コンピュータ保護技術の発展と使用は,だんだん私たちが情報化時代に入り込んで行けば行くほどより重要になる。よって,結論は情報保護技術の将来はとても明るいということである。
 結局私たちは,より有益で安全なコンピュータや通信ネットワークの使用に向かって進み続ける道を見いだすことができるし,そうなるであろう。私たちの目標は,コンピュータ濫用が新しい情報や通信技術の導入によってよりよい社会を目指してなされる前進を阻むことを絶対に許してはならないということである。
=====
そして,上の引用もまた,今でも十分に通じる内容です。


■DBSCについて
Top
設立趣旨
発起人
活動内容
役員一覧
組織
会員規約
会員一覧
English
■DBSCからの情報発信

第10回 ハッカーとの戦い セキュリティ温故知新 2013/04/05

第9回 情報セキュリティには幾らかけられるか 2013/03/15

掲載記事一覧 2013/04/05
■ワーキンググループについて
ワーキンググループ
成果物一覧
■各種案内
セミナー情報
掲載記事
■会員専用ページ
会員専用ページ
■入会案内
入会案内
■事務局連絡先

DBSC事務局
(データベース セキュリティ・コンソーシアム )

〒102-0093
東京都千代田区平河町2-16-1
平河町森タワー (株)ラック内
TEL : 03-6757-0126
FAX : 03-6757-0127

プライバシーポリシー

Copyright(C), DataBase Security Consortium