現在位置:
  1. 朝日新聞デジタル
  2. ニュース特集
  3. ビリオメディア
  4. 記事
2013年1月9日03時00分
このエントリーをはてなブックマークに追加
mixiチェック

〈サイバー戦専門家に聞く:4〉人間は楽したがる動物

写真:ラック社のサイバーセキュリティ研究所長、伊東寛さん=東京都千代田区拡大ラック社のサイバーセキュリティ研究所長、伊東寛さん=東京都千代田区

 【佐々木康之】ポケットにはスマートフォン。オフィスへ行ってまず開くのはパソコン。その背後にある危険とは――。情報セキュリティー会社ラック(東京)のサイバーセキュリティ研究所長・伊東寛さんに、ソーシャルメディアに潜む落とし穴、その先に待つサイバー攻撃の脅威などについて聞いた4回目です。

特集:ビリオメディア

     ◇

 ――サイバー空間での戦いは、攻撃する側と守る側の「いたちごっこ」のような気がしてきました

 「いたちごっこ」ですらない。常に攻撃側が有利。サイバー技術、つまりコンピューターとかインターネットの技術が本質的に脆弱(ぜいじゃく)だからだと思っています。インターネットは国防総省の国防高等研究計画局(DARPA)が作ったものですが、米軍は技術者に「核戦争で通信がズタズタになっても、何かしら通信が確保できるようなシステムを作ってくれ」としか言わなかった。これが将来、社会の重要なインフラになるということ、当時は予測できていなかったのでしょう。だから、犯罪者や攻撃側がインターネットで何かやっても、それを追跡するトレースバックが難しい。

 ――インターネットがそもそも持つ脆弱性が、サイバー犯罪やサイバー攻撃の素地を提供していると

 そうです。攻撃側はターゲットとなるコンピューターの基本ソフト(OS)とそのバージョンを調べるため、Ping(ピング)という信号をインターネットを経由して相手のコンピューターに打つ。素直に返事をしてしまうから、「このバージョンだったら、この脆弱性を突いてみようか」となる。企業などのシステム管理者がサイバー攻撃のサインと認識し、対応できればいいのですが、みな必ずしも専門知識があるわけではない。

 ――攻撃側が常に優位で、インターネットがそもそも脆弱となると、頼りになるのは一人ひとりのITリテラシー(能力)しかない?

 リテラシー向上のための教育は賛成ですが、その前に技術者がやらなければいけないことがある。なぜならリテラシーは絶対に100%にはならない。組織の中で1人か2人、うっかり者がいたらダメなんです。

 ――「技術者がやらなければいけないこと」とは

 使う側、つまり運用者に頼らない仕組みをつくるべきだと思う。人間というのは楽をしたがる。その心理をカバーする技術を開発しなければいけない。例えばIDとパスワード。8文字で覚えにくい記号を入力しなさいと強制する。しかも会社には端末がいくつもある。紙に書くに決まっているじゃないですか。画像を使った認証など、もっと簡単で厳格な認証システムが開発できるはずなのに、技術者は怠っていないか。人間が楽をしたがる動物だということを忘れ、複雑な決まり事を運用者に押しつけていないでしょうか。

 ――コンピューターやインターネット技術を根本的に改善する方策は

 いまのコンピューターはデータとプログラムが同じメモリー領域に入るように設計されている。メモリーをダブルにしてデータとプログラムが混在しない仕組みをつくる。いまの技術で可能だと思うのですが、おそらく相当お金がかかります。もう一つは犯罪者や攻撃側を追跡するトレースバックの仕組みの導入。あとは認証システムですね。「あなたが確かにあなただ」と確認する仕組みをインターネット上で担保して、絶対に「なりすませない」ようにする。たぶん技術的には可能なんです。国際会議で議論を重ねて標準化できないか。

 ――それがこれからの課題だと

 もう一つあります。インターネットのほかにセキュアネットを構築する。インターネットはお金がかからない一般道路。セキュアネットは有料道路です。お金を払って資格を得て使う安全で安心なネットワーク。企業や官公庁はこれを使う。受益者負担の考え方です。長い時間をかけて仕様を決めれば、安全性を強固にすることは可能です。

    ◇

 伊東さんは陸上自衛隊OB。陸自が独自に設置したサイバー戦専門部隊「システム防護隊」の初代隊長を務めた後、2007年3月に退官。「第5の戦場 サイバー戦の脅威」(祥伝社)も著したサイバー戦研究の第一人者です。

PR情報
検索フォーム

ビリオメディア 最新記事


朝日新聞購読のご案内
新聞購読のご案内事業・サービス紹介

アンケート・特典情報