第28回 悪魔の証明
2011年 11月30日、自民党本部で開催されたIT戦略特別委員会(委員長 平井たくや衆議院議員)で「これからの情報セキュリティ対策について」と題する公聴会が開催され、発言の機会を得ました。発表20分、質疑10分という限られた時間でしたので2点に絞って提言を行いました。
提言1 セキュリティ対策ソフトの国産化
はじめにセキュリティ対策ソフトに秘められた危険性について説明しました。例えばコンピュータウイルスの検知ソフトウェアが普及していますが、もし、特定のウイルスを検知しない製品があったらどうでしょうか。今、私たちが導入しているセキュリティ対策製品に特定の国や組織が開発したウイルスは検知しないというような機能が備わっているとしたら、情報がダダ漏れになることは容易に想像できます。同じようにアクセスコントロールの要とも言える認証システムにバックドアと呼ばれる外部からアクセスできる非公式な機能が備わっていたら、同じく情報がダダ漏れになってしまうでしょう。こうした懸念は、各国が抱いているはずです。一時期、中国政府がファイアウォールやルータなど13品目の輸入に際してソースコードの開示を要求したことは記憶に新しいでしょう。一方、インド政府は、一部の中国製通信機器に盗聴機能が組み込まれているとして輸入禁止措置をとるなど、IT製品からの情報漏えいに対する警戒感が高まっています。中国やインドに限らず自国政府が調達する製品に関しては、ソースコードの開示を要求するということが常識化する可能性も否定できないでしょう。こうした問題に日本政府としてどう対処していくのかという問いかけが第一の提言です。ソースコードが開示されれば悪意のあるコードが仕込まれているかどうか確認することは可能です。しかし、ソースコードが開示されない場合、テストデータやパラメータを流し込んで確認するしか方法がありませんが、この方法は、「ソフトウェアにバグ(瑕疵)があることは証明できても、バグが無いことは証明できない。」という、いわゆる「悪魔の証明」に等しい作業になるに違いありません。動植物検疫のような検疫の仕組みが必要ですが、実現は困難です。一つの解決策としてセキュリティ対策ソフトの国産化とソースコードの政府への開示と預託のようなスキームが今後必要となってくるのではないでしょうか。何かと中国方面からのサイバー攻撃が話題になりますが、今、起こっていることが経済戦争だとすれば、攻撃者は、同盟国も例外でないことを認識すべきです。自国政府が調達する製品に関しては、TPP(環太平洋戦略的経済連携協定)の制約を受けないような決着が望まれます。
提言2 IPv6への移行を契機としたIPアドレスの管理強化
今年、中国政府は、2011年度からの3カ年でIPv6へ全面移行する計画を発表しました。「次世代インターネット基礎資源サービスプラットフォーム」と称するこの計画の主眼は、「国家インターネット基礎資源ディレクトリデータベース」の構築にあります。IPv6への移行は、インターネットの匿名性をなくします。中国政府は、この特性を最大限に利用してすべてのIPアドレスを国家の管理下に置くことで国家の秩序維持や統制を強化するようです。こうした考えは、米国にもあります。今年、米国サイバー軍の作戦指令官の話を聞く機会がありましたが、その作戦指令官は、サイバーテロやサイバー戦争への抵抗力を強化する手段として、米政府や軍事関連のインターネットをIPv6に移行し、政府のネットワークに接続されるすべてのデバイスにIPアドレスを付与してIP Secで通信することを検討しているようです。
米海軍第七艦隊が空母、ミサイル駆逐艦、艦載機など全てをIP Secでネットワークしていることは、知られていますが、米国政府のネットワーク全体をIP Secに移行すれば、セキュリティ強度が増すことは明らかです。作戦指令官の話によると、中国政府は、2008年北京オリンピックの年にすでにそうした環境に移行を終えており、米国は中国より遅れているという認識のようです。IPアドレスの管理を強化する際に必要となるのが、中国政府が企画しているようなディレクトリデータベースです。我が国では、IPv6への移行問題は、主にIPアドレスの枯渇対策や家電製品への応用として認識されていますが、セキュリティや国防と言った観点から捉えられる機会は、少ないようです。中国のように民間利用のIPドレスまで政府が管理する訳にいかないでしょうが、少なくとも政府関連システムで使用されるIPアドレスに関しては、政府のしかるべき部署で統合管理し、データベースをデバイスの管理やいわゆるホワイトリストとして成りすましを排除する手段として活用するなど、IPv6に対する国家戦略が求められます。
IPv6への移行はどの企業にとっても避けられません。ならば、単にIPアドレスの不足解消という課題解決だけでなく、セキュリティ強化に役立てるという観点から移行計画を検討するのもCIOやCISOの役割でしょう。