Business & Economic Review 1997年07月号
【NETWORK】
システマティック・アプローチによる情報セキュリティの実現-サイバー社会で情報(イントラネット)を守る
1997年06月25日 香取邦彦
1.サイバー社会は無法地帯?
女性が夜道を一人で歩ける。こんな安全な国などそうざらにはないだろう。近年犯罪が増加しているといっても、交番が普及しているわが国では、諸外国に比べれば犯罪の発生率は低く、強盗もアメリカの100分の1、イギリスの50分の1の発生率でしかない(注1)。
日本人とユダヤ人(注2)では、安全はお金で買うべきものというユダヤ人の歴史的背景から得られた認識と、まわりをぐるりと海に囲まれた日本人の水と安全はただという認識の違いが対称的に描かれていた。安全を守るべき価値として認識するこのような考え方は、ユダヤ人のみならず世界のさまざまな国の人々の間でも当てはまるに違いない。
一方、サイバー社会と言われるネットワーク上の社会ではどうであろうか。
近年のインターネットの普及で、情報の流通形態が大きく様変わりしている。ネットワークの標準化が進み、かつ高度化することで、情報が迅速に、そして効率的に入手できるようになるとともに、全世界のコンピュータとも容易にアクセスできるようになった。
しかし、インターネットがオープンでボーダレス、そして安いコストで済むといったメリットがある半面、コンピュータの不正利用や詐欺といった犯罪も増加している。
アメリカのFBIの報告では、1994年にアメリカ企業が受けたコンピュータへの攻撃は2,344件で前年比75%増となっており、また被害金額も年間に5億~50億ドル(1$=125円換算で625億~6,250億円相当)に上るものと推測していた。わが国でも、図表1に示すようにコンピュータへの犯罪件数が増加しつつあることがわかる。ただし、これは報告された件数であり、実際に攻撃されても報告されなかった数を含めるとかなりの数に上るものと推察できる。
企業のみならず、あらゆる団体は通常、ブランドイメージの観点からコンピュータやネットワークなどを攻撃されることによる被害を公にしないことが多く、表面化することはきわめて稀である。わが国でも被害金額は相当な額に上っていると考えてよいだろう。
サイバー社会ではネットワークを統括し、管理する交番のような機能が無いために、我々が今いる現実の社会のように安全ではなく、絶えず犯罪の危険にさらされているのである。
ハッカー(コンピュータやネットワークに不正に侵入し、情報を盗んだり、損害を与えたりする者)は地球の裏側からでさえも、虎視眈々と獲物を狙っている。
サイバー社会では安全性は利便性とトレードオフで考え、セキュリティも真剣に考えなくてはならない。
94年にシティバンクのネットワークがロシア人のグループに侵入された。著名な金融機関が多大な被害を被ったことで、アメリカの企業では、この事件を機会に情報セキュリティの強化に真剣に取り組むようになった。また、損害保険会社では、セキュリティ対策を施した情報システムとそうでないものとは、掛金が異なるというような顕著な例も登場しているという。
企業のネットワークがオープンなネットワークと直接接続している場合は、全世界と地続きとなってしまったことに等しく、対岸の火事では済まされないのである。
日本人が考える水と安全はただという概念はサイバー社会には当てはまらない。情報は必要なコストをかけて守るものであり、自己防衛の意思がなければ身ぐるみをはがされてしまうのである。
しかしながら、わが国における情報セキュリティへの関心は低く、郵政省の調査(図表2)では、特に考慮していない企業が23.7%あった。さらに、パスワードの管理が十分に行われていない実態を考え、これにパスワードの採用のみによるアクセス制御を加えると49.9%と2社に1社はセキュリティに対して関心が低いものと考えられる。
さらに、セキュリティは厄介なもので、たとえ必要な箇所の90%に対策を施したとしても、それはまったく何もしていないことに等しいのである。なぜならば、ハッカーはセキュリティ・ホールと呼ばれるネットワークの弱点をついて不意に忍び寄ってくるからである。
2.1つ間違えれば危険な情報アクセス
さて、それでは現在のネットワーク利用ではどのような点が危険なのだろうか。
一般に外部からの侵入や不正に対しては、情報システム部門が中心となり、ファイアウォールの設置を始めとする様々な対策が取られている。しかし、内部に対してはほとんど対策が講じられていないのが実情である。
ヒューレットパッカード社のホームページで提供しているホワイトペーパー(注3)では、次のような興味深い情報が得られた。
まず、アメリカのデマックス・ソフトウェア(Demax Software)の96年の調査によると、30%の企業が自社のコンピュータへの攻撃を受けていたという。さらに、PCセキュリティ(PC Security)社の調査では、企業は外部の非権限者からの攻撃に対する脅威に非常な注意を払っているが、実際は約85%の攻撃が従業員やその他内部から発生したものであったことが判明したという。
このように、外部のみならず内部に対するセキュリティ対策も重視しなくてはいけない状況になっているのである(図表3)。
そこで、ここでは情報セキュリティに関する脅威について、遠隔地からのコンピュータ・アクセスを可能にし、今後一層の利用が見込まれるリモートアクセス、WWWのホームページを利用したWeb詐欺、そして内部の不正に関わるものとして、オフィスでも一般的になった個人用のモデムの利用の3つのケースについて紹介してみたい。
(1)リモートアクセス
携帯端末や携帯電話が普及すると、出先からの電子メールのチェックや、データベース検索、そしてテレビCMを地でいくような書類の送付といった利用方法であるリモートアクセスが頻繁に行われるようになる。ロータス・ノーツなどのグループウェアや各自のパソコンのデータベースに情報が蓄積され、自由に利用できるオフィス環境が整うと、これらの情報を外部からでも利用することによって業務の効率化が可能になるからである。
今後テレワークと呼ばれる在宅勤務が増えれば、自宅や外出先からオフィスのコンピュータへの接続要求が一層増えるものとみられる。 リモートアクセスでは、通常、外部から内部のネットワークにアクセスするために、個人ID番号やパスワードといったセキュリティ対策が採用されている。この運用と管理が難しい。一部の企業では、満足な管理ができないことを理由にリモートアクセスを全面的に禁止しているところもある。
管理者は、パスワードでの認証の安全のために定期的にパスワードを変更することを奨めているし、異なったシステムにそれぞれ別々のパスワードが必要となる。当然のことながら、人間の記憶力には限度がある。このため、忘れてしまったり、混乱したりというように、人間の能力が追い付かなくなってしまうという問題が生じている。
覚えやすいパスワードは破られ易いパスワードであり、破られ難いパスワードは覚え難いパスワードである。
また、パスワードでもせいぜい8桁程度のものでは、高速コンピュータの力を借りてむやみやたらに突き合わせていくというブルートフォース法で短時間のうちに破られてしまうだろう。
単純なパスワードという認証方式だけでは限界にきており、このためICカードやソフトウェアを利用した高度な認証技術が採用されるようになっている。
また、セキュリティを確保する機器のリモート・メンテナンスに関しても十分注意を払う必要がある。
95年に日本人のセキュリティ・コンサルタント下村努氏の活躍によって逮捕へと導かれたアメリカの大者ハッカー、ケビン・ミトニックの得意技はソーシャル・エンジニアリングであったという。ソーシャル・エンジニアリングといえばなんだか工学的な技術のようだが、単なる巧みな話術にほかならない。電話会社やネットワーク・プロバイダーのオフィスに電話をかけ、内部の人間のように振る舞い、技術者から機密情報を聞き出す。そして、通信機器に設定されているユーザー登録データをリモート・メンテナンスのためのアクセスポイントから侵入することで、都合のいいように変更してしまう。その後、ネットワークの表玄関から堂々と侵入してしまうという手口である。このようなケースは、社内で機密情報の取り扱いが徹底されていない場合に起こりうる。
また、リモート・メンテナンスは遠隔地に居ながらにして様々な機器の設定ができる便利な手段であるが、一歩間違えばハッカーのターゲットになるため、パスワードのみならずリモート・メンテナンスのための電話番号の秘匿にも十分に注意しなければならない。
(2)Web詐欺
Felten氏などによるプリンストン大学コンピュータ・サイエンス学科のレポート(注4)では、WWWホームページのなりすましについて次のような注意を呼びかけている。
ハッカーは著名な企業やサイトと似通ったURL(Uniform Resource Locator :ホームページのアドレスのようなもの)をつけ、似通ったデザインのホームページに誘いこむ。ここで申し込みや決済など、何らかの処理を行わせることによって、パスワードやクレジットカードの番号などを盗もうとするケースが発生している。このため、接続しているURLが正しいものであるかどうかに常に注意を払わなければならないという。
Java Scriptのような技術を使えば、あたかも正しいWWWサーバーとの接続で処理されているように見せてしまうことも可能である。サイバー社会では大掛かりな仕掛けなどを作らなくとも、著名企業のホームページにそっくりなデザインや入力画面を作成することで、詐欺が可能になる。
ハッカーはこの方法で盗んだパスワードで企業のネットワークに侵入したり、クレジットカードの番号で商品を注文したりという不正を行うのである。
このレポートでは、当面の処置としてJava Scriptを利用したアプリケーションをブラウザーソフト側で利用できないようにすべきである、などの対策も提案している。
(3)個人用モデム
さて、これら2つの脅威は外部からの攻撃についてであったが、さらに内部不正の脅威に関するケースについて紹介する。 これまでもパソコン通信やデータベース検索などで各人が利用している一般的なモデムであるが、リモートアクセスの設定次第では、そのモデムが外部からの侵入拠点になりうる。せっかくセキュリティを強化するため外部からの入口を制限し、ファイアウォールで関所を設けたとしても、各個人が自由に外部との接続ができるようなアクセスポイントとなってしまえば全くの無意味になりかねない。
すなわち、個人用のモデムについても今までのように管理が不在であると、せっかく構築したセキュリティ体制も全くのザルにしてしまう可能性があり、大きなセキュリティ・ホールになり得るのである。
また、モデムではどのコンピュータと接続したというログ情報も残らないため、不正があっても証拠が残りにくいという問題もある。
現在のような過渡期のサイバー社会におけるセキュリティでは、コンピュータ・ネットワークのみならず内線や外線といった電話線の管理までも視野に入れておかなければならないだろう。
いずれにしても、ネットワークやコンピュータの利用におけるユーザーの危機意識を高めることが、セキュリティ対策を強化するための第一歩である。
3.これからのセキュリティ技術
サイバー社会の広がりに呼応し、セキュリティ対策の技術も新たな局面を迎えている。貨幣価値やプライバシーなど機密性の高い情報を処理するために、より確実で、より安全な技術が求められるようになったからである。
セキュリティ技術は、基本的に認証と暗号化の2つの機能を提供する技術(図表4)から成り立っている。認証機能は外部からの攻撃を防御するために、本人と相手を確かめ、アクセス制御のロジックを付加することでスクリーニングを行い、非権限者からの情報アクセスを謝絶できる。また、暗号化機能では情報をスクランブルし、第三者にその内容をわからなくさせるものである。
今後は複数の技術が融合し、機能の統合化・高度化が一層進むものとみられるが、近未来に利用可能ないくつかの注目すべきこれからの技術について触れてみたい。
(1)認証機能とその将来
現在、インターネットに接続する社内ネットワークのほとんどでは、ファイアウォールで外部と一線を画し、外部からの非権限者による侵入を防御する方法を取ることが一般的である。
このような形態は、本来、それぞれのコンピュータ(主にパソコン)の処理能力が低かったために、外部ネットワークへの出入口を狭め、そこに専らセキュリティを管理する仕組みを設置し、全体のセキュリティを強化しようという考えに基づいたものである。実際、ファイアウォールは現時点における認証方式の最大の解決策ではある。しかし、最適な設置と調整はとても難しい。
しかし、今後、サーバー等に利用されるパソコンの能力が飛躍的に向上すれば、それぞれのコンピュータで自身のセキュリティを管理できるようになるだろう。そうすれば、最終的にファイアウォールも必要無くなるものと考えられる。
コンピュータの高速化、メモリの大容量化は、セキュリティの高度化、コンパクト化にもつながるのである。
実際にWindows NT4.0などのOSでは、ファイアウォールを取り外すまでには至っていないものの、既にいくつかのセキュリティ機能が利用できるようになっている。
これらの機能を有効に使うことがこれからのネットワーク管理者の使命となるだろう。
クライアント側の認証機能としては、個人IDやパスワードが一般的に利用されているが、前述のように個人的な管理が難しいことやハッカーに破られ易いなど運用面での問題も多かった。
認証機能には、絶対忘れないもの、紛失しないもの、そして劣化しないものという条件を満足するものが必要であり、その点網膜や虹彩、指紋といった人間の身体的な特徴、そして癖を利用した認証技術であるバイオメトリックスは今後最も期待される技術である。
沖電気は虹彩、IBMは声紋というように、特徴ある技術でバイオメトリックスを実用化しようと研究開発を進めている。しかし、人間の持つ多量な情報を瞬時に処理しなければならないために、やはり処理能力の高いコンピュータを必要とする。
(2)暗号化機能とその将来
暗号化機能は、古くはシーザーの通信文書から、現在では金融機関等の決済ネットワークなどで利用されている歴史の長いものである。これまでは第三者に対する情報の漏洩や改ざんを防御するための利用目的が主体であったが、今後は認証機能と統合化して利用されるようになるだろう。
暗号を利用した電子署名は、まず企業間の商取引の場で利用されることになる。電子署名を利用すれば送り手本人が発行したものであり、改ざんされていないことが証明できる。電子署名と対になるのが認証機関である。ここで電子署名の登録を行い、署名が本人のものであるかどうかを証明する。認証機関は第三者機関が運営を行うことになる。
電子署名を社内の一般業務で使いこなすためには、まだまだ時間がかかるだろう。これも他の技術と同様、パソコンの高性能化(高速化)を必要とするからである。
また、もう1つ問題となっているのは、アメリカ政府が輸出規制を行っているために最新の技術が手に入りにくいことである。暗号化を含むセキュリティ技術で最も進んでいるのはアメリカであり、アメリカ政府が電子商取引の世界的な潮流を好意的に理解し、緩和することを期待する。
さらに、認証機能と暗号化機能の両方を利用したものとしてVPN(Vertual Private Network)がある。
インターネットでは、多くのサーバーを経由して受け手のいるサーバーにたどり着く。このため、通常の方式でははがきの送付のように途中で誰もがその内容を覗き見することが可能である。そこで、封書の送付のように、送った情報を第三者に見られず、かつ受け手に正確に届けるための技術がVPNである。VPNでは、情報を暗号化するとともに、情報の送り手と受け手のアドレスさえもが暗号化されてしまう。このため、経由するサーバーやインターネット上ではその存在を知ることができないのでステルス技術とも呼ばれている。
VPNを利用することにより、コストの安いインターネットを使いながら、安全に情報を送ることが可能になる。
今後は、ネットワーク・プロバイダーがサービスの拡充を図るためにVPNを提供していくものと考えられる。また、NTTが提供しているOCNサービスでも、今後新たなメニューとして追加していくことを発表している。
(3)セキュリティ監査ソフト
これまでの技術は従来のセキュリティ機能に基づいて紹介したものである。
一方、セキュリティに対する関心が高まるにつれて、ネットワーク全体のセキュリティ状況を自動的にチェックするソフトが出回り始めている。これがセキュリティ監査ソフトである。
セキュリティ監査ソフトはスキャナーソフトとも呼ばれ、TCP/IPプロトコルをベースとしたインターネット上でのセキュリティの弱点を自動的に捜し出すソフトウェアである。現在、主な製品として次の4つがある(図表5)。
インターネットのセキュリティは現在最もホットな状況であり、新しいソフトが開発されると、その度にセキュリティ・ホールが見つかるため、これらセキュリティ監査ソフトの改訂版が絶えず配布されることになっている。
4.情報セキュリティ体制の構築に必要な5つの視点
さて、さまざまな脅威に対し、企業内の情報を安全に守るための情報セキュリティ体制の構築には、情報のレべリング、ユーザビリティ、体制、教育、セキュリティ監査の実施という基本となる5つの視点が必要になる。
(1)情報のレベリング
情報のレベリングとは、社内にある様々な情報をセキュリティ・ポリシーに基づき分類し、機密性の度合いを明確にすることである。セキュリティ・ポリシーとは、企業の利益を守るために、機密情報を社内でどのように取り扱うべきか、そのためには社員一人一人がどう行動すべきかということを明文化したものである。
セキュリティ・ポリシーは欧米の企業や政府関連の組織のほとんどが既に作成しており、これに基づいてセキュリティ機器の導入や様々なガイドラインが作成されている。一方、わが国においては、倫理規定とごっちゃになっているような状況がほとんどであり、サイバー社会への対応は基本的なところから遅れていると言わざるをえない。
いくらコストをかけて新たな技術を導入しようが、それに見合った情報の価値がなければ、過剰投資になってしまう。守るべき情報を明確にし、どれくらいのコストをかけるべきかを明確にしなければならない。一般的には、お金をかけたほうがレベルの高いセキュリティを実現できそうなものであるが、実際には守るべき情報の内容にもよる。盗まれたり改ざんされることによる影響は、それが実際に起こることによって引き起こされる、復旧のための工数(コスト)、ブランド・バリューの失墜、さらにはプライバシーの侵害による実質的な損害賠償負担などで評価すべきである(コスト対リスクのトレードオフ)。
例えば、ヒューレット・パッカード社のVertual Vaultは、コンピュータの基本ソフト(OS)にセキュリティの概念を組み入れたセキュリティ版OSと呼ばれるものである。このVertual Vaultでの情報レベルは次の5段階に分かれており(図表6)、これによって外部からアクセスできる情報も異なってくる。特定の情報に対し低いレベルのアクセス権しか持たない人は、高いレベルの情報にアクセスができない。
Vertual Vaultは多くの金融機関で、安全なWebサーバーを提供する技術として取り入れられている。昨年インターネット・バンキングで有名になったアメリカアトランタのSFNB(Secure First National Bank)も、Vertual Vaultを採用することでOTS(Office of Thrift Supervision=連邦政府の貯蓄銀行監督機関)から営業の認定を受けることができた。この銀行は支店を1ヵ所も置かない銀行として、全世界の注目を浴びることになった。
(2)ユーザビリティ
ユーザビリティとは使いやすさのことであり、ユーザーが負担を感ずることなくセキュリティ機能を使いこなすことができるかどうかということである。
例えば、あまりに長いパスワードや複数の異なったパスワードは簡単には覚えられないし、覚えたとしてもすぐ忘れてしまう。その結果、ユーザーはパスワードを紙に書いて机に貼ったり、ひどいものになると自動的にソフトウェアでパスワードを送出するように設定しているものさえある。
また、セキュリティを重視しすぎた結果、ファイアウォールの設定を城壁のごとく幾重にもすることで外部WWWへの接続手順が複雑になったりしてしまうなど、使い勝手の悪さが邪魔をしてユーザーの利用意識をそいでしまうことも考えられる。
セキュリティ技術の導入に当たっては、人間の能力を十分考慮したうえで、使いやすいセキュリティ技術の採用と対策が必要になる。
(3)体制
社員のセキュリティ意識を浸透させるためには、組織を挙げての取り組みが必要とされるようになる。ネットワーク管理者はまず、ボトムアップ的な展開に注力すべきである。
このためには、社員に情報セキュリティの不在によるリスクを理解してもらい、どうしたら情報システムを安全に利用できるかを知ってもらうことである。これは、社員はセキュリティの第一線を司る重要なプレイヤーであるとともに、一方で潜在的な不正利用者にもなりえるという実情に起因している。
具体的な対策としては、TQC(品質改善)のような小集団活動、ポスターの制作やビデオの作成など社内における啓蒙活動が重要になるだろう。
一方で、トップ・マネジメントもセキュリティの重要性を十分に理解し、啓蒙活動に関わる各種サポートを行ったり、セキュリティに対する投資について正当な評価ができるように、認識を高めることが必要となる。また、トップ・マネジメントの理解とサポートによって、全社セキュリティ・プランの策定を推進することも当初は必要となるだろう。
(4)教育
セキュリティ体制を定着させ、社内文化にするためには組織的な教育が最も重要となる。
教育は、なぜ情報セキュリティが必要とされるのか、どのようなリスクがあるのかというような基本的な点から始まり、日常のパソコンの利用方法、パスワードの管理の仕方など社員一人一人に理解してもらうことが最大の目的である。
対象は一般社員のユーザーのみならず、情報システム部門の担当者や管理者層、そしてトップマネジメントに至るまですべての社員に徹底する。そして、教育は定期的に実施し、サイバー社会の状況や新たに生じた脅威などのトピックスもまじえた幅広い話題で参加者に興味を持ってもらうことが成功の秘訣だろう。
また、新入社員教育においてもカリキュラムを設定し、最初から情報セキュリティの重要性を認識させることが必要である。
(5)セキュリティ監査の実施
さまざまな脅威が企業活動を圧迫するようになってくると、それを事前に察知し未然に防ごうとする。これがセキュリティ監査を実施する動機になる。
セキュリティについての監査項目自体は新しい概念ではない。セキュリティは、以前からシステム監査の一環として安全性という項目で重視されていたわけであるが、サイバー社会の広がりによって不正の手口が多様化し、対策も多岐にわたるようになった今、独立した監査も必要になってきている。
前述のように、セキュリティは一部のコンピュータやネットワークだけでは実現できない。すなわち、一部の部門だけ監査を行っても何の役にも立たない。気休めだけである。したがって、セキュリティ監査ではネットワークとコンピュータ・システム全体を監査し、セキュリティ・ホールを浮き彫りにすることが重要である。
また、定期的に監査を実施するに当たっても、これだけ技術の進歩が速い時代に対応するためには、年複数回の実施が必要とされているのではないだろうか。勿論、監査の実施には人的なリソースを必要とするため、それほどコストをかけて実施するなど難しいという声もあるだろう。そこで、セキュリティ監査ソフトなどを有効に利用し、効率化を図ることも必要となる。
5.セキュリティ体制の評価
これまで述べてきたセキュリティ体制の構築についての視点は、そのまま現状の評価にも適用できる。
自社のセキュリティ体制を評価するためには、図表7に示すレーダーチャートでそれぞれの評価項目における点数をプロットし、結んでみることがわかりやすい。
それぞれの評価項目には、参考のために0から4までの5段階の評価基準(図表8)を提示している。これはあくまでも現時点における評価基準であり、今後新たな不正の手口などが発覚したり、情報セキュリティに対する社会的な認識が高まれば当然見直しが必要になるだろう。 それではどのように評価すべきなのか。
まず、重要なのはこれら全体のバランスである。ある部分では厳格なセキュリティ体制を敷いているにもかかわらず、穴があったり、部門毎に差異があったりということでは全体としてのセキュリティ・レベルを上げることはできない。結んだ線による図形が大きさに関わらず正五角形に近ければ、バランスの良い情報セキュリティ体制が実践されていると言えるだろう(図表9)。
もう1つ重要なのは、取り扱っている情報の機密性とコストの度合いである。コスト換算によってリスクが高いと判断された情報を取り扱っている場合には、この五角形は大きくなければならないということになり、逆にリスクが低いと判断されている場合には、五角形は小さくてもかまわないのである。
6.新たな情報セキュリティ対策導入アプローチの必要性
これまでの情報セキュリティ導入アプローチは、新たなシステムが導入されると、新たなセキュリティの仕組みを導入するという付け足し型の構造が多かった。その結果、セキュリティ対策が冗長になったり、欠如していたりという不整合を招いていた(図表10)。
今後、考えていかなければならない導入アプローチとは、基本に全社的な規範となるセキュリティ・ポリシーを持ち、これをベースに所有する情報のレベルとリスクを定量的に評価し、投資すべきコストとセキュリティ技術対策を決定していくという方法である(図表11)。
わが国では、セキュリティ・ポリシーを規程しているの企業はほとんどなく、さらに情報のレベルを評価しセキュリティ・レベルを決定しているところは皆無だろう。情報のインベントリという作業は、それだけ時間と労力がかかることに違いない。しかし、オフィスにグループウェアやワークフローが導入され、紙を利用した情報は減少するのは目に見えている。そして、これからの時代は文書のみならず音声や画像などほとんどの情報が電子化され、蓄積されていくため、守らなければならない電子化メディアの量は将来的に莫大なものになるものと考えられる。
現時点で、情報を評価するという評価体系と仕組みを構築しておくことにより、将来的なコスト負担を低減することが可能になるのである。
このようなアプローチは、特に目新しいものではない。米国のセキュリティ機器ベンダーがコンサルティングに利用している方法論の骨子である。また、イントラネットを構築した企業でも数多く導入されているのである。
7.おわりに
情報セキュリティに対する取り組みは、貨幣価値とプライバシーを取り扱う金融機関で先行していたが、ここ数年製造業とサービス業においても前向きに進められている。これらの業種はシステム化投資に積極的であり、イントラネットの導入も他業種に比べて早く着手しているようである。
特にイントラネットの導入が、情報セキュリティへの検討を進ませているのである。わが国の企業もイントラネットの導入を契機として安全は金で買うものという意識を持ち、積極的な対応を取らざるをえなくなるだろう。
また、国全体としても企業などのコンピュータ・ユーザーにセキュリティ対策の指導や、セキュリティ機器の導入に対する資金的な支援を行えるような施策を講じていく必要があるだろう。わが国がハッカーの温床となり、コンピュータ犯罪大国になってしまうと、世界の国々がわが国のコンピュータとのネットワーク接続を嫌がり、ネットワーク村八分になりかねないからである。
注
1.平成8年版犯罪白書
2.イザヤ・ベンダサン著
3.http://www:hp.com内の白書:HP AdvanceStack-Network Security
4.プリンストン大学 Technical Report 540-96:Web Spoofing: An Internet Con Game