現在地 HOME > 掲示板 > IT1 > 631.html ★阿修羅♪ |
|
“踏み台”にされた企業に賠償責任?
http://itpro.nikkeibp.co.jp/members/NIT/ITARTICLE/20030825/1/
日経インターネットソリューション2003年9月号,53ページより
セキュリティ対策が,企業にとって当然の義務と見なされつつある。これ
に伴い,“踏み台”にされ,他の企業に損害をもたらした場合に,被害を
受けた企業から損害賠償を請求されるリスクが高まっている。しかし,不
正侵入を完全に防ぐのは不可能。訴訟に備えた新種の対策の重要性が増し
てきた。
(藤田 憲治=kenji-f@nikkeibp.co.jp)
写真1●セキュリティ分野に詳しい牧野二郎弁護士
「企業が果たすべき責任の重さは大きく3段階に分けて考えるべきだ。最
も重いのは第一種/第二種通信事業者やセキュリティ・ベンダー,大手の
金融や流通業者など。次は中小規模の企業。最後は大学やコミュニティ。
大学のシステムは開放された場所という意味合いを持ち,大企業ほどの責
任は問われないだろう」。
企業が果たすべきセキュリティに対する責任の重さが変わってきている。
顕著な例は,悪意を持つ第三者に踏み台として利用され,自社のサイト経
由で他の企業や組織のサイトに被害を与えた場合だ。
こうしたケースでは,2〜3年前なら「踏み台にされた企業の過失が問わ
れることはなかった」(牧野二郎弁護士,写真1)。しかし「状況は変わ
りつつある。踏み台にされた企業が過失を問われ,損害賠償を請求される
リスクが高まっている」(牧野弁護士)と言う。アクセス制御やパッチ適
用などの基本的な対策が,企業としての“当然の責務”と認知されつつあ
るのだ。
「コンピュータ・フォレンジック」と呼ばれる分野のセキュリティ製品
が相次いで登場しているのも,こうした背景から。これらのツールは,法
的な証拠になり得る情報を記録・保存・解析する機能を備える。今後多発
するであろう訴訟を想定したものだ。
ファイアウォールだけでは防げない
もちろん,セキュリティに100%はない。例えば,深刻なセキュリティ
・ホールと対策パッチが深夜に発見・公表されたとしよう。この場合,24
時間365日の運用体制を敷いている企業でないと,パッチを適用するのは
翌朝以降になる。パッチを適用するまでの“空白の期間”に,不正アクセ
スを受ける危険性がある。
運用時の単純なミスによって,被害に遭うことも多い。システム保守の
ために,ファイアウォールの設定を緩め,元の設定に戻し忘れた場合など
だ。
セキュリティ・ホールをふさぎたくても,パッチを適用できない状況も
あり得る。パッチを適用すると,業務アプリケーションや周辺機器が正常
に稼働しなくなるケースである。
このため,不正侵入を防ぐセキュリティ対策だけでは,もはや十分とは
言えない。被害に遭った場合の対策も施しておかなくてはならない。
免責の条件は適切なポリシー運用
では,具体的にどのような対策を施すべきか。踏み台にされ,他の企業
に損害を与えた場合を考えてみよう。
事後に備えた対策は,大きく二つある(図1[拡大表示])。一つは,被
害を受けた企業から損害賠償を請求されることを想定し,自社のセキュリ
ティ対策に過失がないと証明するための用意をしておくこと。もう一つは,
踏み台にした攻撃者を特定するための対策を施しておくことである。
自らのセキュリティ対策に「過失がない」ことを証明する際,カギにな
るのがセキュリティ・ポリシー。「法廷では,自らのポリシーに沿って適
切に運用したかどうかで,その企業が注意義務を果たしたかが判断される
可能性が高い」(尾崎孝良弁護士,写真2)。
尾崎弁護士によると,理想は「パッチの適用時期,アクセス制御のルー
ルなどをポリシーに明記し,それを公開する。加えて,そのポリシーに沿
って正しく運用しているかの監査を定期的に受ける。監査で不具合が発見
された場合の対処方法もポリシーに明記する」ことだ。これにより,企業
の果たすべき注意義務がはっきりし,犯した過失を判断しやすくなる。
図1●踏み台にされて他の企業や組織に被害をもたらした場合,今後は損
害賠償を請求される可能性がある
踏み台にされた企業は,策定したセキュリティ・ポリシーに沿って正しく
運用したことを証明し,過失がなかったことを示す必要がある。具体的に
は,業務日誌を欠かさず作成する,定期的に監査を受けるなどで対処する。
写真2●牧野法律事務所でコンピュータ・フォレンジックの分野を担当す
る尾崎孝良弁護士
「作成したポリシーがいいかげんだと,順守しても『過失がない』とは判
断されないだろう。関連業界でガイドラインを作り,その水準に合わせる
のが得策」。
業務日誌が有力な証拠になる
ただ,パッチの適用時期や具体的なアクセス制御方法をポリシーに明記
し,公開するのは実際には難しい。前述のように,適用したくてもできな
いパッチが存在するかもしれない。また,これらの情報は攻撃者に不正ア
クセスのヒントを与えることにもなりかねない。
現実的には,「可能な限り早くパッチを適用する」「適切にアクセス制
御する」旨をポリシーに明記し,それを順守したことを示す。これで「過
失がない」ことを証明する。パッチが適用できず,それが原因で不正アク
セスを受けたとしても,「法は不可能を強いるものではない」(尾崎弁護
士)ため,十分な理由があった場合は過失責任が問われる可能性は低い。
このためには,日々の運用状況を業務日誌に欠かさず記録することと,
定期的に監査を受けることが重要になる。業務日誌をつけていれば,パッ
チを適用しようとした事実や適用を試みた時期,パッチを適用できなかっ
た理由などを明らかにできる。
サイトの異常すら発見できない
もう一つの攻撃者の特定も重要な事後対策だ。攻撃者を特定できれば,
踏み台にされた企業は,攻撃者に対して損害賠償を請求できる。一方,特
定できなければ,踏み台にされた企業は事実上,“泣き寝入り”するしか
ない。
攻撃者を特定するには,証拠となるアクセス・ログを記録・保存し,細
かく解析する技術的な対策が不可欠。フォレンジック製品などが有効であ
る。ただ,注意すべき点がある。攻撃者を特定するには,まず自身のシス
テムが不正アクセスを受けたことを把握しなければならない。しかし,踏
み台の場合は,これが意外と難しい。
例えば,インターネット上では「rootkit」と呼ばれるツールが,多数
公開されている。バックドア・プログラムや偽情報を報告するコマンド,
ログ改ざんツールなど,攻撃者が踏み台サイトを作るために使うツールが
含まれている。rootkitを仕込まれると,システム情報の多くが攻撃者の
都合の良いように書き換えられてしまう。これにより,攻撃者が不正にロ
グインし,何らかのプログラムを実行してもシステム管理者が異常に気づ
きにくくなる。
事前に記録した“正常状態”と対比
図2●不正アクセス被害を調査する場合の主な手順
作業中に気づいたことは,どんなささいなことでもメモに書き留めておく。
このため,万全を期すには侵入検知ツールを使って攻撃の予兆を知るほ
かに,ファイルの整合性チェック・ツールも併用しておくべきである。整
合性ツールを使えば,ファイルの不正書き換えや,不審ファイルのコピー
を検知できる。また,rootkitを検出する「chkrootkit」と呼ぶツールの
活用も検討するとよい(http://www.chkrootkit.org/を参照)。
不正アクセスの兆候を検知したら,図2[拡大表示]に示す手順で実際の
被害状況を調査する。まずは,インターネットに接続した状態で,プロセ
スの実行状況やネットワークの接続状況などの失われやすい情報を収集。
その後,ネットワークから切り離し,ハード・ディスクの内容を丹念に調
べる。システムの正常な状態を事前に記録しておき,それと比較すること
で,わずかな異常も見逃さないようにする。
不正アクセスを受けた場合の対処手順は,あらかじめ決めておくことが
望ましい。不正アクセスを受けたマシンが重要なサービスを提供している
場合,組織的な観点からの判断が必要になる。このような状況を想定して,
組織としての対処手順,緊急時の対策チームを準備しておくべきである。
◎お知らせ◎
日経インターネットソリューションは,日本ネットワークセキュリティ
協会(JNSA)と共同で9月10日,「コンピュータ・フォレンジック」に関
するセミナーを開催します。事後対策に使えるセキュリティ技術やシステ
ム運用方法,法律知識などについて説明します。セミナーの詳細,および
申し込みは下記URLをご覧ください。
日時:9月10日(水)13:00〜17:30
場所:工学院大学 新宿キャンパス
講師:牧野二郎弁護士,Port139の伊原秀明氏,
セキュリティ・アドバイザの渡辺勝弘氏
受講費:1万円
定員:140人(先着順)
http://www.security-stadium.org/
<“セキュリティ対策”関連>
■なぜWindowsが再起動させられるのか?――「Blaster」ワームの謎を解
く (2003/08/13)
■Cisco IOSのセキュリティ・ホールを突くツールが公開,管理者は早急
に対策を (2003/07/20)
■2003年5月のウイルス被害状況,ワースト1は米MSの技術サポートを装う
「Palyh (2003/06/02)
■「ウイルス被害に遭ったら“118”へ電話して」――韓国セキュリティ
組織の取り組み (2002/11/22)
■“他人事”では許されない――ルート・サーバーへの攻撃はなぜ起きた
のか (2002/11/11)
■Apacheサーバーに感染する「Slapper」ワームの脅威 (2002/09/30)
■ファイアウオールを“活用”してますか? (2002/09/27)
■セキュリティ機能付きADSL/FTTHサービス。NTTコムがOCNに新メニュー
(2002/09/18)
◆踏み台
不正アクセスやスパム・メールの中継に利用されるマシンやサイトのこと。
攻撃者の隠れみのになる。攻撃者は踏み台サイトから,標的サイトを攻撃
する。
◆アクセス制御
情報資産に対して,どのユーザーがどのような資格でアクセスするのかを
制御すること。基本的なセキュリティ対策の一つ。
◆パッチ
ソフトウエアのバグやセキュリティ・ホールを修正するためのデータもし
くはプログラム。ホットフィックスとも呼ばれる。
◆コンピュータ・フォレンジック
「フォレンジック(forensic)」は「法廷に関する」という意味。法的証
拠となり得る情報を収集・解析する意味で使われることが多い。コンピュ
ータ・フォレンジック関連製品は本誌8月号pp.54-55を参照。
◆セキュリティ・ポリシー
セキュリティ対策における基本的な方針を表した文書。階層構造を採り,
経営方針の一つとして経営陣が作成する上位のポリシー,運用手順などを
定めた下位のポリシーなどで構成される。
◆侵入検知ツール
IDS(Intrusion Detection System)とも呼ばれる。ネットワーク上を流
れるパケットを監視して,攻撃パケットを見つけるネットワーク型と,対
象ホストのログを監視して異常を見つけるホスト型に大別される。シグニ
チャと呼ぶ攻撃パターンのデータベースを保持し,それと照合することで
異常を検知する。
◆整合性チェック・ツール
重要なファイルを監視し,攻撃者がそのファイルを変更したことを検出す
るツール。バックドアの設置も検出できる。代表的な製品の一つに
Tripwireがある。
--------------------------------------------------------------------------------
Copyright (C) 2000-2003 Nikkei Business Publications, Inc. All rights reserved.