武田圭史

■IBM、インターネット セキュリティ システムズを買収 -セキュリティー・ソリューションのリーダーとしてのIBMの地位を強化-(IBM, 8/24)
http://www-06.ibm.com/jp/press/20060824001.html

■IBM to Acquire Internet Security Systems(ISS, 8/23)
http://www.iss.net/about/press_center/releases/us_ibm_08233006.html

■米IBM、ISSを13億ドルで買収、管理サービスを強化(EnterpriseWatch, 8/24)
http://enterprise.watch.impress.co.jp/cda/foreign/2006/08/24/8494.html

■IBM、セキュリティ専門大手のISSを13億ドルで買収(ITPro, 8/24)
http://itpro.nikkeibp.co.jp/article/NEWS/20060824/246290/?ST=security

■IBMがInternet Security Systemsを買収(InternetWatch, 8/24)
http://internet.watch.impress.co.jp/cda/news/2006/08/24/13068.html

第1次情報セキュリティ基本計画に基づく｢地方公共団体における情報セキュリティポリシーに関するガイドライン｣の見直しあたって、「『地方公共団体における情報セキュリティポリシーに関するガイドライン』（案）に対する意見募集」が始まっている。９月１９日（火）までとのこと。

各種動向を踏まえたより実践的な内容になっており、セキュリティポリシーのサンプルとしても使える。

■「地方公共団体における情報セキュリティポリシーに関するガイドライン」（案）に対する意見募集（総務省, 8/21）
http://www.soumu.go.jp/s-news/2006/060821_1.html

目黒区防災センター「地震の学習館」は各種災害シミュレーション等の体験施設で、専属の説明員さんがついてなんと全てが無料。週末も開いていて、目黒区民でなくても利用できる。

地震の揺れや初期消火、煙の中の脱出、応急救護、地震の初動対処などを体験することができる。来訪したグループ毎、説明員がついて丁寧な指導を受けることができる。私たちを担当してくださった方はディズニーランドのジャングルクルーズばりのジョークを交えた解説をしてくださり、大変楽しく体験学習させていただいた。

初期消火体験では訓練用の（といっても本格的な）消火器を使って画面に表示される炎を実際に消火する作業を体験。地震体験では、一般家庭、ビル、阪神大震災、関東大震災などの揺れの違いなどを体験できる。震度５．５～６弱の揺れが再現されているとのこと。煙体験では火災時に煙が充満した建物を想定し、迷路のようになった通路を出口を探しながら逃げるというもの。真っ暗で煙が充満した建物内で手探りで進むことの難しさを体験できる。予想以上に本格的な体験ができるので驚いた。

続いて、救急救命の訓練。訓練用の人形を使って人工呼吸や心臓マッサージの訓練を行う。説明員の方が突然人形に向かって「山田さん！山田さん！」と叫び始める（？）。意識を確認するには、当人の名前を呼ぶのが良いらしいとのこと。それにしてもこの人形の名前が「山田さん」とは…(Rescue Anneという名札らしきものはあるんですが)。

ということで私も山田さんの肩を叩きながら「山田さん！山田さん！」と呼びかけてみる。もう一体の人形に向かって今度は「花子さん！花子さん！」と指導員の方が呼びかけている。山田さんの下の名前は花子でフルネームは「山田花子」らしい。人工呼吸の空気量や心臓マッサージの位置、強さ、タイミングなどが印字された紙が山田花子さんのわき腹からにょろ～と出てきたのには驚いた。

このほか、地震にあったときの適切な判断を評価するサバイバルゲームや、映像シアターなど地震について１時間程度で総合的に体験学習できる施設となっている。目黒の住宅地のど真ん中に、このような充実した施設が存在することは驚きだ。来館者はそれほど多くもないようだが、夏休みや週末の家族サービスやデートで行ったとしても十分満足できろうだろう。楽しみながら防災に関する知識を身につけることができるこういった施設は、一般市民にとっても役に立つものであり、大変有意義だと感じた。組織の防災や危機管理の担当は一度訪れると良いのではないだろうか。

（参考情報）
■目黒区防災センター・地震の学習館(目黒区)
http://www.city.meguro.tokyo.jp/bosai/center/index.htm

（ネタバレあり、ご注意ください。）

米国同時多発テロ事件を題材とした映画「ユナイテッド93」を観てきた。期待するものにより映画の印象は人によって大きく異なるようだが、良くできた作品だと思う。特に無理やり観客を泣かせようとするような見え見えの演出も無く、なるべく色をつけずにこの事件を描こうとする姿勢に好感が持てた。当該機に乗り合わせた人々から当時の様子を聞くことはできないため実際に機内で何が起こったかは分からないが、遺族や関係者の証言に基づいたストーリーのようで、現実の状況にかなり近いのではないかと感じた。

映画の前半、複数の航空管制拠点とNORAD(北米防空司令部)とのやりとりが延々と続く場面は、退屈と感じる人もいたようだが、正誤さまざまな情報の錯綜や、コミュニケーションの不全、ROE(交戦規定)の重要性など危機管理のケーススタディとして学ぶ点は多い。

同機の墜落に関しては自作自演や米軍機による撃墜などいろいろな陰謀論がささやかれているが、その真偽は別として映画で描かれている状況はかなり現実的なものだった。私自身防空管制業務に携わった経験からみても違和感が無く、いかにも起こりそうな混沌とした状況が描かれていた。もっとも実際に事件の現場に立ち会った管制官や軍関係者が実名で映画に出演したり協力したりしているので、いくらかの状況は彼らにとっても都合の良いものとされている可能性もあり、実際の状況はもっと酷いものだったに違いない。ちなみに映画の最後に現れる言い訳がましいステートメントは、かえって観客に疑問を抱かせ逆効果だろう。

この事件に限らず、政府など公的機関に対して様々な陰謀のストーリを描きたがる人たちがいるが、幸か不幸か公的機関の多くは陰謀を企て実行するに十分な動機も能力も持っているとは考えにくい。政府と言えども様々な背景や価値観を持った人間によって構成されており、さまざまなしがらみに縛られている。各種政策や陰謀などと言われるようなものであっても、驚くほどばかげた経緯によって決定されたり実行されることも少なくない。

また、現代社会では情報の自由や透明性が高まっているためにいわゆる陰謀を成功させるには、相当強固な絆や利害で結びついた少人数による実行でない限り秘密にとどめることは難しい。一方、組織にとっては多少ミステリアスな雰囲気を醸し出しておいた方が権威が高まることもあり、あえて陰謀を完全否定しないようなこともある。組織に属する人間にとっては、外部向けに「実はたいしたことないですよ」というよりは、「ここだけの話、実は・・・」みたいな話をした方が受けが良く、嘘とも本当とも言えないような何気ない話に尾ひれがついてまことしやかな陰謀の噂が広まることもある。

私の経験では「実はたいしたことないですよ」と言っても、どうしても陰謀を唱えたい人達から「それはお前が知らないだけで、実はかくがくしかじか・・・」のように逆に教えられることも少なくないのだが・・・。

（参考情報）
■映画「ユナイテッド93」公式サイト
http://www.united93.jp/top.html

以前の私のエントリー「個人情報の暗号化通信は漏洩にあたるか？」で投げかけた「流出した暗号化ファイルと傍受された暗号化通信データの違い」とそれに基づく漏洩時の謝罪の要否に関する疑問について、高木浩光さんが大変素晴らしい考察を示してくださったので、これについての私の考えを記しておく。

このような議論を通じて本来あるべき姿を模索することは意義のあることだと思うので、ご指摘、ご意見等があればぜひともお寄せいただきたい。

• 流出した暗号化ファイルと傍受された暗号化通信データの違い, 高木浩光＠自宅の日記, 2006年8月14日

企業が個人情報ファイルを紛失した際に、単に「暗号化していますので問題ありません」で済まされないのは、まず、少なくともどんな暗号アルゴリズムを用いていたかを明らかにしなければ、客観的に「問題ない」とはできないからだ。そして、お墨付きの暗号アルゴリズムを使用していたとしても、鍵の作り方がどうなっていたかと、鍵の管理をどうしているのかを明らかにしなければならない。

紛失時の対応として、暗号アルゴリズムや鍵の強度、管理方法などについて明らかにすべきという考え方は理解できる。ただし、実際に紛失時にこのような事項を発表を行うとすると、顧客の感情を考慮すれば結局謝罪せざるを得ないだろう。（←実はここがポイント？）あらかじめ最低限の暗号化の仕様を定義し公開しておき、暗号化されたデータそのものは個人情報とはみなさないなどの考え方があっても良いのではないかと思う。

本来の趣旨からはずれるが、同様の要求は等しく暗号化通信に対しても求められるだろうか？

この考えに従うと、顧客等から見えないところで個人情報がインターネットを通過するような通信が行われる場合、その全ての保護手段や管理の状態を公開すべきだということになる。つまり顧客が直接サーバに対して入力するWebインターフェースにおけるSSL/TLSの使用は入力者本人から見えるので問題ないが、社内業務インフラの一部としてSSL/TLS, VPN, SSH, SFTP等をインターネットを介して使用している場合についてもその事実についても公開する必要があるということになる。

理想的には暗号化したとしても顧客等の情報をインターネットを介し通信しないことが望ましいかもしれないが、現実には全ての企業が完全クローズドなネットワークで業務を完結させることは困難と思われる。

これに対して、一般的に行われているファイルの暗号化では、まず鍵の生成方法は自由であり、鍵ファイルの保存を必要としないものでは、パスワード（人間が思い浮かべた文字列）をそのまま鍵にしているものがあるし、パスワードと暗号化用ソフトウェア内蔵の鍵（リバースエンジニアリングによって判明し得る）から生成しているものもあり、それらでは、どんな暗号アルゴリズムと鍵長を用いようとも、強度はパスワードのレベルまで落ちていると見なされるだろう。

ここでは「一般的に行われているファイルの暗号化では、まず鍵の生成方法は自由」としてユーザが使用する鍵またはパスワードの強度不足が指摘されている。ここで指摘されているようなパスワードやパスワードから生成した鍵の使用では十分とは言えないという点については指摘のとおりだと思う。この対策としては、ランダムに生成され十分な長さを持つ鍵ファイルや耐タンパー認証トークン等を使用することで十分な鍵の強度を確保すればよいだろう。

次に、鍵ファイルを保存する方法の場合、鍵の生成方法まで規格化されたものを使用すればよいが、鍵ファイルを秘密にしておかなければならず、それが同時に流出している可能性があるならば、鍵ファイルの使用にパスワードを要求するようになっていても、安全性はパスワードのレベルだと見なされる。

「それが同時に流出している可能性があるならば」との前提は、本来あってはならないことでそれ自体が問題である。ここでは鍵ファイルが同時に流出している「可能性がない」ことを確認できれば暗号化通信との差はないということになる。

SSLが信頼されているのは鍵がセッション終了時に消去されるところにポイントがある。一般に、通信の暗号化では鍵は短期間で捨てられる（ようにプロトコルを設計できる）のに対し、ファイルの暗号化では、その目的上、いつかそのファイルを復号しなくてはならず、それまで鍵を捨てずに温存しておかざるを得ず、どうやってもそこが通信の暗号化にはないリスクとなる。

ここでは、暗号化ファイルの「鍵の存在」が問題視されているが、重要なのは攻撃者が鍵を入手することが不可能なことであって、鍵が存在するか否かではないだろう。したがって、例えば鍵が安全な場所に過去にわたり保管されており、攻撃者が鍵を入手することが事実上不可能であることを示せれば「鍵がセッション終了時に消去され」ていることと同等とみなしてもよいのではないか。（鍵の存在がポイントというのであれば紛失が発覚した時点で鍵を破棄し以前に鍵の漏洩がないことを確認すれば良いだろう。）

SSLであってもサーバ秘密鍵とセッションで使用された乱数がどこかに保存されていれば通信の暗号化であってもファイルの暗号化と同じリスクがあることになる。そもそも一般的な暗号は鍵が安全に保護されていることを前提に安全性を担保しているものなので「鍵は安全に保護されていない」ことを前提とするならば、全ての暗号化は意味のないものになってしまう。

そうすると、暗号化された個人情報ファイルを流出させたときに謝罪しなくてよいためのひとつの条件として考えられるのは、「そのファイルはもう復号することを予定しておらず、鍵を消去している」と示すことではないか。

上記の考えから、「暗号化された個人情報ファイルを流出させたときに謝罪しなくてよいためのひとつの条件として考えられるのは」、「ファイルを復号するための鍵は十分な長さを持ち、過去にわたりその鍵が適切に保護されており、攻撃者がこれを使用することは事実上不可能であることを事前に示しておくこと」、とは言えないだろうか？

スラッシュドットから気になる情報２件
Ｃ＃での実装だそうで・・・。（内容は未確認です。ご注意ください。）

■Winny可視化プログラム「OpenWinny」（スラッシュドット, 8/1）
http://slashdot.jp/articles/06/08/01/0611247.shtml

■Winny可視化版アプリケーション（takugon’s web site）
http://www.geocities.jp/takugon/application.html

■情報流出のおかげで株式上場を中止（スラッシュドット, 8/1）
http://slashdot.jp/security/06/08/01/063201.shtml