Comments
Description
Transcript
コンピュータセキュリティの市場・技術 に関する調査報告書
03−計−1 コンピュータセキュリティの市場・技術 に関する調査報告書 平成15年3月 社団法人 電子情報技術産業協会 セキュリティ市場・技術専門委員会名簿 (敬称略・順不同) 委 員 長 芦 田 元 之 沖電気工業㈱ 副 委員長 馬 渕 雅 史 日本電気㈱ 〃 藤 田 直 毅 日本電気㈱ 武 内 春 夫 沖電気工業㈱ 〃 藤 原 勝 良 シャープ㈱ 〃 才 所 敏 明 ㈱東芝 〃 角 田 光 弘 ㈱日立製作所 〃 三 浦 敏 郎 富士通㈱ 〃 黒 川 信 弘 松下電器産業㈱ 〃 小松田 敏 二 三菱電機㈱ オブザーバ 遠 山 真 〃 川 口 修 司 ㈱三菱総合研究所 〃 江 連 三 香 ㈱三菱総合研究所 鈴 木 晴 久 委 事 員 務 局 ㈱三菱総合研究所 (社)電子情報技術産業協会 はじめに 本報告書は、セキュリティ市場・技術調査専門委員会が「米国の有力セキュリティ企業の動向 に関する調査」を行い、日本のセキュリティビジネスの方向性の分析をとりまとめたものである。 米国での調査は、注目すべきセキュリティ製品やサービスを提供している有力米国ベンチャの 動向調査をデータベースや文献および直接ヒアリングして行った。この調査結果から委員会で予 想していたようにファイアウォール、アンチウィルスや IDS(侵入検知システム)などの主流製 品が一巡し、成長は鈍化しているが、MSSP(マネジド セキュリティ サービス)およびコン テンツセキュリティの分野が伸びていく傾向にある。 これまで、米国のセキュリティ市場は、日本より数年進んでおり、日本のセキュリティビジネ ススタイルは、米国で生じた事象を把握し、これに対応するセキュリティ製品やサービスを米国 から導入する形が主流であった。しかし、今回の調査で必ずしも米国が日本にとっての参考事例 とならない場合が出てきている。たとえばブロードバンド、無線 LAN およびネット家電に係る セキュリティは先行事例がなく日本自ら解決しなければならない分野である。逆に言えば日本が 先行することにより主導権を握れる分野でもある。委員会では、これらの分野と政府が積極的に 推進している「e-Japan」戦略について、新たな情報環境が生み出す課題として考察を行い報告書 にとりまとめた。 「米国の有力セキュリティ企業の動向に関する調査」については株式会社 三菱総合研究所殿、 また本報告書の執筆をしていただいた各委員のご協力に厚く感謝の意を表します。 本報告書が関係の方々に活用され、日本のセキュリティビジネスの発展に寄与できれば幸いで す。 平成15年3月 セキュリティ市場・技術専門委員会 委員長 芦田 元之 目 次 1. 本年度の活動内容 ………………………………………………………… 2. 本年度調査 ……………………………………………....………………… 2.1 情報セキュリティを取り巻く環境 ……………………………………... 2.2 本年度調査の目的 ………………………………………………………… 2.3 調査前の関心事項 ………………………………………………………… 2.4 分析結果 …………………………………………………………………… 3. 新たな情報環境が生み出す課題について ……………………………... 3.1 e-Japan 戦略の進展に伴う課題 ………………………………………….. 3.2 ネットワーク環境の進展に伴う課題 …………………………………… 3.3 情報家電 …………………………………………………………………… 3.4 ブロードバンドの急速な普及 …………………………………………… 4. まとめ ……………………………………………………………………… 付録 米国の有力セキュリティ企業の動向に関する調査報告書 1 1 1 2 3 4 10 10 11 11 12 15 1. 本年度の活動内容 米国におけるセキュリティビジネスの方向性を把握するために、注目すべきセキュリティ製 品・サービスを提供している有力米国ベンチャー企業 30 社を抽出し、その動向を調査した。その 内の 15 社については、現地インタビューによって詳細な調査を実施した。主な調査項目を次に示 す。 ①製品・サービスの概要 ②製品・サービスの特徴 ③保有技術 ④事業戦略・差別化戦略 ⑤事業体制 ⑥提供事業者の概要 次に、上記調査結果を基に、日本におけるセキュリティビジネスの方向性を検討した。 さらに、「新たな情報環境が生み出す課題」として、e-Japan 戦略、無線 LAN、ブロードバンド、 および情報家電に関して考察し、今後の方向性についてまとめた。 また、昨年度、わが国の官公庁・団体および学会等のセキュリティ関連組織の活動内容等を整 理したセキュリティ関連事業リストを作成し、インターネットで公開したが、今年度は、このリ ストを見直して最新の情報に改めた。次の URL に掲載してあるので活用願いたい。 http://it.jeita.or.jp/infosys/committee/security/list-1.html 2. 本年度調査 2.1 情報セキュリティを取り巻く環境 総務省の発表した平成 14 年通信利用動向調査の結果によると、インターネットのブロードバン ド化と常時接続の普及により、国内のインターネット利用人口は順調に増加しており、2002 年 12 月末のインターネット利用者数は対前年比 1,349 万人増の 6,942 万人と推計されている。 また、 人口普及率は対前年比 10.5 ポイント増の 54.5%と半数を超え、ブロードバンド加入者の割合は 29.6%と前年比約 2 倍に増加している。同じく総務省の平成 14 年版通信白書によると、携帯イン ターネットに関しては、加入者数は 2002 年 3 月末で 5,193 万加入、携帯電話の加入者数に占める 携帯インターネット加入者の割合は 75.1%と世界を大きくリードしている。 このようにインターネットが急速に普及している中で、不正アクセス、ウイルス感染、Web ペ ージの改ざん、DoS/DDoS 攻撃等のセキュリティ問題が急増している。 2003 年 1 月に、Microsoft SQL Server 2000 に存在する既知のセキュリティホールを利用した SQL Slammer ウイルスが発生 し、世界各国のインターネット接続の速度低下を引き起こす等の被害をもたらしたことは記憶に 新しい。 政府が 2001 年 1 月に e-Japan 戦略において、日本が 5 年以内に世界最先端の IT 国家となるとい う目標が掲げて以来、エネルギー、交通、行政サービス等のインフラ関連サービスが、ますます インターネットに依存するようになってきており、2001 年 9 月 11 日の同時多発テロ事件以降の 国外からの脅威の高まりを背景に、いわゆるサイバーテロ対策の重要性が認識されるようになっ てきた。 政府はこのような状況に対応して、2002 年 6 月に発表した e-Japan 重点計画-2002 の重 点分野として「高度情報通信ネットワークの安全性及び信頼性の確保」を挙げ、米国における同 時多発テロ等を踏まえたサイバーテロ対策、サイバー犯罪条約署名等の国際的な取り組みのほか、 バイオメトリクスによる本人認証を含む電子政府の前倒し実現と電子自治体の推進への対応、国 1 民が安心してネットワークを利用できるような環境整備について重点的に進めるとしている。 国家公安委員会、総務省、経済産業省の発表した「不正アクセス行為の発生状況及びアクセス 制御機能に関する技術の研究開発の状況」によると、不正アクセス行為の認知件数は 2001 年に 1,253 件と対前年比約 12 倍に急増したものの、2002 年には 329 件と大幅に減少した。不正アクセ ス行為の内容は、2001 年には Web ページの改ざんとウイルス感染で 7 割以上を占めていたが、 2002 年にはインターネット上のオークションの不正操作が半数以上を占めるなど、大きな変化が見ら れる。 また、IPA(情報処理振興事業協会)の調査では、IPA への 2002 年1∼12 月のウイルス被害届 出件数は、20,352 件となり、前年(2001 年)の 24,261 件から減少した。 実際に感染した件数は 前年の 19%から半分以下に減少して 8%となり、ウイルス対策が徐々に実施され始めている状況 がうかがえる。 2.2 本年度調査の目的 JEITA セキュリティ市場・技術専門調査委員会では昨年度(平成 13 年度)調査において、日本 におけるユーザ企業の情報セキュリティの現状をアンケートによって調査を実施した。その結果 としては、セキュリティ対策意欲の向上は見られるが、中小企業や医療機関など対策はまだまだ 遅れているという事や、官公庁では一定のセキュリティに対する投資の増加が見られるが、この 後も他の分野の範となるべく常に高いレベルのセキュリティ対策を維持すべきであるという様な 課題と共に、モバイルアクセスに対するセキュリティ確保の重要性や、情報システム・アウトソ ーシングについてもセキュリティ要件をどの様に取り扱うかなど、新たな情報環境における課題 も生まれてきていることが明らかになった。また、セキュリティに対する意識が上がってきてい る事は明らかではあるが、厳しい経済環境もあって、具体的な情報セキュリティ対策が中々進ん でいないという状況も明らかになった。 このような状況のなかで、各企業・組織はセキュリティリスクを十分認識し、自らの保護と共 に、社会への責任を果たすために、情報セキュリティ対策に注力する必要があるという事や、各 ベンダとしては、情報セキュリティ対策ツールやサービス利用の技術的、コスト的バリアを下げ る努力を続け、各企業・組織が安心して手軽に対策が検討・実施できる環境を提供する必要があ るという事などの提言を行った。 これらを受けて今年度の取り組みとしては、これら課題と提言に対しての日本市場におけるセ キュリティ技術・製品・サービスにおける具体的なビジネスの方向性を把握する事を目的とし、 更には、安全で安心できる社会の実現を目指して日本における情報セキュリティレベルを向上さ せる為の対策の立案に結び付けていく事を目的として、米国市場でのセキュリティに対する動向 調査を行った。これは、過去ファイアウォールやウイルス検知の市場への普及においてそうであ った様に、日本市場での普及の前に米国市場での広がりが見られたという事もあり、日本市場で の動きを予測するのに非常に役立つと考えられる事による。また、インターネット先進国である 米国を調査する事によって、新しいセキュリティ製品やサービスの兆しが見いだせれば、日本に おける事業者のビジネスチャンスに結び付けられる可能性もあり、これも合わせて本調査の目的 とした。 尚、米国での調査の具体的な方法としては、米国では市場の動向に敏感かつこれからのビジネ スチャンスに賭けるベンチャー企業が色々な市場を牽引してきた事も過去より明らかである事よ り、注目すべきセキュリティ製品やサービスを提供している有力米国ベンチャー企業 30 社を抽出 し、その動向調査を行った。更にその内の 15 社については、現地インタビューを実施して詳細な 調査を行った。 2 2.3 調査前の関心事項 今回の現地調査を実施するにあたり、委員会において各委員が特に関心を示した項目は主に下 記のようなものであった。 (1)認証 ① PKI ビジネスに関しては、米国のビジネストレンドではないのではないか。日本では GPKI や LGPKI があるが、米国におけるキラーアプリケーションやビジネスの主要分野が知りたい。 ② シングルサインオン製品のベンチャー企業は少ないようであるが、現在の動向はどうなって いるのか。各製品の機能に組み込まれる流れがあり、製品・OS に依存することから、ベンチ ャーが手がけるには重いのではないか。 ③ ビジネスの方向性としては、PKI と本人確認という2つがあるのではないか。また、バイオ メトリクスなど本人認証技術は、厳しくしようとするときりがないはずである。どういうと ころで折り合いをつけているのか、使い方をどう想定しているのか。 ④ バイオメトリクス技術そのものより、技術をどう利用していくかという点に興味がある。 ⑤ 指紋を利用した認証のアプリケーションを提供しているようなベンチャーは、指紋技術を自 社でどの程度持っているのか。仮に独自技術を保有していなくても、技術をどう利用してい くか、技術と運用の折り合いをどうつけているか。 (2)侵入検知/防止 ① 侵入検知製品を作るベンチャーが多いようだが、ISS や Symantec など、既に大手の企業がい る市場であるのに、新たに参入しようというベンチャーが多い理由に興味がある。 ② 日本では、IDS やセキュリティ監視システムは、ユーザがあまり使いこなせていないのが現 状である。米国においてこの分野で様々なベンチャーが出てきているということは、米国の ユーザはこういった製品を使いこなしているのか、あるいは使いやすさを上げる方向で製品 が開発されているのか、またはこういった製品は SI 業者など事業者をターゲットに売られて いるのか。 ③ IDS とファイアウォールの一体化の流れは今後どうなるのか。 ④ ファイアウォールや暗号、認証機能を組み合わせた製品を開発しているベンチャー企業があ るとのことだが、機能を統合しすぎると適用範囲が狭くなるのではないか。 (3)セキュリティ検査 ① アプリケーションの脆弱性への対策、スキャンニングツールなどの動向はどうか。米国のベ ンチャー企業による製品の話題は多いようなので、その動向を知りたい。 (4)コンサルティングサービス ① 米国におけるセキュリティ標準への意識が知りたい。2年前に米国でコンサルティングの調 査を行った際には、「BS7799 は業界基準として取り入れられており、意識はしているが、ユ ーザに対するセールスポイントにはならない」という結果であった。認証取得支援サービス のビジネスの動向が知りたい。 ② セキュリティポリシー策定後の運用への定着支援や、コンサルティングをどう展開している のか。 ③ サイバーテロ対策が米国社会として一般的にどのように行われているのか。 3 (5)マネージドサービス ① 米国においてマネージドサービスへシフトしていくという動きは本当にあるのか。日本でそ ういったサービスができるのか、米国の状況を参考にしたい。 ② 日本では、運用監視サービスが続々と出てきているが、今後どうなるのかという点で、米国 での状況を知りたい ③ マネージドサービスは、様々なメニューを組み合わせて提供する必要がある。指紋などのバ イオメトリクス技術は小規模のベンチャー1社でも提供可能だが、マネージドサービスをや るのは難しいのではないか。マネージドサービスを行うのは大手が中心なのではないか。 2.4 分析結果 (1)有力セキュリティベンチャー企業の傾向 米国有力ベンチャー企業の動向は以下のようである。 ① 製品ベンダが中心 抽出されたベンチャー企業は、製品ベンダが中心であり、コンサルティングなどのサービスを 中心に行う企業は 1 社しか抽出されず新規参入は少ない。 ② 参入企業が多いのは「コンテンツ保護・管理」、「侵入検知」/「ネットワーク監視」 「コンテンツ保護・管理」(7 社)や「侵入検知」(6 社)/「ネットワーク監視」(4 社)などの 分野に参入しているベンチャーが多く見られた。特に、「侵入検知」/「ネットワーク監視」を主 力事業とする企業の多くが最近 2 年以内に創設されていることから、最近の米国のセキュリティ ベンチャー業界では、「侵入検知」/「ネットワーク監視」分野がホットであると言える。 逆に「アンチウイルス」や「ファイアウォール」等、既に製品が普及している分野については、 新規ベンチャー企業の参入は見られなかった。 ③ 「侵入検知」/「ネットワーク監視」は、攻撃の未然予防、ブロードバンド対応へ 「侵入検知」では、アラートの重要度判断の精度を向上させて管理負荷を軽減する技術やブロ ードバンド対応技術が特に盛んに開発されている。 一方、「ネットワーク監視」では、参入している 4 社全てが DDoS 攻撃への対処を行う技術を開 発している。特に、DDoS 攻撃を含めた未知の攻撃に対応する手段として、当該ユーザの通常の トラフィックと現在の状況を比較することによって異常を積極的に予知し、不正なパケットを排 除することによって、不正なアクセスを防ぐという技術開発の方向性にある(Mazu Networks、 Arbor Networks)。また、 「侵入検知」と同様、「大容量対応」(Captus Network Corp.)や「ギガビッ トイーサネットのリンクに対応」(Mazu Networks)など、トラフィックの増大への対応も進んで いる。 ④ 「コンテンツ保護・管理」は内部ネットワークの情報保護・管理へ 「コンテンツ保護・管理」分野では、「DRM(Digital Rights Management)ソフトウエアの供給」 (Authentica)、「ネットワーク上の電子ファイルの保護と利用状況の確認」(Perimeter Data)、 「ネ ットワーク上の特定の情報へ認可を受けたユーザーのみをアクセス」 (Cyber-Ark Software)など、 内部ネットワークの情報を保護・管理する製品を提供する企業が多い。中には、情報の保護と利 用状況確認を ASP で行う企業(Probix)もある。 ⑤ コンサルティング+マネージドセキュリティサービスの協力関係 マネージドセキュリティサービスを提供しているベンチャー企業は少なく、製品主体へと方針 転換した企業(OneSecure)も見られることから、ベンチャー企業にとって、事業を行うのはたや すくないと予測されるが、”Network Magazine”誌の「2002 年 Managed Security Services Provider of 4 the Year」を受賞している Guardent が、コンサルティングも提供したり、コンサルティング企業の @Stake が Managed Security Monitoring Service で有名な Counterpane Internet Security と業務提携を 結んだりなど、コンサルティングとマネージドセキュリティサービスを併せて提供するケースが 見られた。 (2)今後のセキュリティ市場の期待製品・サービス 米国市場における今後の方向性については以下のようである。 ① セキュリティレベル向上に向けたユーザ企業の取り組みは二極化する 米国のユーザ企業は、セキュリティレベルについてより高い水準を必要とする層と、ある程度 のレベルで十分な層とに二極化する傾向が見られる。前者は、金融、医療、国防等、国の基準や ビジネス的な背景から、高いセキュリティレベルが要求される業界であり、今後も情報化投資と 合わせて、積極的なセキュリティ投資を続けるものと予想される。 その一方、中堅・中小企業を中心とする一般企業では、ファイアウォールやアンチウイルス、 IDS といった主力製品の導入が一巡し、一服感がある。 高 より高いレベルを セキュリティレベル 必要とする層 IDS Dos/DDos ある程度の レベルで十分な層 ファイアウォール、 アンチウイルス 低 2000 図 2.4-1 2001 2002 年 セキュリティレベルによる市場成長の比較 IDS の普及率はやや低いが、初期投資や運用コストの負担を考慮すると、導入企業の範囲は限定 的であり、普及率が今後大幅に伸びるとは考えにくい。したがって、米国のセキュリティベンダ は、今後、次の方向に注力していくことになるであろう。 ・より高いレベルを必要とする層に応える製品・サービスを提供していく方向 ・ある程度のレベルで満足している層が、負担の少ない形でより高いセキュリティレベルを 確保できる製品・サービスを提供していく方向 ② 米セキュリティベンチャーはニッチ市場を志向する 米国インタビュー調査や CSI 展示会見学を通じて、米国のセキュリティベンチャーにおける取 り組みは、既存の製品・サービスの改善(機能、手法、ターゲット顧客等)が主で、IDS が脚光 を浴びたときのような革新的なコンセプトの提案はあまり見られなかった。指紋や虹彩などのバ イオメトリクスについても、以前に比べ業界の関心は希薄になった印象がある。 一方、米国のセキュリティ市場には投資案件がほぼ一巡した感がある。新コンセプトの製品・ 5 サービスであれば、既存の製品・サービスと共存することは容易だが、既存の製品・サービスの 改善版の場合は、先に導入された製品・サービスをリプレースするスイッチングコストが障壁と なる。そのため、米国のセキュリティベンチャーの多くは、残されたニッチ市場をターゲットと した事業を展開せざるをえない。 ただし、IDS の異常発生時の判定ロジックや PKI の操作性に改善すべき点があるとして、既存 の有力事業者への対抗意識をあらわにするベンチャー企業もある。 また、ベンチャーキャピタルの投資基準も厳しくなっていることもあって、セキュリティベン チャーが日本市場に関心を寄せていることも注目すべきであろう。 共存可能 新コンセプトの セキュリティ 製品・サービス 既存のセキュリティ 製品・サービス 競合・対立 企業市場 既存のセキュリティ 製品・サービスの改善 図 2.4-2 セキュリティベンチャーの有望市場 ③ 今後のセキュリティ市場の期待製品・サービス セキュリティ市場のさらなる成長を遂げるためには、ファイアウォールやアンチウイルスのよ うに、セキュリティ市場の成長を牽引する製品・サービスの登場が必要である。そこで、特に期 待の高いセキュリティ製品・サービスの展望について以下に示す。 ■マネージドセキュリティサービス 米国においても市場開拓が進まず、ニーズが本当にあるのか疑問視する声が挙がっていた。し かし、最近では、技術力や製品シェア、パートナーシップ(コンサルティング事業との連携など) によって、混戦を抜け出した企業が登場している。 ■コンテンツセキュリティ コンテンツセキュリティの分野では、情報漏えい防止をめざす内部セキュリティの強化ニーズ を受け、製品が急速に充実しつつある。ファイアウォールやアンチウイルス、IDS といった既存 の主力製品の次の投資先として、急速に市場を伸ばす可能性がある。 ■認証 簡易に利用できる QuickSLL 等が注目されている。バイオメトリクスについては期待も大き いが、まだコストも高く、今すぐ市場が立ち上がる状況ではない。 6 ■IDS IDS は侵入を検知してアラートを流すものであるが、さらに新しい「予防」機能に向けた開発 競争も行われている。「予防」とは、侵入を検知するだけでなく、積極的に防御していこうという 仕組みである。 こうした開発を経て、IDS がさらなる進化を遂げるかどうかが、IDS を軸とする新しい市場形 成の鍵を握っている。 ■負荷管理 金融業や通信業、iDC、CDN、さらに e ビジネス事業者など、コストをかけても DoS/DDoS 対 策を徹底する必要がある業種には、重要な技術である。しかし、広い層にニーズがあるわけでは ない。 (3)日本におけるセキュリティビジネスの方向性 米国におけるセキュリティビジネスの調査結果から、日本におけるセキュリティビジネスの方向 性について検討する。 ① 日本のセキュリティ市場の現状 日本のセキュリティ市場の現状は、昨年度調査ならびに各種文献から次のようにまとめられる。 ・製品市場は踊り場、サービス市場は成長を維持 ・ファイアウォール、アンチウイルスは企業規模を問わず、ほぼ 8∼9 割超の企業が導入 ・IDS は米国ほどの普及はしていないが、導入ペースは停滞気味 ・セキュリティポリシーの策定は 2∼3 割 ポリシーは策定したが、実践でつまずいているケースが多い ・マネージドセキュリティサービスは 2001 年後半から動き始め、徐々に市場を伸ばしているが、 まだ本格的な普及には至っていない ・企業の社員証の IC カード化や住民基本台帳カード(住基カード)の導入、公的個人認証基盤 の構想を通じて、PKI 市場に活性化のきざし ・内部の人間による情報漏えいが続出 ・個人情報保護法の制定に遅れ ・その他、市場環境の変化 個人・家庭のブロードバンド化が急速に進展 → 自宅からのリモートアクセス 無線 LAN の普及 ネット家電とホームネットワークへの期待 ② 日本と米国の関係 これまで、米国のセキュリティ市場は、日本の数年先のそれとほぼ一致していた。したがって、 セキュリティビジネスのスタイルは、米国で起きている事象を把握して、それに対処できる製品 やサービスを米国から導入する形が主流であった。しかし、今回の調査を通じてブロードバンド 化や内部セキュリティニーズなど、必ずしも米国が日本にとっての参考事例にならないケースも ありうる。言い換えると、いくつかの分野で、日本が米国と同じタイミング、もしくは日本が先 行する形でセキュリティ上の新たな問題を抱えるケースが生じていると考えられる。つまり分野 によっては、参考にすべきトラブルや対処等の事例がなく、自ら解決策を模索しなければならな いのである。たとえば、ブロードバンドや無線 LAN、IPv6/ネット家電に係るセキュリティの確 立は、先行事例がなく日本が自ら道筋を示さなければならない課題である。 7 ③ 日本市場における発展シナリオ いくつかの分野では、米国の対応を待つだけでなく、日本が積極的にセキュリティ対応を図 る必要があると考えられる。 ■コンテンツセキュリティ 住民基本台帳ネットワークシステムの導入は、地方公共団体が管理する住民の情報が広域で 利用されるため、個人情報保護法案とセットで実施される予定であったが、法案は現在、継続 審議中である。本法案では、国や地方公共団体だけでなく、個人情報取扱事業者として民間企 業もその対象となっており、企業における情報セキュリティ対策が重視されることとなる。そ れにも関わらず、近年、相次いで大企業から個人情報が流出したり、Web サイトにおいて収集 した個人情報がサイトにアクセスすることにより参照できる等、様々な問題が発生している。 また、同じく近年、発生した国防関係情報の持ち出し等に見られるように、個人情報以外に も、企業が安全に管理すべきコンテンツは多い。しかしながら、これらの情報は、誰にも利用 できないように金庫にしまい込めば可用性が阻害され、情報システムとして機能しなくなるこ とも想定される。安全性と可用性を両立させたコンテンツ管理ツールに関しては、今回の調査 でも事例が見られたが、このような技術を日本の企業においても、積極的に導入することが必 要と考えられる。 また、近年の事例を見ると、国や地方公共団体におけるアウトソーシングや、民間企業にお ける経費節減のための外注の多用による「情報の持ち出し」のリスクが高まっていると想定さ れる。インターネットセキュリティのみならず、内部セキュリティの確保にも重点を置くこと が必要と想定される。 このような状況の中、e-Japan 戦略の中でも、とりわけ e-Japan 重点計画-2002 の「行政の情報 化及び公共分野における情報通信技術の活用の推進」が果たす役割は極めて重要であり、さら なるセキュリティの強化推進策が期待される。 ■ブロードバンドセキュリティ 米国でも常時接続は普及しているが、ADSL は電話局との距離の関係で速度が出ない等の問 題もある。これに対して、日本においては、安価で短期間で導入可能なプロバイダの参入等に より、急速にブロードバンドが普及しており、ユーザのセキュリティ意識が追いついていない と懸念される。 特に、無線 LAN は利便性が高いことから、官公庁、企業、各種公共エリア、家庭などの様々 な場所で導入が進んでいるが、セキュリティに関わる技術的な課題とユーザに対する課題があ る。 このため、自宅の常時接続環境を介して社内ネットワークに侵入されたり、踏み台として悪 用される危険性への対処が不十分と想定され、安価であることが導入動機である個人ユーザが コストをかけてセキュリティを改善するとも期待しにくい状況である。社会のトータルセキュ リティ向上を実現するためのビジネスモデルの策定が重要と考えられる。 ■IPv6/ネット家電セキュリティ IPv6 の導入、ネット家電等の分野に関しては、日本が先行したり、i モードのような独自の ビジネスモデルを構築する可能性もある。そのような状況において脅威が発生した場合、米国 のセキュリティ製品を待つ余裕はなく、日本において研究開発を推進する必要がある。 ④ 海外でも市場が見え始めた分野 以下の分野に関しては、米国においてもビジネス展開の兆しが見え始めているため、日本にお 8 いてもビジネス化の可能性が期待される。 ■認証サービス 認証サービスに関しては、住民基本台帳ネットワークや LGWAN 等の行政用のほか、公的個 人認証サービス、法務省による電子認証制度、電子公証制度等、個人・法人に対する認証に基 づくサービスの普及が進められているが、民間ビジネスにおいては、ID・パスワードで認証し ているケースが多い。今回の事例調査では、認証関連のベンチャー企業より、インターネット 上のカジノにおける会員認証等、ID・パスワードに代わる簡易な認証サービスが紹介されてい るおり、日本においても、現在、ID・パスワードに代わる安全かつ手軽な認証サービスが実現 されればニーズが期待される。 特に、日本のサービスに対する不正アクセスに関しては、海外から流れてくるウイルスや自 動的なポートアクセス等による偶発的な被害と異なり、なりすましによる詐欺等の被害が想定 されるため、日本のセキュリティ企業によるサービスの内容やリスクに応じたセキュリティ対 応が必要と考えられる。 ■マネージドセキュリティサービス 以前から、セキュリティ管理に関する負担感からサービスの利用ニーズは高いと期待されて いたにも関わらず、平成 13 年度調査でも普及の傾向は見られなかったが、今回の米国調査では ようやく大手企業を中心に普及の兆しが見られた。米国においても、本格的な市場形成はこれ からと思われるが、ビジネスモデルが明確になってきたことにより日本においても普及が期待 される。 上記の例は、米国セキュリティ製品と異なり、日本におけるビジネス化においては、米国製品 の導入と異なり、スタッフによるユーザサポートが必須であるため、国内企業が米国のビジネス モデルを参考としつつ、既存のシステム構築等のサービスの拡充として提供する等の戦略により、 展開することが考えられる。 ⑤ 実現に向けた取り組み ■事業連携と投資の集中 前述のように、セキュリティ分野に関しては、日本が米国と同時、または先行して脅威に直面 しうる分野が想定されることから、セキュリティ技術開発に関してはそのような分野にターゲッ トを絞って集中投資し、その他の分野は他国の技術や製品、サービス(のビジネスモデル)を積 極的に活用するといった戦略が考えられる。 ■米国ベンチャーへの着目 ベンチャー企業は、ベンチャーキャピタルや個人投資家からの資金集め、株式公開、大企業に よる買収等が従来の成功の図式であったが、現在の米国のベンチャー企業は、ITバブルの崩壊 により、厳しい環境にある。しかしながら、今回の調査では、各社とも積極的に技術・製品・サ ービスの開発・展開を行っており、ポテンシャル自体は以前と変わらない状況と想定される。 前述のように、米国が先行する分野において米国の技術や製品、サービスを活用する場合、特 に米国ベンチャーに注目し、彼らの技術・製品・サービス(のビジネスモデル)を日本に導入す れば、少ない投資リスクでビジネス展開が可能となる。米国ベンチャーにとっても、日本に展開 するためのコネクションもなく、製品営業サポートやサービス展開に割けるスタッフもいないこ とから、好条件で協力を得られる可能性は充分に高い。 但し、ベンチャー企業は買収される等のリスクもあるため、複数のベンチャーとビジネス連携 するとともに、他社に買収された後も提携を継続できるように、提携条件等に関しては充分に考 9 慮する必要がある。 3. 新たな情報環境が生み出す課題について 3.1 e-Japan 戦略の進展に伴う課題 e-Japan 戦略の中でも、とりわけ e-Japan 重点計画-2002 の「行政の情報化及び公共分野にお ける情報通信技術の活用の推進」による波及効果が大きく、電子政府、電子自治体、公共団 体でのネットワーク社会が実現されるということは、情報セキュリティ対策の重要性が益々 高まることを意味する。従来の「紙文書」中心の文化から「電子文書」を扱う環境への移行 は、社会制度的にも産業構造的にも大きな変革を伴い、ネットワーク社会を支える情報シス テム基盤の安全性、信頼性が前提となる。 W.E.F(World Economic Forum 2003: Global Information Technology Report 2002-2003 -Readiness for the Networked World)の IT 競争力ランキングによると、日本はインフラ整備が4位、電子政府の 整備が 19 位、電子政府の活用が 41 位となっており、本格的にITが活用されるのは今後という ことが判る。行政サービス、医療、教育・学び、知識文化、食、生活、就労・労働、中小企業金 融などの様々な利用シーンがあり、IT 活用の利用率向上に伴って、ネットワーク社会の課題が顕 在化してくると考えられる。情報セキュリティ対策を講じる立場から見ると、制度(法令)、技術、 運用の3つの側面があり、何れも継続的な対策が求められる。一方、利用者側から見ると、ネッ トワーク及び情報システムの堅牢性と信頼性確保、情報自体の保護と利用管理、そして利便性の 確保が大きな関心事となる。ここでは、本格的な IT 活用の普及段階に入った日本の状況を踏まえ、 利用者の視点から 安全と信頼を確かなものとするための幾つかの課題を挙げておきたい。 情報セキュリティ対策の初期段階での課題は、ネットワーク及び情報システムの堅牢性と信頼 性確保である。例えば、システムの堅牢性確保の観点からは、利用者増に伴い事故発生時の社会 的影響度が増大するため、技術的対策と合わせ、業務の代替手段や損害保証を含めたリスクマネ ジメントの考え方に基づくマネージドセキュリティサービス(MSSP)の導入が一つの解決策とな る。ネットワークで接続された情報システムは、多数の組織が関与し多数の業務が並行して処理 されることから、先ずはステークホルダー及び管理責任の所在の整理をすることが肝要で、その 上で、制度、技術、運用の 3 つの側面から対策を講じることが求められる。また、システムの信 頼性確保の観点からは、情報システムが人を信頼するための手段と、人が情報システムを信頼す るための手段の両面があり、技術的、運用制度的対策が必要となる。因みに、情報システムが人 を信頼するための手段としてはバイオメトリクス技術が、人が情報システムを信頼するための手 段としては例えば暗号モジュールの信頼性を評価確認する制度としての CMVP(Crypto Module Validation Program)が注目されてきている。 情報セキュリティ対策の中後期段階での課題は、情報自体の保護と利用管理などの所謂「情報 資産」の扱い方に係わる対策である。2003 年 8 月予定の二次サービス開始により利用範囲が拡大 される住民基本台帳ネットワークシステム、2004 年 4 月に予定されている公的個人認証サービス、 行政や医療に係わる機密文書、企業等が扱う個人情報や有料情報など、情報セキュリティ対策の 必要な「情報資産」は多い。具体的課題としては、行政や医療に係わる機密電子文書の原本性確 保や長期保存に伴う真正性を担保するための技術的課題、機密情報や個人情報保護に係わる情報 の利用範囲制限に関する制度面及び運用面の課題、有料情報の配布管理や著作権管理に必要な諸 課題、などが挙げられる。情報資産の運用管理関連技術で注目されるのは、デジタル署名の有効 性延長技術、セキュアチップによる様々な「もの」への ID 付与、DRM(Digital Rights Management) などである。 快適なネットワーク社会が実現したとしても、実社会では「紙文書」と「電子文書」が混在す 10 ると考えられるので、同等の情報セキュリティ対策を講じつつ相互の運用性を確保する方策も大 きな課題である。情報セキュリティ対策実施に際しては、ネットワーク社会の利便性を享受し、 社会システムの効率化を図ることと、企業活動の活性化や個人の生活環境の快適さの確保を図る ことの両立が求められる。言い換えると、ユビキタスな環境の中で、人間の活動を中心に据えた 社会システムとしての情報利用の視点が益々重要となる。 e-Japan 重点計画-2002 の「行政の情報化及び公共分野における情報通信技術の活用の推進」が 果たす役割は極めて重要であり、さらなる強化推進策が期待される。 3.2 ネットワーク環境の進展に伴う課題 ① 無線 LAN の課題 無線 LAN は、配線の必要がなく容易に構築でき、利便性が高いことから、官公庁、企業、各種 公共エリア、家庭などの様々な場所で導入が進んでいる。一方、無線 LAN は、セキュリティに関 わる技術的な課題と、ユーザに対する課題がある。 技術的な課題は、暗号化方式の欠点と、想定外の電波の到達が挙げられる。 無線 LAN に普及している標準暗号化方式に WEP (Wired Equivalent Privacy)という暗号化方式が ある。しかし、この WEP は、暗号化のアルゴリズムに欠点があり、専用のツールを使えば、通信 データを解読できてしまう。重要なデータを扱う場合は、WEP 以外の別の暗号化方式と組み合わ せて更なる暗号化を施す必要がある。またベンダは、WEP を改良した次期標準暗号化方式の TKIP (temporal key integrity protocol)を、早急に対応する必要がある。 無線 LAN の電波が、建物の外まで到達してしまうこともある。しかも、市販のアンテナを用い れば数 km 先でもデータの受信(盗聴)が可能である。無線 LAN 環境を構築する場合は、無線 LAN 機器の設置場所、設置方法、運用方法を充分に検討する必要がある。 ユーザに対する課題は、何らセキュリティ対策を施さないで無線 LAN を利用しているユーザが 多数いることと、組織内の規則に反して無線 LAN 機器を無断設置することが挙げられる。 多くの無線 LAN 機器は、セキュリティ機能を備えながらも、初期設定はそれらの機能が全て無 効となっている。このことを知らずに無線 LAN を利用しているユーザが多数いる。セキュリティ 機能を無効のまま無線 LAN を利用していると、データを盗聴されるだけでなく、他人にネットワ ークを無断利用される危険性がある。さらには、踏み台になり攻撃の拠点になってしまうことも ある。ユーザは早急に、無線 LAN 機器のセキュリティ機能を有効にする必要がある。ベンダは、 マニュアルや初期設定の見直しを行う必要がある。 また、ユーザに対する課題として、企業などの組織内の規則に反し、勝手に無線 LAN 機器を設 置できてしまうことである。その無線 LAN 機器に充分なセキュリティ対策が施されていなければ、 ここから組織全体のネットワークのセキュリティが低下してしまう。組織内の管理者はネットワ ークやネットワーク機器の不正利用がないかを適宜監視する必要がある。 3.3 情報家電 携帯電話が 7,000 万台を越えた現在、外出先から自宅の部屋の中を監視したり、冷蔵庫の中身 を確認したり、風呂やエアコンのスイッチを入れるという夢のような世界が現実のものとなって きた。50 年の歴史を持つ地上波アナログ放送もデジタル放送に移行する中で、従来の見るだけの テレビはデジタルカメラの映像やインターネットからのコンテンツなどとメディアを統合し、視 聴者参加型の能動型メディアへと変貌して行く。 これら多くの家庭内のデジタル機器は、家庭内ネットワークによって有機的につながれ、それ 11 がさらにインターネットを通じて社会へと接続されて行く。50 年前に生まれたコンピュータは研 究室から工場、オフィスから家庭へとまさに宇宙の加速度的膨張のようにその世界を広げている。 その姿も汎用コンピュータからミニコン、WS(ワークステーション)、PC(パソコン)へと進 化を遂げ、いま非PCという情報家電の世界が開かれようとしている。その可能性は計り知れな いものがあるが、反面、情報セキュリティという観点から解決すべき課題が多いことも認識され ているところである。 (1)安全性の確保 一般の家庭を対象にしているため安全性については慎重な検討が必要である。遠隔操作で炊飯 器や風呂のスイッチを入れたとしても、空焚きで火災になれば責任は誰にあるのか。玄関のキー ロックを誤って解除して窃盗にあえばこれも困ったことになる。或いは、停電になったらどうす るのかなど、災害や事故などのセキュリティ面の課題は大きい。 (2)プライバシーの保護 インターネットカメラで他人の部屋の盗み見をするという時代である。ネットワークにつなが ってさえいれば、その気になればバーチャルに他人の家庭に侵入することはいとも簡単にできる。 しかし、企業内や公的な場所と違い、家庭は個人のプライバシーの場である。勝手に部屋を盗み 見されたり、冷蔵庫の中身を見たり、情報家電機器を操作されては大変困った問題となる。個人 のプライバシー保護は 21 世紀の重要な課題である。 (3)本人確認技術 情報セキュリティのリスクの一つに「なりすまし」がある。情報家電においても勝手に本人に 成り代わって善からぬことを画策されるリスクは非常に高い。その対策として、本人認証が重要 な意味を持つ。従来からの暗証番号に加え、バイオメトリックスのような生体認証やICカード などの持ち物による確認など本人確認の技術の精度アップとコストダウンが急がれる。 (4)認証基盤の構築 情報家電が社会に受け入れられるためには認証のしくみの充実が必要である。毎日のレシピの 提供と材料の注文、新幹線や飛行機の問い合わせとチケット予約、銀行などの金融機関とのやり とりなどインターネットを通して注文行為や決済行為を行なうためには相手先の業者の確認が重 要となる。いわばPKIのような認証基盤が社会的に整備され、多くの人が安心して様々なサー ビスを活用できるしくみ制度が必要である。 (5)コンテンツの著作権管理 インターネットやテレビ、DVDにMDなど今でも膨大なコンテンツが家庭内に散在している。 デジタル化されたコンテンツはコピー天国のもと果てしない拡散を続ける。これからのネットワ ーク(デジタル)社会が健全に発展していくためには、これらコンテンツの著作権管理の健全な しくみを構築することが重要である。あまりに複雑かつ多重構造にすると市場がまわらなくなる ので包括的かつシンプルな著作権管理のしくみの構築が急がれる。 3.4 ブロードバンドの急速な普及 日本は e-Japan 戦略の元、ブロードバンドネットワークの普及と、家庭の常時接続が急速に進展 しつつある。 12 総務省発表のデータによると、1999 年度末のブロードバンド利用世帯数は 21.6 万世帯、普及 率は 0.5%であるのに対し、2001 年度末のブロードバンド利用世帯数は 386.1 万世帯、8.2%の普 及率へ急増した。また、(株)情報通信総合研究所の調査によると、ブロードバンドの普及は更に加 速され、2006 年度には 4128 万世帯、普及率は 71.5%に達する予想されている。 出所: (株)情報通信総合研究所「インターネット普及予測調査」 (2002 年 5 月) http://www.icr.co.jp/ 一方、e-Japan 戦略では、5 年以内に、つまり 2006 年度には少なくとも 3000 万世帯が高速イン ターネットアクセス網に、またその中の 1000 万世帯が超高速インターネットアクセス網に常時接 続可能な環境整備、を目標に掲げ、着々と施策が打たれている。上述の調査結果によると、2006 年度の高速インターネット(ADSL とか CATV 等)の利用世帯数は 3474 万世帯、その中で、超高 速インターネット(FTTH 等)の利用世帯数は 1145 万世帯に達すると見込み、e-Japan 戦略目標が 達成されることを予想している。 高速、超高速を含め、ブロードバンドネットワークの普及による、家庭の常時接続時代が到来 するのは必至の状況である。 従来、家庭のパソコン等はインターネットに常時接続されていないため、インターネット経由 の不正アクセス攻撃の対象にはならなかった。ところが、家庭のパソコンが常時接続環境に置か れることで不正アクセス攻撃が可能となり、ハッカーの格好の攻撃目標とならざるを得なくなっ てきた。 家庭のパソコンには、インターネットを通じた様々の活動を円滑に遂行できるよう、所有者の 様々の個人情報や、権利情報、様々の秘密情報、更にはメールアドレス帳や住所録 DB など知人・ 13 関係者の個人情報なども格納されているのが普通である。この様な情報を、常時接続の環境のも とでいかに守るかが、ブロードバンドの普及による家庭の常時接続時代に課せられた新たな課題 である。 現在、熾烈なハッカーの攻撃を受けているのは企業や政府等の組織である。技術的に高度なノ ウハウを有するハッカーの日常的な攻撃に対し、各組織のシステム管理者は日常的な監視と多く のセキュリティツール群を駆使し防いでいるのが実情である。必ずしも専門的知識を有していな い家庭の利用者が、どうすればハッカーによる攻撃を防ぐことができるか、新たな課題の難しさ はここにある。 この新たな課題を克服するための対策としては、例えば以下のようなことが考えられる。 ① 利用者へのセキュリティ問題の認知と基礎知識習得のための啓蒙 ② 利用者による家庭の常時接続パソコンのセキュリティ設定の簡易化 ③ 専門家による家庭の常時接続パソコンへの遠隔からのセキュリティサービス e-Japan 戦略の元、世界最先端の IT 国家を目指す政府としては、国民一人一人の利用者が安心し て家庭のパソコンを常時接続環境に置き、インターネット上の様々なサービスを駆使できるよう、 このような新たな課題へ取り組む必要がある。 14 4. まとめ 有力な米国セキュリティベンチャー企業 30 社を抽出して調査し、動向をまとめた。その結果を 基に、日本におけるセキュリティビジネスの方向性を検討した。さらに、日本における「新たな 情報環境が生み出す課題」として、e-Japan 計画、無線 LAN、ブロードバンド、および情報家電に 関して課題と対策をまとめた。 (1)米国有力ベンチャー企業の動向 米国有力セキュリティベンチャー企業の動向は以下の点である。 ① 製品ベンダ中心 ② 参入企業が多いのは「コンテンツ保護・管理」、「侵入検知」/「ネットワーク監視」 ③「侵入検知」/「ネットワーク監視」は、攻撃の未然予防、ブロードバンド対応へ ④「コンテンツ保護・管理」は内部ネットワークの情報保護・管理へ ⑤ コンサルティング+MSP の協力関係 また、米国市場におけるセキュリティビジネスの今後の方向性は以下の点である。 ① セキュリティレベル向上に向けたユーザ企業の取り組みは二極化 ② 米セキュリティベンチャーはニッチ市場志向 特に期待の高いセキュリティ製品・サービスとして次のものがある。 ■ マネージドセキュリティサービス ■ コンテンツセキュリティ ■ 負荷管理 ■ 認証 ■ IDS (2)日本のセキュリティビジネスの方向性 日本のセキュリティビジネスの現状を以下に示す。 ① 通信環境の急速な変貌と新たなリスク ② 製品市場は踊り場、サービス市場は成長を維持 ③ 着実に広がっているセキュリティポリシーの策定 ④ MSSP ビジネスの胎動 ⑤ 個人情報や機密情報の保護に変化の兆し また、日本が先行する可能性がある分野は以下の分野である。 ① コンテンツセキュリティ ② ブロードバンドセキュリティ ③ IPv6/ネット家電セキュリティ (3)新たな情報環境が生み出す課題と対策 (a)e-Japan 戦略 情報セキュリティ対策の初期段階での課題は、ネットワーク及び情報システムの堅牢性と信頼 性確保であり、マネージドセキュリティサービス、バイオメトリクス技術、暗号 モジュール の信頼性を評価確認する制度としての CMVP などが対策となる。 情報セキュリティ対策の中後期段階での課題は、情報自体の保護と利用管理であり、デジタル 署名の有効性延長技術、セキュアチップによる様々な「もの」への ID 付与、DRM (Digital Rights Management)などが注目される。 15 (b)無線 LAN セキュリティに関わる技術的な課題は、暗号化方式の欠点と、想定外の電波の到達である。多 くの無線 LAN 機器は、セキュリティ機能を備えながらも、初期設定はそれらが全て無効となって いるので、ベンダはマニュアルや初期設定の見直しを行う必要がある。 ユーザに対する課題は、規則に反して勝手に無線 LAN 機器を設置できてしまうことであり、組 織内の管理者は無線 LAN 機器の不正利用を適宜監視する必要がある。 (c)ブロードバンド 専門的知識を有していない家庭の利用者がどうすればハッカーによる攻撃を防ぐことができる かが課題である。対策として、以下が考えられる。 ①利用者へのセキュリティ問題の認知と基礎知識習得のための啓蒙 ②利用者による家庭の常時接続パソコンのセキュリティ設定の簡易化 ③専門家による家庭の常時接続パソコンへの遠隔からのセキュリティサービス (d)情報家電 安全性の確保とプライバシーの保護が情報家電の課題であり、対策として、本人確認技術、認 証基盤の構築、コンテンツの著作権管理などがある。 インターネットが社会のインフラとして重用されてくるに伴って、サイバーテロをはじめとす るセキュリティリスクは増加の一途をたどっている。安全で安心できるネットワーク社会のグラ ンドデザインを描き実現することが必要であるが、そのための新しいセキュリティ技術の開発が 望まれる。9 月 11 日の米国同時多発テロ以来の世界同時不況の影響で、米国でもベンチャーに対 する投資が急激に落ち込んでいるが、注目すべきセキュリティ技術の芽は日米で育ちつつあり、 今後のセキュリティ市場の拡大に貢献することが期待される。 16