第36回安全工学協会安全工学研究発表会,特別招待講演,安全工学協会, pp.25-26, 2003-12

―――――――――――――――――――――――――――――――――

情　報　安　全

明治大学　向殿政男

Safety of Informatics　Masao Mukaidono

Dept. of Computer Science, Meiji Univ.

キーワード :安全，セキュリティ，リスク，情報安全

Keywords :Safety, Security, Risk, Safety of Informatics

 

1. はじめに

　　知らず知らずのうちに私達の社会生活は，コンピュータとネットワークから構成される世界的な規模の情報システムに依存して営まれるようになりました｡もし，日常生活の大前提であるこの情報システムがダウンしたら,また，もし情報システムが破壊されたら，もし,情報が正しく伝えられなくなったら,もし悪意に基づいた情報が流されたら，私達の情報化社会が大混乱することは間違いありません｡私達個人の安全はもちろんのこと，社会の安全にとっても,情報システムが，確実に，かつ健全に稼動していることは今後の安全で安心な社会を構成していく上で必須条件なのです｡

光のあるところ､必ず影は存在します。それでも，如何に影の部分が存在しようと，情報技術の利用と発展を人類は断念して放棄する事は有り得ないでしょう。影の部分に比べて､光の占める部分､すなわち人類の幸福の実現に寄与する部分の方が明らかに大きいからです。影の部分を少なくするよう開発･改良に努力しつつ､一端手にしたこの利便性を人類は手放す事はないはずです。ところが，情報化に起因する負の部分は､これまでの科学技術､例えば､原子力､自動車，化学薬品等々が持つそれとは､質的に大きく異なったところがあります。情報化に起因する影の部分のすべてを我々はまだ十分に理解していません。何が出てくるか予想をすることは出来ない面を持っていからです。

２．情報安全

“情報と安全”の関係を考えた場合，“情報で安全”を守る場合と，“情報の安全”を守る場合の二つに分けられます。更に，後者には，コンピュータ安全と情報安全という二つの新しい概念があるはずです。すなわち，情報システムの立場から眺めると，情報システムを脅かす要因には，コンピュータやネットワークそのものを正常に稼働しなくさせてしまうものと, ハードウエアは正しくても，そこを流れている情報そのものを正しくないものにしてしまうものに大別できます｡前者には,地震や台風などの自然災害，コンピュータの機械部品の故障やソフトウエアのバグなどが,そして後者には，悪意による人の不正行為などが有ります｡ここでは,前者をコンピュータ安全,後者を情報安全と呼ぶことにします．特に，陰の部分を強調する場合，“情報安全”は，“情報災害”と呼ぶのが相応しいかもしれません。災害の原因、災害の被害の内容等、実に種々のものを含んでおり、一筋縄では捉え切れません。災害の源となるハザードにはどのようなものが有り得るのか，これまでの災害と質的にどこが異なるのか､どこまでその災害を許容できるか等々の面から考察をする必要があります。

　情報媒体が進化するに従って､情報に起因する被害は広く，早く､深刻になってきたのは歴史的事実です。更に､コンピュータを中心とした情報システムが社会に基盤として浸透してきた現代の情報化社会では，これまでにない新たな情報災害が生まれつつあります。しかし，ここへ来てのインターネットの発達と社会の隅々への浸透により､状況は明らかに一変しました。これらの被害は､加速化されて､スピード､範囲､規模等の面から､従来とは比較にならない影響力を持つに至っています。災害は，日常生活から企業経営まで，更には地球規模まで，例えば､インターネットが地球社会は一つであることを自覚させた半面､ちょうど､核が地球の存在を脅かすに至ったように､我々の社会の安寧を一挙に破壊する可能性の恐怖まで､広範囲な影響を及ぼすようになって来ました。

３．情報安全の分類

情報安全の構造を大まかに分類してみよう。

１）原因別分類：

・情報システムの物理的障害（地震等の自然災害､故障等のハード的障害､ソフトウエアのバグ等の設計ミス､操作ミス等のヒューマンエラー，管理の失敗等のマネージメントエラー，等々で､これらは従来の災害の原因と余り変わらない）

・故意､悪意に基づく障害（悪意の人､または愉快犯等による人間による意図的な行為が原因）

他と質的に著しく異なった情報安全の特徴は､上記の後者の悪意の人､または愉快犯等による人間による意図的な行為が原因による災害､すなわちセキュリティ犯罪である。ここでは､主に故意､悪意に基づく災害について考察をしてみたいが，その内容は､以下の様に多種多様である。

２）被害別分類:

・情報システムが使用できない(破壊､妨害)

・情報が操作される(データ改竄，侵入，ホームページ改竄，不正アクセス)

・誤った情報が伝わる(中傷､誹謗､デマ､いたずら､情報操作)

・情報が盗まれる（盗聴，情報漏洩，情報流失，プライバシー侵害）

・情報が伝わらない(情報渋滞､情報隠蔽､メール爆弾､携帯の輻輳問題)

・不要な情報が伝えられる(迷惑メール､ポルノ情報､情報洪水)

・情報の不正利用（なりすまし，否認､著作権侵害､偽発注，わな，詐欺､法外な通信料）

３）規模別分類:

(1)災害を受ける側

個人、会社・企業，社会、国、人類

(2)攻撃する側

・個人レベル：愉快犯、クラッカー（ハッカー）

・グループレベル：ハッカーの組織だった行動

・団体レベル：組織的犯罪団体

・国家レベル：国家的攻撃，サイバー戦争

４．あとがき

安全とは､リスクが許容できる範囲内に抑えられていることを言い､リスクとは､被害の大きさとその頻度との組合せと解釈するのが通常です。リスクは､ハザードごとに評価され､その大きさに従い､コストを考慮に入れてそれぞれ対策が施されるのが通常です。さて，情報安全に対するリスクはどのように評価でき､安全の水準はどのように評価､予測できるのであろうか?ウイルスの例に見るように，残念ながら､情報安全に関しては､個別には防備が行われている場合がある反面､まったく無防備のところもあり､一般的にリスクの観点から十分な考察と対策が施されているとは言い難いのです。その理由は，対象が多種多様であって数量化が極めて困難であると共に､インサイダーの存在､技術の進化の激しさ､法制度の未整備等の問題もさることながら､我々の意識（メーカ側の意識、ユーザの意識、管理・運営者の意識，設計者・技術者の意識）の未成熟さに大きな問題点が潜んでいる事を指摘しなければなりません。もちろん，実社会で築き上げてきた警察制度、裁判制度、法律制度等々の安全と安心を守るためのシステムは，まだ，電子空間の世界では整備されておらず，情報化社会におけるセキュリティを守るためのシステムとして、認証機関や電子認証制度等の確立が，今後，必須であります。