やはりＪＲ西歴代３社長の起訴は当然か？

ＪＲ西歴代３社長が基礎されたが、やはりやむを得ないところであろうか。会社法においては取締役には善管注意義務や忠実義務があるのだから本来、社長だけでなく取締役全員に責任があって然るべきところである。
以下は3/26の検察審査会の決定の記事。

　兵庫県尼崎市で2005年４月、乗客106人が死亡したＪＲ福知山線脱線事故で、神戸第１検察審査会は26日、業務上過失致死傷容疑で告訴され神戸地検が不起訴処分（嫌疑不十分）としたＪＲ西日本の井手正敬元相談役（74）、南谷昌二郎元会長（68）、垣内剛元顧問（65）の歴代社長３人を業務上過失致死傷罪で「起訴すべきだ」と議決した。今後、神戸地裁が指定する検察官役の弁護士により３人は強制的に起訴される。
　事故を巡っては、地検がＪＲ西日本の山崎正夫前社長（66）を同罪で在宅起訴しており、歴代４社長が法廷で刑事責任を問われる異例の事態となった。
　審査会は議決理由で、３人がいずれも「事故現場カーブは脱線の危険性が高いと認識し、最優先に自動列車停止装置（ＡＴＳ）を整備すべきだったのに、整備を鉄道本部長らに指示することを怠った」と指摘。「可能な限り安全対策を取ることは市民感覚としても当然」とした。
　審査会の権限を強化し、２度の議決で起訴を可能にした昨年５月の改正検察審査会法施行後、２度目にあたる「起訴議決」が出るのは、元兵庫県警明石署副署長の起訴が決まった明石市の歩道橋事故に続き２例目。
　地検は昨年７月、現場を急カーブに変更した1996年当時に常務鉄道本部長だった山崎前社長を在宅起訴する一方、「安全対策の責任者は社長でなく鉄道本部長で、対策を講じる義務はなかった」などとして、井手元相談役ら３人を不起訴にした。
　遺族の申し立てを受けた審査会が昨年10月、第１段階の審査で、３人について「起訴相当」と議決。同12月に地検が再び不起訴とし、審査会が申立人の遺族と地検の双方から意見を聞くなどして審査していた。

セキュリティギャップ解消のための3つの要件（その２）

●セキュリティは守るより攻撃する方が儲けになる
　このような攻撃は、ブラウザやMicrosoft Office、Adobe製品などのファイルフォーマット、メディアプレーヤといったアプリケーションの脆弱性をターゲットとしている。同様に、HTTPリクエストやリプライにファイルの実行コマンドを埋め込むステルス技術も紹介された。特に最近目立って増加しているWebアプリケーションに対する「PHPファイルインクルード攻撃」はほとんどがゼロデイであり、通常のセキュリティ対策では対処できないという。

　また、情報に対するクリティカルな攻撃の増加では、Webアプリケーションを含むアプリケーションやOSの脆弱性が背景にある。PHPファイルインクルード、SQLインジェクション、クロスサイトスクリプティングの3種類で、攻撃全体の66％を占めている。さらに、これら3種類の攻撃やVoIPとフィッシングを組み合わせた攻撃も増加する兆しがあり、警戒を強める必要があるとしている。

　インフラに対するクリティカルな攻撃は、いわゆるサイバー攻撃で、やはり増加傾向にある。最近では、エストニアがロシアを発信元とするDDoS攻撃を受け、エストニアのネットワークが深刻なダメージを受けた。また、電力などライフラインで使用される独自のプロトコルをコントロールしようとする攻撃も確認されており、ライフラインを人質として身代金を要求するサイバー攻撃も想定すべきであるとしている。

　攻撃者のモチベーションも、従来の愉快犯的な攻撃をアピールするようなものから、金銭的な目的に移行してきた。セキュリティは守るより攻撃する方が儲けになり、政治や宗教をベースとするテロなどがモチベーションを上げているという。また、アジアが攻撃の温床となっていることがデータから明らかになっている。攻撃手法は洗練され、複雑化、巧妙化も進んでいるため、それらに対応したセキュリティ対策が求められているとロヒト氏はまとめた。

●TippingPoint IPSの強み
　ソフトウェアなどは次々に新しい脆弱性が発見されている。また、攻撃だけでなく攻撃者の数も増加しており、攻撃の手法も多岐にわたっている。また、企業ネットワークに接続される端末の数やIPベースのアプリケーションの数も増加し、これらも漏れなく脅威から守る必要がある。しかし、これに対し企業のセキュリティ能力はなかなか強化されていかない。ロヒト氏はこれを「セキュリティギャップ」と言い、ギャップは増え続けているという。

　セキュリティギャップを解消するには、「悪意あるトラフィックを遮断すること」「企業内の誰がどのようなデバイスを使用しているかの把握」「機密情報を漏らさない」という3つの要件を満たす必要がある。しかし、IDSによる従来の対策では外部からネットワークのトラフィックを監視するため、手動によりアラートを出すため効率が悪く、またIDSをインラインに設置し半自動化しても帯域が限定される上にフィルタの数も増やせず、レイテンシーが低くなってしまう。

　TippingPoint IPSでは、インラインに設置することでトラフィックを漏れなく監視し、悪意あるトラフィックを遮断できる。しかも、自動的にアップデートされる「脆弱性フィルタ」「Exploit-Specificフィルタ」「ポリシーフィルタ」「プロトコルアノマリフィルタ」といった複数のフィルタによって、誤検知なく最新の脅威から企業を守ることができる。帯域制御も可能だ。

　IPSを企業ネットワークのさまざまな場所に配置していくことで、より強固に企業を守ることが可能となる。さらに、今後は冗長化が可能な10Gbpsのスループットに対応することで負荷分散を実現し、またNAC（Network Access Control）によって、誰が何でアクセスしているかなどを詳細に把握することができる。ロヒト氏は最後に「Wall Street Journal」の記事を紹介した。これによると、PCにウイルス対策ソフトが必要なように、ネットワークにはIPSが必要となる。また、今後IPSはネットワーク保護のため必須となり、2011年には2千億円規模の市場になるとしている。

セキュリティギャップ解消のための3つの要件（その１）

〜TippingPoint Technical Forumレポート〜

　3月10日、都内においてTippingPoint日本支社（日本支社長　相馬　正幸）とNTTアドバンステクノロジ株式会社が共同で「TippingPoint Technical　Forum」を開催した。このForumではTippingPoint社の研究開発機関「DVLabs」のシニアマネージャであるロヒト・ダマンカール氏は最新のネットワーク脅威の傾向とIPSの優位性について講演を行った。今回はその模様を紹介する。

●大きく3つに分類できる最新のネットワーク脅威の傾向
　3月10日、都内においてTippingPoint日本支社（日本支社長　相馬　正幸）とNTTアドバンステクノロジ株式会社が共同で「TippingPoint Technical　Forum」を開催した。壇上に立ったTippingPoint社の研究開発機関である「DVLabs」のシニアマネージャを務めるロヒト・ダマンカール氏はDVLabsだけでなく「SANS Top-20 Internet Security Attack Target project」ディレクターも務めており、最新の脅威について分析、対策を行っている。 ロヒト氏はまず、最新のネットワーク脅威の傾向として、「過去に大規模な被害をもたらしたワームが現在も活動しており、新たな亜種も発生しつつけていること」「情報に対するクリティカルな攻撃の増加」「インフラに対するクリティカルな攻撃の増加」の3つを挙げた。

　過去のワームについては、「Slammer」および「Windows RPCワーム」を例に挙げ、2008年のデータにおいてもこれらのワームは世界中のTippingPoint IPSで検出されており、「Slammer」は1月下旬に20万台近く、「Windows RPCワーム」は2月上旬に3千台近くを検出している。また、最新のデータでは、検出される「Windows RPCワーム」のうち「Blaster」が半数近く、「Sasser」が3割を占め、「Gaobot」が2割弱を占めていた。

　なお、システムが攻撃された原因は、日本の場合「Windows RPCワーム」では「Sasser」および「Zotob」、Webアプリケーションへの攻撃では「PHPファイル追加」、またブルートフォース攻撃が多いという。ただし、TippingPoint IPSを大学に導入しモニタした結果では、3日間に7,000以上、平均2分に3回の攻撃が観測されたが、IPはカナダのものでホストはスイスと攻撃のグローバル化が進んでおり、地域性は希薄になっているという。

　攻撃手法のステルス化も顕著であり、ロヒト氏はクライアントPCを攻撃するためにWebページに潜ませる手法のひとつを紹介した。これは、HTMLをわかりにくくすることでセキュリティ対策をすり抜けるというもの。「f」を「0x66」、「a」を「0x61」などASCIIコードをベースに手を加えることで、＜iframe＞は＜i\146r'+'\u0061\u006d\145＞となる。これによりセキュリティをかいくぐり、悪意あるプログラムの実行やダウンロードなどに悪用する。

日本と北欧諸国のセキュリティ事情を考える

　安全な国、ニッポンは昔の話と云わんばかりに残酷なニュースが、時折流れるようになってきた。それでも、日本は海外と比べると、まだまだ安全と考える人は多い。

　平成19年の殺人発生数は戦後最低だそうなので、そういった意味では“まだまだ、安全になりつつある”国なのだろう。このことは、ネットワーク上においても同様だ。オンライン取引では多段認証が行われているので安全、重要情報などないのでAntinnyウイルスに感染しても大丈夫、などのようにWinny関連ウイルス、アカウントハックなどはその典型だ。そもそも、日本ではユーザの情報リテラシーの問題以前に、「安全」であることが基準として考えられている。“安全・安心”はホワイトリスト的な考え方を忘れてはならないのである。平和ボケもここまでくると脅威だ。

●企業の気構えの違い
　興味深かったのは、企業のセキュリティに対する意識レベルだ。ある東欧のセキュリティ関係者に、「日本のユーザは、セキュリティを中々意識してくれない。セキュリティは二の次であることが多い。」 との旨を伝えると、「そんな馬鹿な!?」といった返事が返ってきた。彼らの国の企業がどのくらいセキュリティ意識が高いのかは不明だ。しかし、セキュリティ担当者の地位が確立されている（らしい）ことを踏まえると、確かに日本企業の方が意識が低いのかもしれない。CSOの地位が定着しないことからも、それらは伺える。

●法律の違い
　日本との違いは法律面や国家の体制にもあるようだ。日本において、インターネット犯罪が発生したときに、“早急に”対応してくれる公的機関がない。筆者が訪問した国々には、2パターンの国があった。ひとつは、日本と同様の国。もうひとつは、事件が発生した可能性があれば、公的機関が喜んで動くという国だ。
　後者に関しては、国内からは情報が集まるらしいのだが、インターネットは国を跨いでの犯罪が多い。その場合、例えば情報提供を渋る国（もしくは、セキュリティ関係者）を間に挟んでしまうと、捜査は難航するどころか、全く分からなくなるという。

●個人のセキュリティ対策状況の違い
　PCの普及率が異なるため、何とも言えないのが正直なところだと思う。例えば、Wi-Fiのアクセスポイント数だけカウントしても、日本の方が圧倒的に多かった。アンチウイルスソフトベンダーが数多くあるのが欧州諸国の特徴かもしれない。例えば、ルーマニアのBitDefender、フィンランドのF-Secure、スロバキアのNOD32、ハンガリーのVirusBuster、イギリスのSophosなどが思い浮かぶ。各国、どの製品を使っているかはマチマチのようで、これが一番と一概にいうのは難しい。但し、どこの国でも名前があがるのがSymantec。Kasperskyで有名なロシアでさえ、Symantecのシェアは大きいという。結局のところ個人の考え方でセキュリティ製品を購入するのは、日本と変わらないということだろう。

内部統制の構築と運用

内部統制の整備を行っている企業では、現在、全般統制・業務処理統制等の文書化作業が終了、もしくはドラフトがほぼ終了する段階に来ているでしょう。
今後は下記の項目について検討実施することになります。

1．内部統制の設計の評価（Walkthrough）の具体的実施項目
　　　　　(1)3点セットの事前確認
　　　　　(2)テスト担当者の設定方法
　　　　　(3)Walkthroughの役割と実施概要
　　　　　(4)内部統制の整備状況の確認方法
　　　　　(5)重要なチェックポイント
　　　　　(6)証憑書類(Evidence)の確認
　　　　　(7)RCMへの記載
　　　　　(8)内部統制の不備(Deficiency)の特定
　　　　　(9)Walkthrough終了前のチェック
　　　　　(10)調書の作成方法
　　　　　(11)3点セットの修正
　　　　　(12)内部統制プロジェクト本部の業務
２．内部統制の運用評価（Limited Test）の具体的実施項目
　　　　　(1)キーコントロールの設定
　　　　　(2)運用テストの事前評価
　　　　　(3)サンプリングの取り方
　　　　　(4)テスト計画書の作成
　　　　　(5)テストプログラム事例
　　　　　(6)運用評価のためのテスト方法
　　　　　(7)統制の有効性確認のためのヒアリング事例
　　　　　(8)調書の作り方、証憑書類の添付
　　　　　(9)テスト結果の評価
　　　　　(10)内部統制の不備の指摘
　　　　　(11)内部統制プロジェクト本部業務
　　　　　(12)改善計画書の作成
　　　　　(13)経営者による内部統制整備状況の確認
　　　　　(14)内部統制報告書
　　　　　(15)内部統制監査報告書
３．継続的（翌年度以降）評価の体制