NTTグループが実現する安心・安全な IPネットワークインフラ

　5月12日、13日に東京プリンスホテルで情報セキュリティイベント「第4回 RSA Conference 2005 JAPAN」が開催される。今年は「情報の保護と利用の狭間で〜個人情報保護元年を迎えて〜」をテーマに情報漏えいソリューションの最新動向などが紹介される予定だ。

　昨今の情報漏えい事故・事件の頻発、フィッシング詐欺といったサイバー犯罪などインターネットを取り巻く状況は厳しい。依然として、迷惑メールやウイルスもまん延している。また、個人情報保護に関する法律（個人情報保護法）も全面施行された。多くの企業では、個人情報保護法に対応するための運用ルール作りが終わったはずだ。しかし、ルール（セキュリティポリシー）を定めただけでは、日々刻々と変化するセキュリティの脅威に対応できない。

　次なる段階として求められているのは、脅威に柔軟に対応できるソリューションだ。それは、高いレベルでのセキュリティを維持したまま、ユーザーの利便性を損なわないものが理想だ。情報マネジメント層は、セキュリティ投資に対する費用対効果（ROSI）も考慮にいれなくてはならない。

　RSA Conference 2005 JAPANにNTTグループ7社（NTT、NTTデータ、NTTドコモ、NTTコムウェア、NTTエレクトロニクス、NTTソフトウェア、NTTアイティ）が出展する。そこでは、NTTグループのセキュリティに対する総合的な取り組みが明らかにされる。今日のセキュリティに求められている「解」につながるものが示されるはずだ。

　NTTグループは2004年11月に「中期経営戦略」を発表した。その中でグループ企業の力を結集し、「安心・安全・信頼」のブランドを前面に押し出すとしている。NTTグループの経営目標は大きく3つ挙げられている。ブロードバンド・ユビキタスマーケットの創造、メタルから光アクセスへの円滑なマイグレーション、企業価値の向上と持続的な発展だ。

　e-Japan構想やu-Japan構想を背景に、通信インフラのブロードバンド化は目覚しいものがある。ADSLから光へ。“光化”が強い印象を与える中期経営戦略だが、FMC（Fixed-Mobile Convergence：有線と無線の融合）など、生活のためのインフラとしてのIPネットワークの構築・運用こそがNTTの使命なのだ。ライフラインとなったIPインフラに対して、どれだけの“安心・安全”を提供できるのか、といった点がNTTの課題となる。

　NTTに期待されるもの。それは中期経営戦略にもうたわれている「通信や情報システムに関する高度なサービスオペレーション能力」「顧客情報などのプライバシー情報の保護・管理能力」「情報セキュリティおよびインフラとしての堅牢性を担保する技術」だろう。

　ある企業が1社で背負うには重過ぎる使命だが、NTTグループ各社がその持てる力を結集すればIPによる生活インフラを支えられる。持ち株会社であるNTTを中心に、地域通信事業を担当するNTT東西、長距離・国際通信事業を担当するNTTコミュニケーションズ、移動通信事業を担当するNTTドコモ、データ通信事業を担当するNTTデータが全ての通信インフラを構築・運用できる。

　また、NTTはキャリアとしての側面だけでなく、研究機関としての顔も持つ。サイバーコミュニケーション総合研究所、情報流通基盤総合研究所、先端技術総合研究所などで開発された新技術は、NTTソフトウェア、NTTアイティ、NTTエレクトロニクスなどの“研究系子会社”によって社会へもたらされる。そのほか、NTTの基幹業務システムやネットワークシステムを構築してきたノウハウは、NTTコムウェアによって社会に提供される。

　例えば、米国政府標準暗号AESと同等の安全性・処理性能を有していると国際的に評価されている共通鍵ブロック暗号の「Camellia（カメリア）」は、2000年にNTT情報流通プラットフォーム研究所と三菱電機が共同開発した国産暗号アルゴリズムだ。NTTの研究所で生まれたCamelliaは、NTTグループのいくつかのソリューションにおいてキー技術として活用されている。

　セキュリティへの取り組みにも力を入れている。NTTグループでは、セキュリティに関する情報共有、対応調整、啓発を推進する「NTT-CERT」という組織を創り、セキュリティ事故の予防、早期検知、迅速な解決、被害最小化、再発防止を図っている。このような取り組みを継続することにより、素早く適切な対応が可能となり、ひいてはNTTグループおよび情報ネットワーク社会のセキュリティ向上につながる。なお、NTT-CERTは、CERT/CCやJPCERT/CCをはじめとした世界各地のCSIRT （インシデント対応チーム）が集まるフォーラム「FIRST」に参加している。

　それでは、RSA Conference 2005 JAPANに登場するNTTグループのソリューションを紹介しよう。

変化に対応できる情報漏えい対策が必要

　多くの企業にとって、個人情報保護法の全面施行と頻発する情報漏えい事故への対策が求められている。すでに専門家によるコンサルティングなどを実施し、「我が社の準備は万全である」と胸を張れる企業はどれほどあるだろうか。たとえ、万全の体制で運用ルールを運用しているとしても、日々刻々と変化するセキュリティリスクへの柔軟な対策ができなければ、それは絵に描いた餅となってしまう。

　企業のセキュリティに対する意識は確実に高まっているはずだ。それにより企業内部における対策は充実しているのではないだろうか。しかし、多くの業務を遂行する場合に、社内だけで完結するものは少なく、どうしても他社とのパートナーシップが求められるだろう。また、個人情報保護法により、業務委託先への監督義務も課せられる。企業におけるセキュリティの視野を企業間にも広げなくてはいけない。

　NTTソフトウェアは、「Camellia」をベースにした「CipherCraft（サイファークラフト）」を出展する。端末レベルの暗号化だけでなく情報を流通させる場合の防御に重点を置いたソリューションとして、「CipherCraft/Mail」「CipherCraft/VPN」「CipherCraft/File」といったバリエーションが存在する。CipherCraft/Mailは既存のメール環境をほとんど変更することなく特定の相手同士のメールを暗号化するもの。CipherCraft/Fileは暗号化したファイルを特定の受取人だけが復号できる。

　このほかNTTソフトウェアでは、シングルサインオン製品「CSLGuard（コンソールガード）」と、ユーザーアカウント統合管理製品「ACTCenter（アクトセンター）」も出展する。多くのユーザーにIDとパスワードを発行し、正しく維持するための運用コストは大きな負担であり、アカウント管理の自動化が重要になってくる。ACTCenterは、入社（入学）や退職（卒業）といった大量にアカウント情報の変更が発生する時期に、スケジュール設定するだけでIDとパスワードの更新／削除を行なえるなど、管理者の利便性向上に重点を置いている。

　NTTアイティが出展するのは、USBキーを挿したPCやシンクライアントに、社内のサーバや自席PCのデスクトップが現れ、会社とまったく同じ環境で仕事できるVPN製品「MagicConnect」だ。インターネット環境があれば、世界中どこからでもファイアウォールの設定変更なしで接続できる。

　MagicConnectで通信されるのは社内のデスクトップ画面と操作データのみなため、社内のファイルを持ち出さず、社外のウイルスを持ち込まない安全設計だ。万が一パスワードが漏えいしてもUSBキーがないと悪用されることはない。

　ユビキタスネットワークが実現すると、誰もがどこからでもアクセス可能になる。それ故、正規のユーザーだけをシステムにアクセスさせるためには認証システムが必要になる。

　NTTドコモでは、FOMAの電子認証サービス「FirstPass」を出展する。これは、FOMAカードにクライアント証明書を格納し、FOMAと利用システムの間でSSLクライアント認証を行うものだ。

　多くのユーザーが持っている携帯電話を使ってSSL認証を実施することで、イントラネットへのアクセスやオンラインショッピングやオンラインバンキングなど高度なセキュリティが要求されるアクセスを実現できる。また、イントラネットへのアクセスだけでなく、PCのログオン認証や無線LAN利用時の認証などをFirstPassで統一し社外でも社内でもシームレスに利用ができる。

　NTTエレクトロニクスが出展するのは、USBインターフェースの携帯型本人認証デバイス「FingerQuick」だ。指紋を使ったバイオメトリクス（生体認証）により、パスワード忘れやパスワード漏えいといった問題に効果を発揮する。

　FingerQuickはNTTの研究所の1つであるマイクロシステムインテグレーション研究所で開発した指紋センサLSIを備えたUSBトークンで、1つのFingerQuickに最大10本分の指紋とID／パスワードの組み合わせを登録できる。また、ワンタイムパスワード生成機能を内蔵し、よりセキュリティの高いリモートアクセス環境の構築が可能なタイプも用意されている。

　NTTコムウェアが提案するのはシングルサインオンに必要なソフトを全てオープンソースソフトウェアによって構築する「COM-CA Open Edition」だ。これは、100万ユーザーが利用する大規模システムや、24時間稼動に耐えうる冗長構成を取ることも可能となっている。

　利用者DBサーバには「OpenLDAP」、認証局サーバには「OpenSSL」、認証サーバや認可サーバには「Apache」を採用。オープンソースソフトウェアはソースコードが公開されているため、市販製品に比べてセキュリティホールへの対策が迅速で、信頼性や安全性が高いといわれている。

　なお、NTTコムウェアでは情報漏えい対策ソリューションとして、PC画面を動画でキャプチャし、ユーザーの操作内容を監視・記録できる「ESS REC」も出展する。

　個人情報保護法ばかりが注目されたが、e文書法も2005年4月1日に施行された。e文書法の影響は、単なる「保存コストの削減」に留まらず、「ビジネスプロセス全体が電子化」が挙げられる。それ故、企業活動の「スピードアップと効率化」が期待される。

　しかし、電子文書を利用するには「電子文書の改ざんを防ぐとともに改ざんなどの事実の有無が検証できること（完全性）」、「盗難、漏えいなどを防止するように保存管理すること（機密性）」などの課題の解決が重要だ。つまり、セキュリティ面での対処が必須になる。

　NTTデータでは、e文書法のインパクトと企業活動への適用方法を啓蒙し、具体的な実現手段として同社が持つソリューションを紹介する。そのソリューションとは、電子文書の時刻と非改ざん性を保証するタイムスタンプソリューション「SecureSeal」と電子文書を安全に流通し安全に保管する「SecurePod」、電子契約サービス「CECTRUST（シーイーシートラスト）」だ。

　このほか、PCのBIOSを使ったPC端末認証「SecureAccess」も紹介。検疫ネットワーク機能と強固なPC認証を組み合わせることでネットワークセキュリティをさらに高める解決方法も提案する。

本サイトに記載されている会社名､商品名は一般に各社の商標または登録商標です。
ESS RECはエンカレッジ・テクノロジの商標です。