1995年は村山内閣の年である。1月には阪神淡路大震災、3月には地下鉄サリン事件が起こり、11月にウィンドウズ95が発売された。この年の暮れも押し迫ったころ、大林正英は神谷町のオフィスでマッキントッシュLC630[※1]に向かってキーボードを打っていた。元々汗っかきの大林だが、額にはじっとりと重い汗が浮かんでいる。暑いからではない。あぶら汗の原因は後ろで見守る佐野、山口、吉村の視線だ。三人とも手練の技術者で、そろって気が短いときているので、控え目に言ってもこれはかなり同情すべき状況である。こんなときに唯一優しい言葉をかけてくれる白橋はいない。入力に失敗すると舌打ちが暗いオフィスに響き、余計指先に力が入る。よせばいいのにつまらないツールをインストールしてあったためだろうが、セーブしようとした瞬間LC630がまたフリーズした。吉村はゴミ箱を蹴飛ばし、佐野は資料を破り捨て、山口は黙って席を立った。残された大林は呆然とディスプレイを見つめながらリブートするのを待つしかなかった。LCをだましだまし、なんとか資料を書き上げ、コンピュータインシデント緊急対応組織設立に関する申請書を芝郵便局に持ち込んだとき、時計の針は公募締切の深夜0時を指そうとしていた。
[※1] マッキントッシュLC630:
一九九四年にアップル社が発売したコンピュータ。MC68LC040マイクロプロセッサ搭載。
この5年前の1990年、慶應義塾大学の湘南藤沢キャンパスで、第1回のIPMeetingが開催された。これは、国内のインターネット技術者が一同に会し、交流を深めるはじめての機会だった。このときの参加者はわずか40名。翌1991年には、そのような交流の場を継続的に維持するために、村井純を中心に「日本インターネット技術計画委員会」すなわちJEPG/IPが組織され、IP Meetingを主催するようになる。JEPG/IPは、インターネットの運用と発展を目的とする中立的な組織であり、ネットワークの円滑な運用を実現するために技術的な側面からさまざまな支援を行った。
そのころ米国では、1988年に発生したモーリスワーム事件[※2]を機に、セキュリティインシデントを専門に取り扱う組織としてCERT/CCが設立されていた。CERT/CCは、発生したインシデントの報告を受け付け、解決のための調整を行い、被害の拡大を防ぎ、インシデントを未然に防ぐために積極的に情報を発信していた。その動きは、ヨーロッパを中心として世界的に広がり、1990年には対応組織間の連携をはかるためにFIRSTというフォーラムが結成されている。JEPG/IPの活動目的には当初からセキュリティに関するものが含まれていた。日本にも、CERT/CCのカウンターパートとなる機能が必要だという村井の声のもとに、JEPG/IP内にメーリングリストを用意し、CERT/CCから流れてくる情報を受け取って国内に流通する活動を開始した。中心となったのは、理化学研究所でHEPnet[※3]の運用にかかわっていた市原卓、東京大学でTISN[※4]の運用を行っていた白橋明弘、大阪大学でWIDEプロジェクトの運営にも参加していた山口英の三名である。
JEPG/IP発足後、学術組織や研究機関を中心として日本のインターネットは急速に拡大した。1992年にはパソコン通信と相互接続し、さらに1993年に商用インターネットサービスがはじまることで本格的なインターネット時代が到来する。この時点で、JEPG/IPにおけるボランティア活動では、必要な役割を十分に果たせないのではないかという不安が関係者のなかで大きくなっていった。そんな不安を決定的にしたのは、1994年の暮れに発覚したケビン・ミトニック[※5]によるシステム侵入事件である。ツトム・シモムラによるミトニックの逮捕劇は国内でもセンセーショナルに報じられた。被害の一部は日本国内にもおよび、本格的なセキュリティインシデント対応機関が必要だという意識を彼らのなかで確固たるものとしたのである。
[※2]モーリスワーム事件:
1988年11月2日、インターネットにはじめてワームが出現した。インターネットに接続されていた約6万のコンピュータのうち、およそ6千台がワームに感染したと言われる。ワームに感染したコンピュータは、CPUの使用率が異常に高くなり、別のコンピュータへの感染を繰り返した。
[※3]HEPnet:
高エネルギー物理学の分野で各地の研究所・大学にあるスーパーコンピューターを接続し、多量のデータを高速に共有することを目的に、1984年から運用されている。
[※4]東京大学理学部や研究機関をインターネットに接続するために1989年から1996年ごろまで運用された。
[※5]ケビン・ミトニック:
米サン・マイクロシステムズや米モトローラなど、なみいる企業や機関のシステムに不正侵入して重要データにアクセスしていたが、侵入に気づいたツトム・シモムラの追跡で逮捕にいたった。
インシデント対応組織の設立に向けて、白橋、山口、市原に、日本電気の佐野とIIJの吉村が加わり、不正アクセス対策の必要性を関係者に訴える活動がはじまる。事務局としての役割は日本情報処理開発協会の大林が一手に引き受けた。それだけが理由ではないだろうが、通産省のなかでも情報セキュリティ対策の動きが活発になってくる。1995年10月には不正アクセス対策基準の策定作業がはじまり、招集された検討委員会には佐野と歌代が参加した。同じ10月に、産業構造審議会[※6]内にセキュリティ対策基本問題小委員会が設置された。そのなかに5つのワーキンググループが作られ、そのひとつは不正アクセス対策に関するものである。通産省のなかで、セキュリティ対策事業の推進に最も精力的に奔走したのは、当時電子政策課の肥塚課長と情報処理振興課の桑田課長だったと関係者たちは声をそろえる。
当時は電子認証技術の実用化に向けた協議会の活動も進んでおり、山口、佐野、吉村、歌代はそちらにもかかわっていた。いくつかの活動が同時並行で進み、会合は機械振興会館の地下会議室で行われることが多かった。すでに携帯電話がかなり普及してきたころである。吉村は、ここは少しだけ電波が通るのだと言って、いつもスプリンクラーの下の席に陣取っていたが、今考えても眉唾な話だ。
翌年になると予算のめどが立ち、組織化に向けて活動が本格化する。設立準備委員会には、それまでのメンバーに加えてフリーランスのセキュリティエンジニアの鈴木裕信と歌代が新たに参加し、代表は東京大学の石田晴久教授にお願いすることとなった。組織は、独立機関ではなく日本情報処理開発協会のなかに作られることになり、技術者以外の職員も協会から出してもらえることになった。こうして1996年8月6日に、不正アクセス対策基準の発表に合わせて、JPCERT/CCの設立が通産省から正式にプレスリリースされた。
常駐の職員として白羽の矢が立てられたのが、三菱総合研究所の松尾正浩である。松尾は関係者とのつながりもあり、プライバシーやセキュリティ問題に関する実績もあった。松尾のもと、現場の最前線で働くスタッフとしては、IIJの白崎博生の名前が挙がった。白崎は、大阪大学で山口と共にセキュリティに関する研究を続けていたが、1995年の春に就職して吉村の下で働いていた。元指導教官と現上司に言われて嫌とは言えまい。落ち着いた良識人の松尾と、血気盛んな白崎は絶妙なコンビだった。
[※6]産業構造審議会:
経済産業大臣が産業政策の調査・検討のために設けた審議会。経済界や学術団体などの有識者で構成される40以上の部会・委員会がある。
東麻布にある野田岩は、天然の鰻を食べさせることで有名な、創業百六十余年という老舗の鰻屋である。JPCERT/CCのオフィスは東京タワーの足元、国道一号線に面して野田岩に相対するビルの二階に置かれた。これは今だから言えることで、当時はJPCERT/CCのオフィスの場所は秘密にされていた。名刺にも住所は印刷せず、連絡方法は電子メールかファクシミリだけだった。ドメインを取得すると組織情報が公開されてしまうが、これもJPNICにかけあって公表されないようにした。当時は爆撃されたらどうするかなどと真剣に議論したものだが、今から思えば明らかに考えすぎで、単に怪しさを増しただけのような気がする。
過剰反応はネットワーク設計にも表れている。中立的でなければならないという意識が必要以上に強かったため、特定のネットワーク事業者(ISP)に接続するのではなく、WIDEプロジェクトが運営するIX[※7]に接続し、そこで他のISPと対等な立場でインターネットに参加したのである。そんな接続形態をとる組織はほかにJPNICくらいのものだった。結果として、ネットワーク事業者と同等の知識と運用体制が要求され、現場に必要以上の負担を強いることになった。後に通常の接続形態に切り替えたが、特定のISPへの依存度が高くなって業務の遂行に影響するというのはまったくの杞憂だった。
オフィス環境の整備にも、細々とした問題が次々と発生した。たとえば机の大きさだ。協会の規則では、平社員は幅何センチ、管理職は何センチという具合で、役職が上になるにしたがって机の幅が広くなるシステムになっていた。しかし、対応業務では機材などを置かねばならず、簡単な話、実務に近い職員ほど大きな作業場所を必要とするのである。そんなことで悩んでいると、管理職なんか書類にハンコを押すスペースさえあればいいだろうという乱暴な意見も出てくるので、まともにやりあえばこじれることは必至である。そんななかで協会との間に入って神経をすり減らしたのは、常駐職員としてJPCERT/CCの業務を支援していた岩田高憲である。
そんなわけで、準備にはいろいろと手間がかかったが、なんとか10月1日にオフィスを開設し、活動を開始することができた。情報化月間の記念式典では松尾が発表を行い、当日NHKの取材も来た。白崎はTシャツ姿が敬遠されたのか、キーボードを打つ手元だけがテレビに映った。テレビカメラがこのオフィスに入ったのは、後にも先にもこの一度きりである。
[※7]IX(Internet eXchange):
ISPやデータセンター、学術ネットワークなどの相互接続ポイント。
設立後は大きな事件もなく、JPCERET/CCの滑り出しは穏やかに見えた。しかし、年末にsendmail[※8]の脆弱性をついた攻撃が発生し、多忙な新年を迎えることになる。松尾は家族と行っていた箱根の旅館で電話線を引き抜いてインシデントレポートを作成した。日本初のインシデント対応機関の本格始動である。1997年になってオフィスに行くと、それまで数えるほどだったインシデントレポートが大量に届いていた。まだ業務スタイルが定まっていない時期なので、少ない職員で必死に対応することになる。しかし、休む間もなくネットニュースの配信ソフトに脆弱性が発見される。投稿者の欄に特殊な命令を挿入すると任意のコマンドを実行できるというもので、ファイアウォールがあっても効果はなく、影響範囲も広い深刻な問題だった。
当時のスタッフに聞くと、sendmailとネットニュース[※9]の2件のインシデント対応を通してスタイルが固まり、その後の体制の基盤になったという。もちろん、それまでもさまざまな状況を想定して準備をしていたわけだが、現実はシナリオ通りに進むものではない。
ネットニュースの対応の最中にはちょっと面白い事件もあった。ある企業が社内で再現実験をしていたら、問題の命令を埋め込んだ記事が実験環境の外に流れてしまったというのである。日本中からパスワードファイル[※10]が続々と集まっているがどうしようと相談されたが、どうすることもできず対応に苦慮した。本来インシデント対応情報は機密扱いで公表することはないのだが、今となっては微笑ましいエピソードでもあるので、例外的に披露することをお許しいただきたい。
[※8]sendmail:
電子メールの配送によく使われているサーバーソフトウェア。
[※9]ネットニュース:
ネットワーク上のサーバー間で、投稿された記事の交換・配送と蓄積を行うシステム。
[※10]パスワードファイル:
システム利用者と、その利用者の(暗号化された)パスワードの組を保存しているファイル。
設立後半年ほどは、こんな調子でドタバタ劇を演じていたが、その後は職員も徐々に増員し、少しは安定した体制になってくる。設立に携わったメンバーも、常勤の職員以外は外部の運営委員という形で組織運営にかかわり、実際のインシデント対応には関与しなくなった。できることなら、設立から現在に至る経緯もまとめてみたいと考えてはいるのだが、それはまた別の機会に。
10周年を迎えるにあたり、設立当時の様子を振り返ってみた。設立前にも約5年間におよぶ準備期間があるので、活動自体は15年を経ることになる。組織運営のことなどわからない技術者たちが中心になって、このような組織を立ち上げ、現在まで活動を続けることができたのは、多くの方々の協力や支援があったからこそである。本来であれば全員の名前を挙げてお礼を申し上げたいところだが、あまりにも多くなってしまうのでご容赦いただきたい。
ありがとうございました。そして、これからもよろしくお願いします。