PART4 情報を持ち出させない「抑止力」を考える:「性悪説」による機密・個人情報漏えい対策 第2部(3/3 ページ)
「人の意識」を対象とした施策でまず必要なのが、ネットワークなどに関するセキュリティの認識と意識の向上である。特に、日常的に使用するインターネットやメールでのウイルスやワーム、OSの脆弱性といった危険の実態とその要素について意識向上が重要だ。また、攻撃の手口についての認識も望まれる。
特に、一般のネットワーク利用者にとっては、テクニカルな攻撃手口よりも、「ソーシャルエンジニアリング」と呼ばれる人の心理を利用した手口について、高い意識と警戒を徹底しておきたい。
これは、古くから攻撃者にとって最も確実なセキュリティ侵害の手法として利用されてきたものである。たとえば、ネットワークを突破して、アクセス権限を取得するのではなく、人を利用して聞き出すといった具合だ。人は、誰かに物事を依頼されると断りづらかったり、ケチや融通が利かないといった他人の評価を気にする意識、自分だけが知っていることの自己顕示欲やプライド、困っている人がいたら助けたいといった優しさ、緊急時に視野が狭くなるなどの(無意識も含めた)心理がある。これらの人間の心理をうまく利用し、反応させてだますテクニックがソーシャルエンジニアリングである。
今でもありうるのが、ネットワークやセキュリティのサービスプロバイダーの関係者を名乗り、ルータやセキュリティデバイスなどのパスワード権限や重要なシステムの権限を管理者から聞き出す手口である。社会的な犯罪を例に挙げるならば、「オレオレ詐欺」などもこの部類に入るだろう。
内部ネットワークでは、担当者に電話やメールをし、上司からの指示と偽って業務情報を得たり、人事名簿や顧客情報などを聞き出す行為も情報漏えいである。ここでの手口は、情報全部を要求するのではなく、部分的に指示することで、依頼された立場として罪の意識が軽くなることを利用している。
さらに、最近まん延したワームの「Netsky」や「Bagle」などのようにサブジェクトや本文にいかにもビジネス要件らしい内容を記述し、添付ファイルを開かせたり、本文のURLにアクセスさせるように誘い込み感染させることなども、人間の心理を利用した手法である。こうした仕掛けは、日常に関係する言葉があったりすると無意識でクリックをしてしまったり、発信元を身近な人に偽造されていれば、業務メッセージとしてさらに信じやすくなる。しかし、これらのワームに感染すると、ワームの二次的動作によってコンピュータのデータを外部に送り出してしまい、内部情報が漏えいしてしまうかもしれないのだ。
「人」への対策では、ネットワークを利用する環境に潜むセキュリティのこのような現実を知ってもらうことがまず大切だ。そして、この意識は、パスワードの定期的な変更など、アクセス権限の管理やウイルス対策ソフトの更新などの徹底を促進する。
さらに、次のような意識は、情報を取り扱ううえでの慎重さを生み出すであろう(図3)。
・仕事や役割への責任
日々の中で自身が行っている業務内容についての責任感や、取り扱う情報の価値、影響度の認識。
・守る立場の意識
帰属する組織との関係において、対外的、社内的に情報漏えいなどによる組織における負の影響を防御する意識。
・道徳感
一般社会と同じ善悪の意識。
・視線の意識
一般の生活においても、人がルールやマナーを守ることに「他人の目」は大きく影響している。システムでのさまざまな監視やログの取得、監視カメラなどの存在は、第三者の視線を意識させることになり、安易な行動を抑止する。また、個人の意識向上により、ほかの人の不自然な行動に気づきやすくなる視点を養える。
・法的な責任の意識
現在のネットワーク社会で整備されている各種法律では情報の扱い方によっては組織や個人に法的な責任の追及が及ぶということを理解する。
これらの抑止につながる「意識」の向上のためには、社員が閉塞感を感じたり、企業側からの不信感の表れと受け取られないようにしたい。このため、情報の大切さや、セキュリティの重要性、法的な措置を含めた情報社会の現状について、豊富なコミュニケーションやトレーニングを重ねることで理解を求めることが必要である。
文書による契約によって抑止する
これまで見てきた意識向上による抑止を超えて、意図を持った不適切な情報操作や漏えい、内部システムの妨害などの内部犯行が行われる場合もある。インターネット上の攻撃者の目的・心理は、愉快犯、自己顕示、意図的なスパイなどが代表的である。一方、内部ネットワークでは、下記のような心理が考えられる。
- 情報に手が届くゆえの犯罪への誘い
- 内部組織への不満・復しゅう
- そのほかの特有の心理
2については特に、人事面での支援が大きく必要となるだろう。効果のある情報管理を行おうとすると、人的要因が大きな部分を占める。このため、今後、ますます人事部門や法務、総務といった部門の役割が重要となり、情報システム部門との密接な協力体制によって不正アクセスの抑止を最大限に可能とする組織運営が必要となる。たとえば、健全な意識に基づく組織を実現するために、各種研修を実施したり、カウンセリングなどを行うのもその1例である。
また、情報管理に関係する項目をルール化し、罰則規定を盛り込んだ就業規則や、関係する労務規定を追加することも重要だ。内容によっては、取り決めの内容について同意のサインを得る必要があるかもしれない。これは、社員の意識を高める効果も期待できる。
追加や考慮する点は、下記のような内容が考えられる。
- 機密保持に関する同意書。就労中から退社後までを含んだ範囲で、企業内容で知りえた機密情報、知的財産に対する保護を明記。
- 不正アクセスや個人情報に関する現在の法律に照らし合わせ、これらを遵守することと、違反行為に対する責任追及や罰則を明確化した同意書。
- コンピュータやネットワーク利用に関する取り決め。安全に利用することに関する義務づけと、これを怠った場合の責任追及が盛り込まれた同意書。
- 事前の抑止のためには、あらかじめ決めた警告で罰則の適用が可能な条項の盛り込み。
- アウトソース(派遣社員、データセンター、外部委託)する業務取引先の社員管理が行えるように、外部向け上記同意書の準備。
| 種類 | 内容 |
|---|---|
| 機密保持 | 企業内容で知りえた機密情報、知的財産に対する保護を明記。期間は、就労中はもちろん、退社以降も含む |
| 責任・罰則規定 | 現在の法律に照らし合わせ、その厳守と、違反行為に対する責任追及や罰則を明確化した同意書 |
| コンピュータ/ネットワークの利用規定 | 安全に利用することに関する義務づけと、これを怠った場合の責任追及が盛り込まれた同意書 |
| 警告 | あらかじめ決めた警告の後、罰則の適用を行うことを明記する |
| 業務取引先向け同意書 | アウトソース(派遣社員、データセンター、外部委託)する業務取引先に対する社員管理が行えるように、社内と同様の同意書 |
残念な結果として不正アクセスが行われてしまった際には、上記のような規定に基づき罰則を実施せざるをえない。ただし、その際に社内規定と法的措置を適用するには、不正アクセスの事実の解析と実証が必要だ。これは、一般的に「フォレンジック」と呼ばれているものだが、このためには「いつ」「どこで」「誰が」「どんな不正を行ったか?」「進入の経路は?」「被害範囲は?」といった内容を解析するためのノウハウの取得と構築が有益となる。
このほか、1人の社員の入社や退社は、メールを筆頭に、業務で必要な情報システムの複数アカウントが大きく関係してくる。入社時には適切な権限の認識と設定を行い、退社時には退社決定から最終出社日までの適切な時期でのアカウントの制御が必要だ。人事、情報システム両部門でプロシージャを明確化しておくとよい。
ネットワーク管理者が過ちを犯さないために
抑止策を立案する側である管理者やアドミニストレーターはシステム管理上、かなり広範囲な情報へアクセスが可能であり、万が一、悪用への意識が働いた場合の影響は大きい。また、この立場にある人は当然のことながら、ネットワークやコンピュータの技術的スキルが高い。不正にアクセスしたログなどの形跡を消すことや偽造することも簡単にできてしまうだろう。
この仮定についてはかぎりがないが、やはり1人以上の管理者による運用が対策となろう。相互での抑止効果、または責任範囲を分担することで、万が一の問題について被害を最小限に抑えることができる。
なお、社内のアクセス権限の認証に関係するシステム(認証局など)や、そのほかの重要なシステムへのアクセスに関しては、マシンルームへの入室時において各自が固有に持つパスワードや鍵が同時にそろうことで可能となるような施設管理を実施したい。また、コンピュータへのアクセスについても同様に2人がそろうことを条件とするような運営が望ましい。加えて、組織外の監査の目に委ねることで多面的な抑止力を得る方法もある。
内部セキュリティを全社的な取り組みへと発展させる
組織内部に対するセキュリティの立案や実施は容易でない。イントラネットやエクストラネットが、インターネットを利用した環境で運用されていることも多い。こうしたケースでは、内部情報にかかわる人の立場も、アウトソースする外部の企業であったり、外部委託した社員であったりと、「内部」となる基準が判断しづらい。
情報の不正な取り扱いを絶対的に解決可能な手段はかぎられている。このため、最小化する抑止の手段を多面的な視点で導入していくことが課題といえよう。今、システムを管理する立場の人が情報漏えい対策に孤軍奮闘しているのであれば、人事および経営層での理解と協力が必要であり、全社的な取り組みへと発展させるべきだろう。
関連記事
- PART3 「漏えい検知/犯行のトレース」の実施方法
- PART2 内部からの「不正アクセス」を防ぐ
- PART1 性悪説による「内部セキュリティ対策」とは何か?
- PART2 情報はなぜ漏えいするのか?
- PART1 「情報」は常に狙われている
- 個人情報保護特集
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。