Last Updated 2003/1/4
内部犯行を防げその1
今やセキュリティ侵害は増える一方である。昨日はこちらのサイトが書き換えられた、今日はこのサーバーが踏み台にされた、などという事件が後を絶たない。
しかし、そういう派手な事件のほかに、表にはなかなか出てこない重大な事件も起きている。
なぜ表に出てこないのだろうか?
内部犯行による事件は表沙汰にできないからだ。
隠し通せないものがたまに表に出てくるが、その多くは無視できないほどの経済的被害を生じてしまったとか、被害を受けてしまった企業や組織が自己解決できなかったものだ。
しかし、内部犯行による事件は実際のところそんなに多いものなのだろうか?
いきなり結論を言えば、内部犯行は多い。アメリカなどの統計では情報漏洩事件のうち6割、多いときは7,8割も内部犯行だと言われている。真実味のある数字かというと心もとないが、多いことは事実だろう。また、内部犯行の場合は被害も深刻であることが多い。Webページを書き換えられるなどの被害は、マイナスの広告効果を考えると確かに重篤だと言えるが、より実質の経済的被害を生じさせる事件はもっと違う種類のものだ。
一番分かりやすい例は経済的価値が高い情報を盗み出す例だろう。そういう情報はまず間違いなく社外秘だろうし、もっとランクが上の機密である場合も多い。となると売り飛ばさないまでもどこかで公開されてしまうだけで損失になるわけだ。もちろん売り飛ばすことができれば高値がつく。高値イコール高額損失ということだ。しかも非常に分かりやすい、誰の目にも明らかな損失である。
そして、そういう情報を盗み出しやすい人といえば、やはりそれは外部の人間より内部の人間になる。
社会状況などの変化により、機密情報は現在、これまでにない危機に晒されているとも言われている。内部犯行を含めた情報漏洩は増加しつづけ、したがって内部犯行も増えつづけているとも言われている。
といって昔は内部の人間が機密情報に触れるチャンスが少なかったのかと言えば、必ずしもそうではないはずだ。
ではなぜ今、内部犯行が、あるいは情報漏洩が増えてきているのだろうか?
もちろんそれにはさまざまな要因があるが、昔よりも今の方が、盗み出したり捏造したりするコストが低くなっていることが大きい。何しろ、昔は紙に書かれてコピーも厳重管理されていた秘密書類を盗み出すために手で隠せる超小型高精度カメラが必要だった(笑)わけだが(超小型高精度カメラなどというものは、ごく一部の特権的な職業スパイ(殺人許可証携帯の英国情報部系とか(笑))しか持てないものだったわけで、ごく普通の内部の人、というのは青焼きコピーをくすねたり書き写したりなんて労力が必要だったわけだが)、今やデジタルデータでマウスの右クリックでコピーの貼り付けとかやっちまえばたちまち一部コピー作成できてしまうのだ。
苦労してコピーしたブツを持ち出すのも、郵送するなんてのはあまり良い手とは言えないし、大なり小なりリスクを犯して自ら持ち出すしかなかったのに、今じゃフロッピーやCD-R、テープなどからメールやファイル共有、リモートファイルシステムなどなどの実にさまざまな搬出経路がある。持ち出し行為におけるコストなど、ほとんど意識しないで済むまでに低下している。
となると、目の前に放り出されている機密書類を、ちょっとサラ金の借金返済に充てるお金に替えてしまおう、と、魔が差しやすい状況にあることは間違いないだろう。おまけに今の社員は、そこで思いとどまって「この機密情報はここにこんな形で放置されているのはカイゼンする必要がありまーす!」などと上申するような純真な社員ばかりではないし、終身雇用が崩壊していていつリストラされるかも分からないのに今さら会社に忠誠でもないだろう。言ってみればモラルも士気も下がりっぱなしなのだ。
そうなると、内部犯行が起こらない方が不思議とすら言えるかも知れない。
それでも日本のサラリーマンは偉いもので、どんなに会社に虐げられていても基本的にはまだまだモラルが高いレベルにある。というより、「機密情報を盗み出しても会社のためにはならない=会社が儲からない、あるいは損害が生じる=自分のためにならない」とある意味合理的な判断をしているから、結果としてモラルが高くなっているのかも知れない。しかし、一般的に従業員のモラルが高かった時代など皆無だったアメリカでは、ハードルが低くなればなるほどちょいとやっちまうヤツが多くなるのは自明だ。おそらく、「機密情報を盗み出しせるのなら売り飛ばせる=自分のためになる」なんて考えている人が多いのだろう。例として相応しいかどうか微妙だが、アメリカでは従業員によるレジ窃盗が驚くほど多いらしい。となると目の前にやすやすと売り飛ばせそうなネタが転がっていたらどうなるだろう?まったくアメリカ人ってヤツは・・・(注:もちろんこれは偏見である。すべてのアメリカ人のモラルが低いとは思わないが)
しかし、恐るべきことにそういう状況は対岸の火事ではなくなりつつあるようだ。
いくらモラルが高くてもそれでお金もらえるわけじゃないし、おまけにリストラ(首切り)だ賃下げだワークシェアだ何だで、従業員たちはこれからも痛めつけられ続けるわけだ。何も悪いことしていないのに、何だってそんな目に遭わなければいけないのだ?結局は無能な経営者の尻拭いじゃないのか?それならここに放り出されている書類をちょこちょこっとコピーするくらい良いはすだ。だいたいそれでいくらの損失がある?経営者の出した損害額に比べると微々たるモノだろう?それなら・・・
・・・と、今やごく普通の社員が思っていたとしても不思議ではなくなりつつあるようだ。アメリカの手にまんまと乗せられて(偏見?)、社会全体がハイリスクハイリターンに傾きつつある現在、ハイリスクを消化しきれない人も今後増えていくだろう。やっぱりどう考えてもモラルも士気も下がりっぱなしというわけだ。
どうだろう?こうして見ていくと、内部犯行が増大する環境が整ってきたと言えるのではないだろうか?
実際のところ、もうすでに個人情報は立派に売り買いの材料=商品になっている。いきなり見知らぬ若い女性から電話がかかってきたことは無いだろうか?PCショウなどでうっかりアンケートとかに答えたりすると、アダルトビデオのダイレクトメールがいきなり多数届いたりしていないだろうか?(男性用事例ばかりですいません)もちろんアンケートに答えた情報などが利用されているわけだが、それも会社ぐるみや従業員がそういう情報を売り飛ばしていたりするから利用できるのだ。まあ、いきなりそこ(=顧客情報)まで行かなくても卒業生名簿を売り飛ばすとか、社内住所録を売り飛ばすとかいうのも、インターネットの匿名性に隠れて安全かつ簡単にできちゃうのだ。
つまり、たまたまブツが個人情報だっただけで、低くなったハードルをぴょーんと越えている人たちがすでに出てきているということだ。
となるとあとは法律頼みしかない。しかないのに、個人情報は保護されてない、不正アクセスもスタンドアローンコンピューターにはおっけーだったりする。モラルや士気、それに社会的状況はアメリカ並(偏見)になってきたのに、法律はアメリカよりまだまだ弱いというわけだ。
となると、今でこそ顧客名簿の売り飛ばしやら横流しやらで済んでいるかも知れないが、そのうちもっと大きな被害になることは避けられないだろう。いや、表に出てこないだけで実は今でももう・・・
イヤな時代になったものだ。
さて、そんなイヤな時代を生きるわれわれとしては、そんな「内部犯行万歳」時代をしっかり生き抜かなければならない。
まずは状況を整理してみよう。
内部犯行、とひとくくりにしてはいるものの、実はその「内部」という定義にもいろいろある。
一般的なイメージでは「内部」と言うと正社員のことだったりするのだろうけど、実際はそれだけではなく、例えば派遣社員、出向社員、アルバイト、パートなどいろいろあるわけだ。本稿はそうした異なる資格を持つ人々をいたずらに差別しよう、というものではないが、情報セキュリティという面からはきっちり資格に応じたアクセス制御が必要になる、ということを言いたいのだ。派遣社員や出向社員は、単に契約形態が異なるというだけなので、アクセス権は同じで良いかも知れない。しかし、アルバイトやパートに正社員と同じアクセス権が必要なのだろうか?
他にも、一時的に社内や組織内に入ってくる業者、という人たちも居る。ネットワークの設置業者、サーバー構築業者、アプリケーション開発業者などのIT関連から、掃除する人、ガラスを拭く人、お客さんはまだしも、セールスの人、保険の人、お弁当業者なども居る。しかもみんな会社や組織の「内部」に入ってくる。
また、正社員の中でも、管理職や経営層と、一般社員のアクセス権は異なっているはずだ。そしてもちろん、人事や経理、営業など部署によっても異なってくる。
アクセス権は責任を伴うわけだが、それぞれ責任範囲に応じた適切なアクセス権になっているだろうか?
実はこの点があいまい、あるいは正しく運用されていないため、本来アクセスすべきではない人がアクセスすべきではない情報にアクセスしてしまい、結果として売り飛ばしたり悪用したり、ということになっている事例は多い。しかも、前述したようにデータがデジタルになってコピーが思いっきり簡単になってしまったことや、アクセス経路や漏洩ルートが異様に増えてしまった、ということが、事態の混乱に拍車をかけているわけだ。さらにはモラルハザードの影響もあるだろう。
そもそも、普通の資産と同じく情報にもアクセスコントロールが必要だ、という考えそのものが念頭に無い場合もあるはずだ(もちろんこの記事を読まれている方は、そのあたりの問題意識をお持ちだろうが)。あるいは、アクセスコントロールが必要だということは承知していても、具体的な方法がわからないこともあるだろう。
いずれにしても、まずは情報に対するアクセスコントロール、というのを徹底的に整理する必要があるわけだ。でなければ「内部」に対する効果的な防御策はありえない。
整理するためにはまず価値のある情報とは何か、ということを特定しなければならない。自分たちにとって価値がある情報、とは何だろう?まずはそれを洗い出す必要がある。そのためにはまず、価値がある無いにかかわらず自分たちが持つ情報をすべて洗い出すことから始めるわけだ。媒体は意識しなくてもいい。紙の書類の中や人のアタマの中、もちろん情報システムの中にある情報もすべて列挙するわけだ。レベルや重要さなどにかかわらず、余さず列挙したい。
列挙したら今度はそれぞれの情報の価値を決めていく必要がある。
・・・価値を決める?そう。いきなり決めつけてしまうのだ。
本来であれば情報の価値をきっちり決めるためには、ちゃんとしたリスク分析をしなければならない。それも一般論をベースにした差分分析ではなく、脆弱性や脅威を仔細に検討するリスク分析が必要だ。さらには持っている情報の性質によっては、大規模な市場調査もしなければならないだろう。そんなこと自前でできるのだろうか?
リスク分析には専門家が必要だろう。コンピューター、サーバー、ネットワークのリスクにはどんなものがあるのか、そしてそのリスクはどの程度の損害を生む可能性があるものなのか、そういう知識が必要だからだ。そういう知識を仕入れつづけるのは労力がかかる。でなければお金がかかる。お金も労力も無い場合は、標準を使うといいだろう。標準とはBS7799(part1がISO/IEC17799)とか、ISO/IEC TR13335とか、ISO/IEC15408などである。標準はよく考慮された最大公約数とでも言うべきネタが満載なので、チェックリスト的に使うのに適しているし、何より自分たちで一から考えるより楽にチェックできるし、漏れが起こる可能性も少ないはずだ。ここに挙げた標準もそれぞれ性格があるので、現場に合わせて適用すればいいだろう。情報システムに関わる標準としてはBS7799(part1がISO/IEC17799)、あるいはISO/IEC TR13335がある。BS7799(part1がISO/IEC17799)は127個の管理項目が具体的なリスクと対策について述べている。ISO13335の方は管理するプロセスを決める方法論だ。チェックリストとして使うのならBS7799(part1がISO/IEC17799)の方が適していると言える。
また、価値を決めるためには市場調査が要るかも知れない。そして市場調査にも専門家が必要だろう。しかし、企業や組織が抱えるネタが市場でどの程度の価値があるものなのか、それを一番わかっていなければならないのは本来は当事者のはずだ(もしわかっていないとすると、マーケットを掴んでいない、ということだろう)。仮にはっきりと把握できていなくても、抱えるネタの市場価格的な感覚はつかめるだろう。
また、価値を決める、とは言ったが、何も厳密に価格設定をやる必要は無いのだ。各情報の価値を決めることの目的は優先順位を決めることである。優先順位を決めれば、あとはその順位に従ってセキュリティ対策を行えば良い。これは内部犯行対策であっても外部からの不正侵入対策であっても同じである。
優先順位を決めて、どこから手をつけるか決めたら、今度はその情報がどこにどういう形で保存されていて、その情報に誰が触れることができるのか、修正する権利を持っているのは誰か、所有者は誰か、などをまとめるわけだ。前述した「内部」に分類される人すべてについて、その情報に触れることができるか、それどころか改変する権利をも持っているのか、と考えてみる。あくまで現状の分析なので、ここではあるべき姿を考えなくても良い。現状どうなっているか、だけを意識する。
また検討のときには「触れる」手段も考える。「触れる」手段は実にいろいろあるはずだ。やはり前述したように、情報の流通経路が多様化しているからだ。経路ごとに「触れる」手段は存在するわけである。
まとめるときは表にしてみるといいだろう。例えば、顧客情報に対して所有権(管理権)を持っているのは誰か、編集できるのは誰か、削除できるのは誰か、閲覧できるのは誰か、などとまとめる。権利を細かく分けて書くのがたいへんなのであれば、管理権として集約しても良い。情報に触れる手段を併記しても良い。そしてその表が、情報(資産)に対するアクセスコントロールリストになるわけだ。
現状のアクセスコントロールリストが出来たら、今度はそれをどうやって実現すべきか、を考えていく。それが対策の第一歩になる。