Last Updated 2003/1/3
●Security INDEXへ
★TOP INDEXへ
NetworkWorld 2002年10月号掲載セキュリティポリシーを適用されてしまう側としてはどうよ?という話
本特集?では情報セキュリティポリシーを作る側から、ポリシーの作り方や使い方について検討してきたが、本稿ではセキュリティポリシーや手順書、ガイドラインなどを適用されてしまう側について考えてみたい。
セキュリティポリシー以前にセキュリティの対策が十分でなかった場合は、いかに精妙なルールになっていたとしても、現場としては新しいルールが増えることになるわけだ。ということは仕事を進める上での手続きが増えたり、今までの仕事のやり方に制約が加わったりすることになるわけだ。
そういうルールを作るのは結構だが、いざそれが自分に適用されるとなると抵抗を感じるのが普通だろう。
ルールばかりでなく、ガイドラインに定義された要件によって行動が制約されることもある。今まで自由に見ることが出来たインターネットだが、特定のページ以外は見ることができなくなるとか、認証手続き無しで非常に便利だったリモートアクセスの仕組みも強化されて、PINナンバー発行の電卓のようなワンタイムパスワード生成カードを持ち歩かないとならなくなったりとか、とにかく不自由なことが増えてくる。
そればかりか、自分のコンピューターに自動暗号化ツールを入れなければならなかったり、情報漏洩ツールもインストールしなければならなかったりするかも知れない。イントラネットもアクセスコントロールが厳しくなって、自分の関連部署以外のところの情報は皆目わからなくなってしまうかも知れない。
今まではファイルダウンロードとかWeb閲覧とか、何も気にすることなくいろいろ出来ていたのに、急にそんなに制限されてしまうと息苦しくなるかも知れない。
セキュリティというのはそこまでして守るべきものなのだろうか?もしかしたらそんな疑問を抱かれるかも知れない。
確かにWebサーバー管理者でも何でも無い普通のユーザーにとって、セキュリティポリシーとそのルールは新たな重荷になる可能性がある。少なくともガイドラインを作ればガイドラインの要求に応えなければならないし、今までに無い新たな要求があればそれだけ手間もヒマもかかるようになる。明らかに手間ヒマは増える方向にあると言っていいだろう。
それだけの手間を現場に強いて、セキュリティのレベルアップを図ったところで、果たして見合ったものになるのだろうか?
もしかしたら、セキュリティベンダーの言われるままに高いお金を払って、結局何も起こらず無事でした、なんてことになって、お金は役に立ったのか立たなかったのかわからない、そんなことになったりしないだろうか?
それよりも自分たちの給料やらボーナスやらに、その分反映させて欲しい。そんな風に思われるかも知れない。
しかし、セキュリティポリシーを導入すると、そんなに手間ヒマが増えてしまうものだろうか?
逆にガイドラインや手順書を導入することで、手間ヒマを省ける部分もあるはずだ。本来であれば管理されていなければならなかったリスクに、今回新たに管理策を導入する、という点では手順が増えることがある。しかし、手順が増えて以降リスクは一定のレベルで管理されることが期待できるので、仮にそのリスクが現実になったとしても対応できるし、そもそもそのリスクを原因とする事故や事件が起こりにくくなるわけだ。となると、トータルで見れば手間やヒマ、かける時間は減ると考えてもいいのではないだろうか。
まして、IT化が企業や組織の骨のずいにまで進んでいる現在、実は情報セキュリティに関わるリスクは増大しているのだ。別稿でも述べたが、紙だけで良かった昔から、コンピューターから携帯電話まで考えなければならなくなった現代とでは、リスクの数も種類も大きく違う。紙ほど長年馴染んでいない媒体が次から次に出てきて、使い方すらよく分からない人ばかり、となると、リスクは飛躍的に増えていると考えるのが妥当だ。
それでも今のところまでは、あまり大事は起きていないではないか?だとしたらそういう危惧は杞憂ではないか?そう考えるかも知れない。しかし、それは「たまたま」であり、全くの「幸運」でしかないのだ。これからはそうは行かない。なぜそう言えるのかといえば、nimda以降、普通のユーザーも否応無くセキュリティ戦争の只中に引きずり込まれているからだ。
重要情報っぽいファイルを片っ端から吸い上げてそこら中にばら撒くウイルスやワームはすでに存在しているし、そのウイルスやワームもメールの添付書類経由だけでなく汚染Webページからでも感染するし、おそらく今後は携帯電話経由、XMLワームなどがどんどん入り込み、ファイルをばら撒いたりするだけでなく、自組織内のサーバーを攻撃したり、最悪は連携先の基幹システムを攻撃したりするものが出現することだろう。いや、逆に今までにそういう社内テロワームのようなものが出てきていないのは不思議だ。
そして、そういう攻撃プログラムは厄介なことに感染力も強力で、パターンファイルの更新までの半日程度のタイムラグであれば十分に拡大する。
もし重要な情報資産が、暗号化もされないままで自分のコンピューターに放置されていたとしたら、そしてワームが入り込むときに、入り込むルートで一重の防御策しかなかったとしたら、入り込まれた時点で非常にヤバくなるわけだ。その一重の防御策に半日のタイムラグがあったとしたら、リスクは恐ろしいほど大きい。
そうならないためには、セキュリティポリシーやそのルール体系(人間系対策)と、技術的対策を合わせて何重もの防御策を講じておかなければならない。何重もの対策があれば、いくらなんでも半日から1日程度の時間くらいは稼ぐことができるはずだ。強力感染攻撃プログラムがそのどこかで引っかかってくれているうちに、ウイルスベンダーの新しいパターンファイルが組織内すべてに配布されれば被害は最小限に抑えられる。
かのマイケル・クライトン原作の映画に「アンドロメダ病原体」というのがあったが、その映画の主舞台となるウイルス研究所は、それこそ何重にも防御策が層化されていて(図1)、一つ一つの防御層が破られるまで時間を稼いでいる間に科学者が恐るべきアンドロメダウイルスへの抗体を作り出していた。今の組織を取り巻く状況は、組織がインターネットに直接接続している限り、その研究所と同じような防御の考え方を持たないと危険きわまりないと言えるだろう。
脅し文句ばかりで恐縮だが、事態は差し迫っているのだ。
つまりそれだけ差し迫りつつあるために、今までのように野放図にインターネットを使っていたり、セキュリティ管理が皆無だったりしても幸運にも何も起こらない、ということは考えにくい。
と、いうことは(フリが長かった(笑))、あらかじめリスク管理策を導入しておく効果は大きい。(いや、効果が実際目に見えるものではないので、大きいはずだ、としか言えないが)ウイルスワームの話でここまで来たので、ついでにそれを例に取ると、
(1)ウイルスワーム対策はメールをチェックするサーバー型ゲイトウエイの導入だけ
(2)ウイルスワーム対策主力はメールをチェックするサーバー型ゲイトウエイ。しかし、万が一ワームが潜り抜けてきた場合は、ウイルス罹患復帰手順書に従うこと。
の二つのケースでは、半日のタイムラグの間に入り込んできた場合でも被害が広まる範囲や速度は異なってくるはずだ。ルール体系を整備する意味はここにあると言っても良い。事故が発生してからおたおた対処する手間ヒマと、日常的にほんのちょっと(笑)増える手間ヒマと、どちらがラクか、ということでもあるが。
さらに言えば、もし重要な顧客情報が入っているコンピューターに、「重要情報ピンポイントばら撒きワーム」が侵入してしまったらどうだろうか?となると、別稿で書いたように1件あたり1万5千円、1000件ならば1500万円、1万件なら1億5千万円の賠償を請求されるかも知れないわけだ(判決はまだ確定していないが)。そういう訴訟リスクまで考えると、手間ヒマが増えるというのは実に可愛く思えてくるが、それはあまりに身びいきすぎるだろうか(笑)?
ルールだけではない。例えば自動暗号化ツールを導入したことで一日の業務を開始するときの手間が増えたとしよう。ワームが万一侵入してファイルをばら撒いたとしても中身が暗号化されているため解読できない。ワームは解読するためのキーなどを選択できるほど賢くは無いからだ。となると、仮にファイルをばら撒かれたとしても解読はかなり困難になるわけだ。
自動暗号化ツールを全組織内のコンピューターに導入できれば、ルールだけで防御するよりも現場の手間はかなり低減されるはずだ。
このように、いろいろな対策を複合的かつ総合的に考えることで、ルールをすっきりシンプルにすることもできる。しかし、上記例でも「自動暗号化ツールを導入すること」というルールが増え、その分手間が増えることには変わりないわけだ。ごくわずかで済ませることができるものの、現場の手をわずらわせることになる。
セキュリティポリシーとそのルール体系を生かすも殺すも、結局現場のスタッフ次第であると言える。現場のスタッフが、会社が被るかも知れない訴訟リスクやインターネットの危険性をリアルに感じていなければ、罰則をどんなに厳しくしても漏れが出てくるかも知れない。そういう自覚をもっともっと促して、全組織をあげてセキュリティポリシーの実装にかかるべきである。
Copyright © 2002-2003 Sonoda Michio
●Security INDEXへ
★TOP INDEXへ