機密情報の漏えいがあぶり出した転換点(1/3) − @IT(情報元のブックマーク数)
三輪節炸裂。ソーシャルメディアで自分の主張を堂々と出せるようになりつつある。
まず、時代の流れとして、個人が強くなってきたといわれるようになりました。それは、組織に対する帰属意識の低下にもつながっていると考えられます。以前ならば、少々組織に不満があっても、あるいは組織の方針が個人の考え方に沿わなくても、組織に個人が合わせてきたのです。
機密情報の漏えいがあぶり出した転換点 (1/3):セキュリティ、そろそろ本音で語らないか(18) - @IT
ところが最近になって、組織の考え方に納得できない場合、個人が堂々とその考えを主張するようになっています。それを加速させたのが、日本では匿名掲示板です。最近では、思ったことをその時につぶやけるTwitterなどのソーシャルメディアが、個人の主張を加速させています。いつでもどこからでも(場合によっては匿名で)個人の考えを発信できる環境が整ったわけです。これに慣れてくると、たとえ機密情報であっても、お構いなしにブチまけてしまうこともあるようです。
こうした変化を踏まえて、米国の場合、政府の重要機関などでは業務中のTwitter利用を禁止しています。これは「思いついたことをそのまま書き込めてしまう」という特性が、情報漏えいにつながる可能性があるからです。特に、感情の高ぶりがあった時などが危険です。組織に対して納得できないことが起こった場合など、あまり深く思慮をめぐらせずにつぶやいてしまうことは珍しくありません。
一方日本では、ソーシャルメディアの利用については「携帯電話は個人のものだから」とか「プライベートには干渉しない」などという考えからか、規制は遠慮されがちです。しかし、組織によっては今後は検討した方がいいかもしれません。
終身雇用制度の崩壊と景気の低迷、政局の不安定さと将来への絶望的とも言える悲壮感が漂う世の中においては、自分の身を一番に考えるのが自然です。匿名で公開できるメディアの登場と個人主義の台頭が相乗効果を生み出しているのかもしれません。
指定USBメモリ内部犯行には意味はない、当然ですね。
一例を挙げましょう。USBメモリは情報流出の有力な経路の1つですが、その扱いに関するよくあるルールに「使用するUSBメモリは申請して登録する」とか「USBメモリは使用禁止」といったものがあります。けれどこうしたルールは、内部関係者による情報漏えいには無力です。「ルールは、作れば守られるはずだ」という楽観的な考え方に立った、実効性を伴わない「無責任な対策」といってしまってもいいでしょう。
機密情報の漏えいがあぶり出した転換点 (2/3):セキュリティ、そろそろ本音で語らないか(18) - @IT
確かになぁ・・・
USBメモリを介した情報漏えいを本気で防ぐならば、システム的に使用できなくする、あるいは持ち出されても組織以外の機器では読み出せなくする、などの対策が有効と思われます。それでは仕事にならないからと、利便性を優先してUSBメモリの利用を許可するならば、何を持ち込み、何を持ち出したかというログの収集が必要でしょう。収集するログはファイル名だけでも十分に有効ですが、ハッシュ値やテキスト情報、あるいはファイルそのものを証拠として収集することも考えられます。
機密情報の漏えいがあぶり出した転換点 (2/3):セキュリティ、そろそろ本音で語らないか(18) - @IT
米国では、ログが必要だから技術者が統合管理システムが生まれたが、日本ではログをとっておくために統合録管理システムを入れているだけで活用はしてることが少ないという三輪節。
そもそも統合ログ管理システムは、ユーザーのニーズから生まれたものでした。欧米では、企業それぞれに腕の立つセキュリティ技術者がおり、そうした技術者が「大量のログの取り扱いが大変になってきたので、統合的に管理できるシステムが必要だ」という声を上げた結果、統合ログ管理システムが生まれたという背景があります。
機密情報の漏えいがあぶり出した転換点 (3/3):セキュリティ、そろそろ本音で語らないか(18) - @IT
それに比べて日本では、「ログを取る」ことのみを目的に、統合ログシステムの導入が進みました。取ってさえいればよかったため、そもそも技術者はログの処理に困っていなかったのです。最近では、統合ログシステムを販売したSIerに「いまあるログを何かに使えないだろうか?」という問い合わせがあるくらい、使われていなかったという状況です。
さて、統合ログ管理システムをはじめ、セキュリティシステムの多くは「自分で使いこなす」ことを前提にしています。出荷時点でのテンプレートやデフォルトの設定は、自力でカスタマイズすることが当たり前なのです。
今後は自宅パソコンもターゲットに。
現在では、多くの企業がUSBメモリを介して自宅PCにデータをコピーすることを禁止していますが、少し前まではそれが自由に行えた会社は少なくありません。あるいは、プライベートのメールアドレスに業務用メールを転送して、熱心に家で仕事をすることも珍しくはなかったはずです。いまではそうしたフローを禁止しているかもしれませんが、その当時使われていた自宅PCには、まだ多くの残留業務ファイルが残されています。
機密情報の漏えいがあぶり出した転換点 (3/3):セキュリティ、そろそろ本音で語らないか(18) - @IT
実際に当社である大手企業の社員の自宅PCを検査したところ、実に18%の社員の自宅から業務ファイルが出てきたのです。また、P2Pソフトは8%の自宅PCから検出され、依頼企業の予想を大きく上回りました。
この結果は、自宅PCがウイルスに感染した結果、自宅から情報漏えいしてしまう可能性、そしてその情報が悪用されてしまう可能性が少なくないことを示しています。
