ミスという脅威
~ミスによるセキュリティ事故とその対策~
パソコン、スマホ、タブレットなどいろいろありますが、誰でも一度くらいは誤操作をしたことがあると思うんです。
せっかく書いた文書を保存せずに終了してしまった、とか、間違ってボタンを押してしまったとか、スマホとかだったら操作中に画面上のへんなところに触ってしまって別のアプリが立ち上がってしまうとか。大したことのないものから、精神的に結構へこむものまで、いろいろあります。
そういった誤操作というか人によるミスの中には、当然、情報セキュリティ事故になってしまうものもあります。
<ミスによるセキュリティ事故は結構多い >
いくつかの調査を見ていると、情報セキュリティ事故の1位は「マルウェア感染」なのですが、2位「PCの紛失・盗難」、3位「携帯端末の紛失」、4位「人為ミスによる情報漏えい」、5位「標的型攻撃」といった事故がその後に続く結果が多いように感じます。
2位のPCの紛失・盗難における「盗難」については、「泥棒」という外部の脅威なので、それ自体をなくすことは無理なのですが、それを除くとPCや携帯端末の紛失、人為ミスによる情報漏えいは、利用者という内部の人間によるミスが脅威になっているのです。
このようなミスによるセキュリティ事故ですが、具体的にはどのようなものがあり、どのような影響があるのでしょうか?
分かりやすいのは、PCの盗難・紛失。PCの中に個人情報や機密情報などが保存されている場合、それらの情報がPCを盗難した人・拾得した人に悪用される恐れもありますし、そもそもそれらの情報が当該のPCにしか保管されておらず、コピーやバックアップがない状況ですと、情報自体が失われる、ということになります。
また、PCが社外からのリモートアクセスに使用されている場合、そのPCを使って不正にリモートアクセスを行うことも考えられます。
携帯端末(携帯電話、スマートフォン、タブレット)の紛失についても、大体似たようなものですが、携帯端末の場合には通信機能があることが普通であるため、携帯端末から不正アクセスされることのほうが、より注意すべきかもしれません。
人為ミスによる情報漏えいですが、メールの誤送信、電子媒体や書類の紛失といった部分が多いです。関係のない人にメールで機密情報を送ってしまった、BCCにしなければいけないところをTOで送ってしまいメールアドレスが漏えいした、書類を社外で紛失した、会社で管理しているUSBメモリが見当たらない、などなど。まあ、情報漏えいの可能性があるわけです。
で、この「紛失」の原因が、電車・タクシーや外出先への置き忘れや、業務上の不注意、という「ミス」が多いわけです。
また、情報漏えいではないですが、過去には証券会社での誤発注による大規模な損害(誤処理)、データセンターやクラウドサービスにおける運用ミスによるサービス停止・データ損失といった、機密性ではなく完全性や可用性を損なうセキュリティ事故も発生していたり、「設定ミス」によるWebサイトへの不正アクセスなども考えると、「ミス」による事故は大小様々多く起きているのです。
<ミスへの対応として何をしてきたのか?>
こういったミスに対して、どのようなセキュリティ対策がとられてきたのでしょうか?
対策としては事前対策としての「ミスを減らす・予防する対策」と、事後対策としての「ミスによる事故が発生してもその影響を減らす対策」の2種類に分けられます。
「ミスを減らす・予防する対策」としては、
・社外への持ち出し禁止
・持ち出し時の取り扱いルール策定
・利用者への教育
・処理実行の多段階化による防止
「ミスによる事故が発生してもその影響を減らす対策」としては
・PCの電源投入時・ログイン時のアクセス管理強化
・PCのHDDの暗号化
・携帯端末のリモートワイプの実施
・電子メールの添付ファイルの暗号化
というものが行われているのです。
ただ、ここで注意したいのは事前対策としての「ミスを減らす・予防する対策」が、実質的に利用者への強制を伴うものではない、つまり、意識していなければ効果がない対策が多いということです。
持ち出し禁止や持ち出し時の取り扱いルールを定めたり、利用者教育をしても、利用者自身が「盗難や紛失に気を付けよう」という意識がなければ、ミスを犯す可能性は減らない対策であり、つまりは、利用者による運用に頼った対策になっているのです。まあ、その分事後対策は人に頼らないものになっている部分は多いのですが。
<人に頼らないミスへの事前対策>
では、人に頼らないミスへの事前対策は何になるのでしょうか?
その一つは自動化です。一番分かりやすいのは、システム運用現場でのコマンドの入力間違いをなくすために、シェルやスクリプトで自動実行させる、マニュアル運用を行ってきたものを自動化する、といったものです。
つまりは、運用において人の操作の介在を出来る限り少なくすることでミスをする余地を小さくすることです。場合によりますが、完全自動化できれば人が介在しないため、そもそも「人によるミス」自体がなくなります。
もう一つは、「仕組み自体の見直し」があります。
例えば、取引先との電子ファイルの交換の必要性がある場合に、電子メールへのファイル添付で行っていたものを、ファイル交換専用のWebサイトを利用し、そこへのデータのアップロード・ダウンロードで行うように変更する、といったものです。
この場合、メールという仕組み自体を見直し、Webサイトを利用することにより、メールの誤送信を防ぐことが可能になります。
ミスへの対策は、本来このような形のものが望ましいと考えますが、精神論で「ミスを減らせ!」という事前対策がまだまだ多い気がします。
<おまけ>
さて、今回のコラム、実は書くきっかけはあるセキュリティの専門家が「電子メールでファイルを暗号化して添付して、別メールでパスワードを送る、というのは対策として無意味だ!」という話をしていたからなのです。
実際、メールに対する盗聴対策としては無意味でしょう。ただ、この対策、「誤送信」というミスへの対策としては有効だと思います。