とてもマニアックな話を交えながら、雑多な話でお寛ぎください。

情報セキュリティの話 その3 性悪説と性善説

»

これは宗教とかの事ではありません。
セキュリティの考え方、対策の方法についてのお話です。

性善説とは、人は通常悪いことはしない、という従来からの考え方で、今までは、この考え方に基づき、いろいろな対策が施されていました。

要するに、誤って、情報が漏洩しないようにするという考えに基づいた対策です。
具体的にいうと、
重要なファイルは、誤ってメール送信しないように、メール添付を監視する。
誤って、インターネット上の変なサイトにアクセスしないように、インターネットアドレスの制限を掛ける。
誤操作によるデータベース閲覧をカウントする。
などなど

人を信頼しているので、故意に行う場合は対象外です。
だから、簡単に判明しますし、いろいろな場所(印刷、USBメモリ、ホームページ、データベース、ファイルなどなど)を監視していますから、評価関数というものを導入して、一度ではなく、ある程度評価関数の値が悪い場合に誤操作が多すぎるので注意として指摘するという対応です。

性悪説は違います。社員を犯罪者扱いです。悪事をするという前提での考え方になります。
ですから、一度でも悪事らしき行為があってはならないという立場です。

やることは同じじゃないかって、いいえ、全く違うのです。
性悪説では、犯罪者が前提ですから、悪事の隠蔽工作を行うということが前提になります。

メール添付を監視しても、webメールが使えれば意味がありません。webメールを禁止しても、極端な話、自分の開設したホームページにアクセスできれば、ファイルのやり取りは自由自在です。

ファイルの直接アクセスが出来ないようにしてあっても、プログラムを通じてファイルアクセスを偽装することが出来ます。データファイルは、文章化、分散させて、送られれば、わかりません。写真データに組み込むことだって簡単です。

そして、セキュリティプログラムを無効化することが出来るのなら、それをまず行います。もちろん、ちゃんと動作しているように偽装する事は言うまでもありません。

詳しくは、悪用されるので記載しませんが、ある程度のコンピュータ技術者なら、自分の作業行為を偽装することができるでしょうし、OSをだますことも出来るでしょう。

自分専用のネットワークトンネルを作って、外部からの進入に偽装する事だって出来てしまいます。

そんな、映画の世界のスパイ物じゃないんだから、と思えるかもしれませんが、それが現実です。
そんなの聞いた事ない?
発覚しなければ、それまでです。

海外では、社員を誰も信用しておりません。
解雇通知は、当日です。
そして、一切、会社の物には触れる事は出来ません。極端な場合は、何も持ち出せず、自分の机に座ることもできず、そのまま帰宅です。私物は、中身をチェックして郵送です。会社に関するものはデータであれ、何であれ、没収、廃棄です。

解雇に対する報復は、海外では当たり前です。やめるとき、再就職の手段として、顧客情報を持ち出すことは普通に行われます。もちろん対策されていますし、行為自体は、違法行為です。法的に対応しているかどうは、国によります。

だから、一度でも不正なデータアクセスがあれば、それはちゃんと追求されますし、誤操作なんて事は誰も信じません。

もちろん海外と言っても、国によって対応がさまざまで、やりたくても対策できない国、諦めて社員にデータアクセス権を与えないのが普通な国、などなどです。

話が逸れました、じゃ、どうすれば良いか?
性善説に無くて、性悪説にあるもの、それは、犯罪者意識です。
性善説は誤ってということが前提なので、悪事という意識がありませんから、発覚そのものを恐れません(そこまで注意をしているのなら、発生しません)
しかし、性悪説では、自分の行為が違法行為である認識があって、情報漏えいが行われます。だから、発覚を恐れます。
自分が行う悪事を見つからないようにします。

つまり、偽装するということです。
逆に偽装ができない証拠が残る事が明確ならば、証拠が残らない方法が見つからなければ、悪事を起こしません。性善説と違い、禁止しなくても良いとも言えるのです。
例えばUSBメモリを自由に使っても良い、但し、その操作がすべて証拠として残るので、仕事以外の行為でのUSBメモリの利用は明確な犯罪行為とします。
好きなサイトにアクセスしてかまわない、しかし仕事で利用する場合に限る、責任は作業者にある、などなど。

つまり、何の目的でどのような行為がなされたのか、それが明確にわかる証拠が残れば、性悪説に基づいた犯罪は、抑止できます。
阻止ではありません。阻止行為は、繰り返す対応(作業行為の進化)によっていずれは無効化されます。抑止行為とは、阻止行為を突破するために行う、さまざまな準備行為でさえも犯罪の証拠となすことができるものです。

難しそうですが、これは実は、簡単なことです。
信頼できる管理者がしっかりとすべての社員の作業行為を監視できれば良い、ただこれだけです。
簡単ですが、実現は難しい行為です。

理由は、極端な話、監視する社員と同数の管理者が必要になります。またその管理者に対するセキュリティを担保する必要があります。

古き良き日本では、社員一人に一人の管理者は極端ですが、それなりに管理が行き届いていました。業務の管理だけでなく、精神面で不安定な社員には、上司が声を掛けたり、一緒に酒場に行ったりして、精神面のケアも十分できていました。そしてなにより、会社への忠誠心が絶対でした。一生この会社が人生の面倒を見てくれると思えました。会社に迷惑を掛けるという行為は、自分の人生を否定する行為だったのです。

現在はどうかというと、会社は、転職することを前提に入る新入社員がいるぐらいです。多くの社員が事実上リストラせれている事実を皆が知っています。ましてや派遣社員やアルバイトに会社への忠誠心はありません。コストがすべてです。単価の安い外国企業に対応するため、管理者もコストダウンという名目でリストラされて、実労できない社員は極力減らす方向です。

だから、現在の日本は性悪説なのです。昔の日本は性善説でした、外国向けにセキュリティ製品を作っていた私は、日本でセキュリティ製品が売れるなんて考えてもみませんでした。

長くなりましたので、性悪説の具体的な対策方法はまたいずれ。


今日はここまで、またいつかお会いしましょう!

Comment(2)

コメント

ardbeg32

性善説・性悪説の二元論で対策を考えると、それこそきりがなくて大変ではないですか?
ここは淡々とリスクマネージメントの考え方でいいのではないかと思いました。

そもそもセキュリティにコストを掛けられない中小企業の場合、性悪説の考え方では「セキュリティをやってもやらなくてもどこかから必ず漏れてしまう」と諦めてしまうし、実際諦めてノーガード戦法をとっている所も多いです。
どこにコストを掛けて、かけられないところをどう考えるか、リスクが発生した場合にどうするか、これを元にセキュリティ対策製品を導入しないときりがないのではないでしょうか。

miyaさん

ardbeg32さん コメントありがとうございます。

私の言いたかった事は、日本の社員の考え方が変わってきているということと、その変わった考えにあわせたセキュリティが必要ではないでしょうか。という事です。
阻止することと抑止することの意味を考えてもらえれば、どのような対策が必要なのかがわかってきます。
私は、性悪説の対応の方が、対策はわかりやすいと思っております。
中小企業にとってこそ、セキュリティは重要です。
もし、体力のない中小企業で情報漏えいが起こったら、会社の存続が危ぶまれます。
中小企業で一番困っているのはセキュリティに人員を配置することです。人材不足であり、どうしても、後手後手に回ります。ノーガードになっている理由はそこにあります。
セキュリティを低コストで実現する方法が必要だと私は考えます。
だから、セキュリティ製品を選ぶことは重要です。今後、順を追って説明していきます。
もう少し、ご辛抱ください。
何度も書きますが人の手が一番高コストです。しかし、最も自由度があるのも人の手です。(セキュリティ強度という点では強いとは言い難い面もあります。)
これを軽減できる方法が必要だということです。
どんなに工夫をしようとも、人の手で対応するのは、限界があり、高コストであるということです。

コメントを投稿する