「記録」は残り「記憶」は忘れる、「思考」は使わないと停止する
何事にも予兆があります。事によって発生するまでの時間は様々で、数秒後から年単位で起こるものまであります。ハインリッヒの法則で言えば、1つの重大な事故には、29の軽微な事故があり、その背景には300のヒアリハット(気にならない程度のこと)があると言われています。この数字がすべてではありませんが、大まかなイメージは合っていると思います。
組織の単純な不手際は情報流出につながり、インターネットのサイバー犯罪をはびこらせる原因にもなっている──。世界各国で起きた大規模な情報流出事件について調べた科学捜査の専門家がこう指摘している。
ファン・デル・ウェル氏は4月に公表されたVerizonの報告書「2009 Data Breaches Investigations Report」(PDF 文書)に携わった。この報告書は、セキュリティに関する従来の一般認識を幾つか覆している。中でも特筆すべきは、「情報流出の約80%は組織外に原因がある」という点だ。それまでの一般認識として、最大の脅威となるのは常に内部関係者だと思われてきたが、Verizonの報告書では、外部からの不正アクセスによる社外秘情報流出が急増している実態が示された。
性善説とか性悪説もそうですが、そもそも情報セキュリティを「性善と性悪」の2つで考えるのが間違いのはじまりでも書きましたとおり、2つだけに分けられないと考えています。今回の報告書にある外部の脅威が80%と聞けば、やはり外部だ!と。。。これも、内外に分けて考えた方が、わかりやすく対策もしやすいのでありですが、不正アクセスをしやすい環境は、内外共にどちらもあるのです。
内外で分けるとすれば、その手口やプロセスに違いがある程度しか思い浮かびません。
事が起きても70%の組織は情報流出を自分たちで発見できず、何かがおかしいと気付いたのは警察、顧客、取引先といった外部の関係者だった。「発見できるチャンスはあった。被害者の66%は組織内のログに十分な証拠があり、こうしたリソースの分析を怠っていなければ情報流出を発見できていたことが、今回の調査で分かった」と報告書では述べている。
ここが興味深いところです。そもそも問題の発見って、怠っていない限りは見つかるものです。が、同じ環境に居続けると、その問題を見つけることは困難です。問題を問題として認識出来なければ、していなければ・・・それは問題ではないのです。当事者にとってだけですが。。。
機械ものでも、人間の感覚ってありますよね。動作がおかしいとか、サーバーがうなっているなど・・・
人間の行動で考えれば、もっと五感をフルに活用すれことで、予兆を見つけることはできるのです。気になるとか、何か変だ?と、感じること。これがすべてのはじまりになるのです。300の部分ですね。
「ITに詳しい何人かの担当者とじっくり話し合い、想定される攻撃のシナリオを描き出す。あなたならどうやってこの組織を攻撃するかと尋ねる。それがログファイルにどのような形で現れるかを想像する。それから実際にログファイルを調べ、それを実行した人がいないかどうかをチェックする。自分に考えつくことは、他人も考えつく。こうしたことに予算を費やしているIT組織はあまり多くない。どちらかというと新しいシステムに予算を費やしてしまうのだ」
シミュレーションをすることで見えてくる事は多数あります。やってみないとわからないことがあるのですが、そんなのやって何が見つかるの?と、やる前に考えている段階で思考停止しているのです。
サイバー犯罪、サイバー攻撃があるのですから、守りの視点から攻めの視点に切り替えない限り、本質は見抜けません。
私は、「攻撃が最大の防御をポリシーに、情報を狙う側の思考を折り込んだ防衛術を追求する」ことを、すーっと追いかけています。情報セキュリティも情報漏洩対策も、この視点をもってはじめて実のものが作れると確信しています。
誰にも弱点は知られたくない。しかし、見つけることが出来なければ。。。事が起こるまでは「何も問題」はありません。発生すれば被害と影響は大きいのです。だから、知られる前に自ら知る事が大切なのです。