セキュリティの話 その1
「退職社員が148万人の顧客情報を持ち出し――三菱UFJ証券が発表」
幾度となく繰り返された事がまた起きてしまった。
知名度のある大会社でどうしてこのような事が起こるのか?
きっと、ある程度のセキュリティシステムが導入されていたにも関わらず...。
理由は、性善説に則ったセキュリティ方針と業務データの重要性への認識が甘い結果ではないかと思われる。
果たして、会社として、絶対に情報漏洩させないという意思があったのかどうか。
絶対に情報漏洩させないという意思があれば、対策はいくらでも可能だったはずではないか?
そして、今回の発覚した事件の裏では、発覚していない多数の情報漏洩が行われていることも事実である。その事が事態をより深刻にしている。
クライアントのデータセキュリティシステムは大きく分けて、いくつかの方式に分類できる。
1.暗号化型
2.LOG型
3.常時画像記録型
暗号化型は、データを暗号化することにより、外部との情報伝達を阻害し、データのセキュリティを守る方法である。盗難などには有効だが、データ漏洩にはあまり有効でない。
LOG型は、データのアクセスなど、さまざまな作業をLOGとして残し、このLOGを解析することで、不正行為があったかどうかの判断を行う。この方法を完璧に行うには、専任の担当者がいなければ、完全に対応することが不可能な製品が多い。不正行為が無かったことを評価表で出してくれる簡易型もあるが、あくまでもソフトの判断であり、不正行為がなかったことを誰が保障するかと言う点で問題が残る。
もっとも優れているのが常時画像記録(録画)型である。管理者が作業を見ているのと同等のプレッシャーを利用者に与えることで、不正行為を防ぎ、業務管理システムとしての側面を持ち合わせているため、通常業務の補助としても十分有効なシステムとして利用できる。管理についても、画像を見るだけなので専門の知識も要らずに一般の管理者が管理業務の一環として利用しているだけでセキュリティを同時に確保できる。不正行為が無かったという非情報漏洩証明ができる(不正行為が無かった時の操作画面が記録されているため)と言う点も魅力的だ。
では、何故、3.常時画像記録型が普及しないのか? 理由は、社員が反対するからである。会社にいる時間に会社のパソコンを利用を利用しているにも関わらずだ。
実際に自分のパソコンが誰かに覘かれているのは、確かにあまり良い気分ではないだろう。しかし、業務の管理をする人間が見るだけである。何も興味本位に見る物ではない。
ある大変優秀な私の友人でこちらのブログを書かれている方も、常時画像記録型のセキュリティは大変有効であり、かつ便利であるとおっしゃっていたが、同時に自分のパソコンには入れたくないとも言っていた。(この方は、会社でとても高い地位の方なので、実際は心配無用なのだが...。)
結論として、多くの会社は本気で情報セキュリティに取り組んでいるとは言いがたいのである。多くの費用を掛けても、実際に情報漏洩が起こるのでは意味がない。
E-メールをつぶしても、WEBメール。禁止のインターネットアドレスを設定しても多段プロキシによる偽装や踏み台サイトを利用した偽装など、ある程度の技術力があれば、従来のセキュリティなどは簡単に突破できてしまう。インターネットを利用させなければ良いのだが、それでは従来の業務に支障がでてしまう。インターネットだけではない。未知のソフト、未知のデバイス、未知のテクニックなど対策は元より従来考えてもいない方法で情報漏洩が行われてる可能性は少ないない。
未知の方法に対応する一つの対策としても常時画像記録型のセキュリティシステムは有効だ。不正行為を行う者は、不正行為の発覚を極度に恐れるものである。自分のやった事が記録されていれば、それを看破できなければ、不正行為は行わない。
今回、不正行為を行った者は、自分の行為が発覚するとは到底思っていなかったはずだ。一番大切なのは、わかりやすい方法で情報漏洩は確実に発覚し、その行為も犯罪者も公の場で裁かれるという事を信じさせることではないだろうか?操作画面が録画されているということは、誰にでもわかる。簡単で確実な方法だ。
ここまで書いて、セキュリティ関わっている者として、憤りを感じてしまう。自分の力の無さに。もっと自分に発言力があり、耳を傾けてくれる方を増やしていたら、今回のことは未然に防げていたかもしれない...。