オルタナティブ・ブログ > 無事今日も終了です >

とてもマニアックな話を交えながら、雑多な話でお寛ぎください。

セキュリティの話 その1

»

「退職社員が148万人の顧客情報を持ち出し――三菱UFJ証券が発表」

幾度となく繰り返された事がまた起きてしまった。

知名度のある大会社でどうしてこのような事が起こるのか?

きっと、ある程度のセキュリティシステムが導入されていたにも関わらず...。

理由は、性善説に則ったセキュリティ方針と業務データの重要性への認識が甘い結果ではないかと思われる。

果たして、会社として、絶対に情報漏洩させないという意思があったのかどうか。

絶対に情報漏洩させないという意思があれば、対策はいくらでも可能だったはずではないか?

そして、今回の発覚した事件の裏では、発覚していない多数の情報漏洩が行われていることも事実である。その事が事態をより深刻にしている。

クライアントのデータセキュリティシステムは大きく分けて、いくつかの方式に分類できる。

1.暗号化型

2.LOG型

3.常時画像記録型

暗号化型は、データを暗号化することにより、外部との情報伝達を阻害し、データのセキュリティを守る方法である。盗難などには有効だが、データ漏洩にはあまり有効でない。

LOG型は、データのアクセスなど、さまざまな作業をLOGとして残し、このLOGを解析することで、不正行為があったかどうかの判断を行う。この方法を完璧に行うには、専任の担当者がいなければ、完全に対応することが不可能な製品が多い。不正行為が無かったことを評価表で出してくれる簡易型もあるが、あくまでもソフトの判断であり、不正行為がなかったことを誰が保障するかと言う点で問題が残る。

もっとも優れているのが常時画像記録(録画)型である。管理者が作業を見ているのと同等のプレッシャーを利用者に与えることで、不正行為を防ぎ、業務管理システムとしての側面を持ち合わせているため、通常業務の補助としても十分有効なシステムとして利用できる。管理についても、画像を見るだけなので専門の知識も要らずに一般の管理者が管理業務の一環として利用しているだけでセキュリティを同時に確保できる。不正行為が無かったという非情報漏洩証明ができる(不正行為が無かった時の操作画面が記録されているため)と言う点も魅力的だ。

では、何故、3.常時画像記録型が普及しないのか? 理由は、社員が反対するからである。会社にいる時間に会社のパソコンを利用を利用しているにも関わらずだ。

実際に自分のパソコンが誰かに覘かれているのは、確かにあまり良い気分ではないだろう。しかし、業務の管理をする人間が見るだけである。何も興味本位に見る物ではない。

ある大変優秀な私の友人でこちらのブログを書かれている方も、常時画像記録型のセキュリティは大変有効であり、かつ便利であるとおっしゃっていたが、同時に自分のパソコンには入れたくないとも言っていた。(この方は、会社でとても高い地位の方なので、実際は心配無用なのだが...。)

結論として、多くの会社は本気で情報セキュリティに取り組んでいるとは言いがたいのである。多くの費用を掛けても、実際に情報漏洩が起こるのでは意味がない。

E-メールをつぶしても、WEBメール。禁止のインターネットアドレスを設定しても多段プロキシによる偽装や踏み台サイトを利用した偽装など、ある程度の技術力があれば、従来のセキュリティなどは簡単に突破できてしまう。インターネットを利用させなければ良いのだが、それでは従来の業務に支障がでてしまう。インターネットだけではない。未知のソフト、未知のデバイス、未知のテクニックなど対策は元より従来考えてもいない方法で情報漏洩が行われてる可能性は少ないない。

未知の方法に対応する一つの対策としても常時画像記録型のセキュリティシステムは有効だ。不正行為を行う者は、不正行為の発覚を極度に恐れるものである。自分のやった事が記録されていれば、それを看破できなければ、不正行為は行わない。

今回、不正行為を行った者は、自分の行為が発覚するとは到底思っていなかったはずだ。一番大切なのは、わかりやすい方法で情報漏洩は確実に発覚し、その行為も犯罪者も公の場で裁かれるという事を信じさせることではないだろうか?操作画面が録画されているということは、誰にでもわかる。簡単で確実な方法だ。

ここまで書いて、セキュリティ関わっている者として、憤りを感じてしまう。自分の力の無さに。もっと自分に発言力があり、耳を傾けてくれる方を増やしていたら、今回のことは未然に防げていたかもしれない...。

Comment(7)

コメント

20年ほど前にアメリカの監査法人を訪問しました。その時、数千人いるコンサルタントは、データベースを自由に閲覧できる権限を与えられていました。
しかしその状況はリアルタイムに監視されていました。仕事で必要なのだから何を見てもいい、しかし不審に思ったら呼び出し、説明がつなかければ即解雇とのことでした。
パソコンの画像を常時記録する方法は、これに匹敵します。目的は不正を暴くことではなく、何をしても記録が完全にとられているので、不正をしたくてもできない環境を作ることだと思います。
セキュリティーソフトは、また、人の人生を棒に振らせないためのソフトともいえるのではないでしょうか。

JRX

> セキュリティーソフトは、また、
> 人の人生を棒に振らせないためのソフトともいえるのではないでしょうか。

まさに。
重い言葉ですね。

宮沢さん
こんにちは、市川です。

>自分の行為が発覚するとは到底思っていなかったはずだ。

仰る通りだと思います。

昔話で恐縮ですが、伊藤○子の事件の後、私は別銀行の情報系におり、相当期間シミュレーション(情報漏洩や、詐欺をさせない)を遣らされた記憶があります。

多分、

>自分の行為が発覚するとは到底思っていなかった

と言う思い違いもあったはずです。

片貝さん、JRXさん、市川さんコメントありがとうございます。実際に情報は大変価値が高く、かなり高い金額で取引されますが、それは最終利用者に取ってであり、ほとんどの場合、情報漏洩を行った犯罪者は、比較的小額の金銭しか入手できません。それでも犯罪を行うのは、犯罪に対しての意識が低いこと、自分の行いが自分に跳ね返る事が判らないことに他なりません。小額を得る為に犯罪者となる人物は通常いません。それを判らせる事が会社に取っても本人にとっても有益な事なのです。私でなくても、誰でも良いのです。もっと力のある人がこの事を世間に知らしめれば、情報漏洩がニュースになることも無くなると思います。

JRX

> 実際に情報は大変価値が高く、
> かなり高い金額で取引されます。。。

シマンテック社の推計によれば、
ブラックマーケットでの個人情報取引高は
年間2億ドル以上にのぼるそうです。

> 自分のパソコンには入れたくないとも言っていた。

私ですね!
でも、MacOS版が登場したら考えます。。

個人的な意見としては、組織の規模が大きくなるほど強制的な仕組みが必要ですが、小さな規模の場合はやっぱり仕組みより心だと思っています。メンバーが仕事を愛し、組織を愛し、仲間を愛していれば不正は起きません。そんなものは理想論だと言われるかも知れませんが、そういう組織は不正面以外を考えても、やる気・効率など全ての面で良いのです。一般的に、強制的になるほどやる気がなくなるものですよね。
せっかく(?)中小企業でやっているので、そういう会社にすることをまず一番に考えたいと思ってます。

私の会社もセキュリティ関連製品をやってますが、先日メンバーが、「セキュリティ製品も良いのだけど、本当は何かを生み出すような事に役立つ製品をやりたい」と話してました。セキュリティ技術ってハッカー的な腕試し要素は高いのですが、社会的にはそれ自体で何かを生み出している訳ではないという考え方もでき、「そういう方向性も是非やろうよ」と、もちろん私も同意したのでした。

小俣さんコメントありがとうございます。JRSさん追加情報ありがとうございます。
ある大変優秀な私の友人。小俣さん、すいません。大正解です。
そして、小俣さんの意見も最もで、社会的に影響のあるデータを扱っていない会社に監視ソフト(あえてそう言います。)を入れる必要はありません。大きな会社で社会的に責任のある情報を持っている企業は、そうする責任がある。という話です。
小俣さんの会社の社員の方、良い人ばかりですね。また飲みましょうとお伝えください。
弊社も実はセキュリティばかりでなく、ものすごくたくさんのソフトを開発しているのです。kdtsって開発会社だったんですよ。バンコク観光会社ではありません。ただ、皆さんにお知らせできるほどの必要性のあるものがあるかどうかと思っています。
そう言えば、この前不意に話したエミュレーションライブラリの話は私が信じられないくらい関心を持ってもらいましたね。楽しくお話させてもらいました。

コメントを投稿する