Twitterのデータ漏洩で学ぶことは、基本である「セキュリティの鎖」思考

セキュリティを表層的でもっともらしい話題は多くありますが、「鎖はいちばん弱い輪以上に強くなれない」実はこれが基本なのです。本質を知らずに部分的に「せきゅりてぃ」していても・・・本来の効果は発揮できないと考えています。

クラウドはセキュアではない：Twitterのデータ漏えい騒動からIT幹部が学ぶべき10の教訓 - ITmedia エンタープライズ via kwout

最近、あるハッカーがTwitterの従業員のGoogleアカウントにアクセスするという事件があった。Twitterでは、文書作成と情報共有の手段としてGoogle Docsを利用している。

1. クラウドはセキュアな環境だと思ってはならない

2. クラウドは社内ネットワークよりも厳格なセキュリティ手続きを必要とする

3. ハッキングされた後でセキュリティ手続きを導入しても意味はない

4. セキュリティの構築では他人の善意を当てにしてはならない

5. 旧世代のITスタッフが若年スタッフに教えることもある

6. コンプライアンスを考慮する

7. 誰を信用するのか

8. コンシューマーのニーズと企業のニーズを混同しない

9. 他人の失敗から学ぶ

10. 強力なパスワードを使用し、定期的に変更する

記事では、この１０項目を教訓として挙げています。１、２、１０は前回書いたTwitterの情報流出＝クラウドは危険じゃない、その前にやるべき簡単なことあたりになります。パスワードの作り方はパスワードは英文字記号で８文字以上！を参考にどうぞ。

それ以外の項目も書けば多くのことがあるのですが、もっとも基本的なことは「鎖はいちばん弱い輪以上に強くなれない」ことです。セキュリティの専門家であるシュナイアーの言葉です。

出典：ブルース・シュナイアー： 『セキュリティはなぜやぶられたのか』、p147、日経BP社、2007

セキュリティ思考の全体に影響する基本中の基本です。今回のTwitterにしても一部のユーザーのパスワードから全部の漏洩にまで影響しています。

他のユーザーがどれほど最強なパスワードを使っていても、弱い鎖から結界は解けました。

セキュリティの強度は、もっとも弱い部分に従っていくのです。すべて数珠つなぎのようにぐるりと回って繋がっているのです。

バランスのよくない仕組みの場合、最強の部分ばかりが強調されがちです。もっとも探すべく場所は、一番弱い部分を見つけ、どのように補強できるか？　おろそかになりがちな部分ですが、ここがポイントになります。

７の「誰を信用するのか」にしても、どの立場で誰を信用するか？によって、アプローチは変わってきます。たとえば、内側の人が、同じ内側と思われる人に対する場合と外側の人に対する場合の信用の定義も、何をもって判断するかで変わります。そもそも信用出来ないと思われる人に対しての定義もアプローチも内側とは全然違います。立場を逆転した場合のことを考えてみることが必要です。

何もいたずらに人を疑う必要はありません。「自分は鎖の強いほうだ」と思っていることが、一番弱点なのです。これは何も知らないことと大して変わりません。逆に言えば、強いと思っている分だけ、その結界が解ければ「必要以上の情報」をもたらしてくれるのです。それを自覚していないので、問題は何もないと思っている。これが弱い鎖になっているケースを多く見ています。

せきゅりてぃをセキュリティにかえる。これが本当の教訓だと思うのです。