オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >
RSS
新倉茂彦の情報セキュリティAtoZ

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

ソニーの漏洩事件でも感じる「セキュリティの誤解」は、立場と現場に答えがある

»

1億人の個人情報が含まれた漏洩でした。ソニー自身の問題もあるのでしょうが、これだけの規模の漏洩事件から学ばなければならない部分って多くあるとおもうのですよね。

ソニー、懐柔忘れ“火に油” ハッカーに敵対姿勢崩さず格好の標的

ソニーの顧客情報流出問題をめぐり、専門家らの間に、同社のハッカーへの対応の誤りが攻撃を呼び込んだとの指摘が浮上している。ハッカーとの関係に配慮する米ハイテク大手各社に対し、ソニーは敵対関係を崩さなかったため標的にされたとみられている。今回の事件は社会悪であるハッカーへの対応の難しさを浮き彫りにするものといえそうだ。

ソニーのPSN、復帰後に一時アクセス不能なるも無事再開--米国や欧州などで再開後も不安定な状況もあるようです。日本では「PlayStation Network」、国内で再開されていない理由とはにあるように、「セキュリティに関する懸念から国内でのサービス再開をまだ許可していない」ようです。

起きてしまった事件を「あれこれ」ほじくり返すよりも、ここから学べることを探してみることが、情報漏洩を防ぐ方法の1つであると思っています。

関連ブログ:

【もしも】ソニーの7,700万人漏洩事件で外部攻撃がなく、内部が関与していたとすれば・・・

ソニーのPSNから最大7,700万人分の個人情報が漏洩←対応の遅さが「早さ」と「信用」に加速する

セキュリティの誤解って多く間違いを誘発していると思うことが多くあります。誤解は立場によって様々な見方が存在します。

今回のケースで考えれば、顧客である利用者(漏洩した被害者の方々)や、社内の一般社員(セキュリティを遵守する側)、セキュリティを作り守らせる管理側がいます。

顧客である利用者の場合

顧客はサービスを利用する上で自分で守れる部分と、自分では守れない部分を明確に知る必要があります。漏洩は自分でしてしまう場合も十分にあります。自分で自分の分だけをしてしまったならば、多々にわたりますが自己責任としか言いようがありません。しかし、預けた情報が何らかの引き金で漏れてしまうことを念頭に準備しなければなりません。出来る準備は、パスワード強化くらいしかありませんが、超安易なパスワードが横行する中においては、多少でも強化されたものを使うことで、悪意の第三者にとって「利用し難い」ものにすることくらいでしょうか?パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!(情報セキュリティ標語:パスワード編)

これが何があった場合に「どれだけの意味」を持つのかはケースバイケースです。役に立たない場合も十分にありますが、顧客自身が出来ることの最大限と考えています。

社内の一般社員の場合

社内のセキュリティを守らなければならない立場の方々は、その規定を守るしかないでしょう。と言っても、実務に耐えられないセキュリティを押しつけられて「業務にならない」場面を多く見てきました。それでは仕事にならないので、仕事を円滑に進めるためにルールを破り、事故が発生します。本末転倒なことですが、現実問題として正面から認識しなければなりません。

では、なぜにこのようなルールを作られるかと言えば、ごく一部のセキュリティを無視する社員にルールの幅である下限を設定するので、結果としてこのようなことになっていきます。

セキュリティなんて自分には関係ない!と思わずに、社会人である以上は、ごく当たり前のスキルとして常に意識しなければなりません。

業務では、他人の情報を、預かっている(個人情報編)

業務で扱う個人情報は、自分のものではありません。
他人の情報であっても、束で管理しがちです。
しかし、逆の立場で考えた時、自分の情報が同じような管理をされていたら…

私たちも自分の情報を「どこかに」預けているのです。

情報は預けるし、預かっているものです。それでも自分に関係ない方々は、実体験しないとわからないのかも知れません。

セキュリティを作り守らせる管理側

ここに大きな問題を抱えていると常々感じております。現場実務との乖離が原因です。「カチンコチンな机上セキュリティ」をどれほど知っていても、実務に耐えないものは役に立ちません。役に立たないことを知っていても先の「ルールの幅である下限」にあわせると結果このようになっていきます。

他のハイテク各社は訴訟に頼らずハッカーのエネルギーをよい方向に導く手段を見いだしている。例えばマイクロソフトはゲーム機「キネクト」の鍵を開けたハッカーの一部を同社の会議に招待。グーグルはバグを特定した善意のハッカーに報奨している。これに対しソニーは、はるかに頑固だと話すのはセキュリティー会社モカナのシニアアナリスト、ロバート・バモシ氏だ。「ソニーのようなハードウエア会社はセキュリティーの研究者が欠陥を指摘しても聞き入れようとしない」という。

セキュリティを本気で考えるならば「現場を知ることである!」と確信しています。

何度も書いていますが、技術的に回避出来るものならば、技術で対応することが最も有効です。人間の限界を簡単に超えて対応出来るからです。

しかし、技術で対応出来ない部分も多くあります。人が動いているのですから、技術では計れない感情があります。セキュリティに感情はいらない!のでしょうか?

感情を逆撫でするような「セキュリティのためのセキュリティ」が多くあります。昨今のニュースを見ても、現場との大きな乖離が鮮明に見えてきます。これと同じことです。

・・・色々な立場がありますが、誰の何のためにセキュリティを行うのか?顧客のために?社員のために?...ゲームと同じく、ルールを作る側にその展開がどのように動いていくのかがかかっています。

今一度、セキュリティの本質を見直してみませんか?

新倉 茂彦 2011/05/17 13:08:45 Comment(0)