オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

ウィキリークスと同じ仕組みで「民間企業」の情報が漏洩するとどうなるか?:その2

»

前回「全展望監視(パノプティコン)を作り眺めていたビッグブラザーを「フルチン」にしたウィキリークス:その1」の続きです。今回は「このあり得ない仕組み」が一般企業に及ぼす影響についてです。

ウィキリークスも企業の不正や、内部告発等の情報を公開するようですが、超巨大企業だけのようです。もちろん、ニュースバリューや社会的影響を考えると、至極当然であると思います。既に超大手企業の不正や告発などの公表について準備していますし、カウプシング銀行については機密文書を暴露されました。

では、超巨大企業でなければ大丈夫なのか?と考えてみてほしいです。1人でも従業員がいて、社会的に影響のある事実があり、それが告発等で明るみになるのに、超巨大である必要はありません。どれほど影響を及ぼすのか?ってことだけです。

例えば、健康被害など人体に影響のあるものならば、企業規模は関係ありません。何人以上が食しているかも関係ないと思います。

このモデルを「民間企業」に当てはめた場合どうなるでしょう?

よく聞くのが「・・・うちには”そんなこと”出来るのがいないし、マズイ情報もない」と。「そもそも洩れようがないんだよね」と、希望的には良いのですが、本当にそうでしょうか?

不正を明るみにするのは社会正義として当然なことかも知れませんが、不正でない「企業の機密情報」が洩れた場合もおなじでしょうか?

火事は常に「対岸」で燃えてくれれば、こちら側に問題はありませんが、飛び火したり、実は対岸と後ろ側で燃えていて自分は火の中だったり・・・急激に変化しつつある状況をみれば、答えは見えてきます。

以前に書いた内部犯行に関するブログ:情報漏洩カテゴリー犯罪カテゴリー

機密情報をIT管理者の88%が解雇されれば持ち出し、35%は無断アクセスする(米国調査)

三菱東京UFJ証券:1人1万円のお詫び金の算出基準ってなに?

そもそも情報セキュリティを「性善と性悪」の2つで考えるのが間違いのはじまり

続:三菱UFJ証券の情報漏洩に「情けなさ」を感じた。犯行報酬30万円の代償

退職社員のが「情報を持ち出す」ならば、突然の解雇よりも準備が出来た?みたいです

不況がトリガーに←企業情報漏洩リスク増大の調査結果

内部で不正をする人がどれほどいるのか?と考えた場合、ほとんどいないと感じております。じゃあ、何も問題ないだろう!となりますが、実際に1人でも十分に破壊力のある影響を及ぼすことが出来る時代になりました。悪意をもって行う場合も、うっかりしちゃった場合でも、起きてしまったことには変わりません。

消えないデジタルデータ

ウィキリークスの情報は、世界中に拡散し、ミラーサイトを含めると把握が出来ない数になるようです。ようは、一度でも出てしまったデジタルデータを完全抹消することは不可能なのです。Winny漏洩と比較をしてみると、洩れること、拡散することは同じです。もしも違いがあるとすれば、winny漏洩の場合、人々の興味が時間と共に減少することです。それに伴ってデータ流通が減っていきます。単に流通出来る「場」にデータが置かれなくなっただけであり、データそのものがなくなった訳ではありません。 社会的影響の大きなものがウィキリークスに比べ低い分だけ、表に出てくる場面が減っただけです。

コピー&ペーストの操作さえできれば、誰でも簡単に「その情報」をコピーして貼り付けられます。例えばアナログなカセットテープのダビングや、紙資料のコピーを何度もすると、見聞きに絶えられないほどに劣化します。一方のデジタルデータは、何度コピーしても劣化しません。劣化しないデジタルデータは、ゴキブリ並の生命力とネズミ算式の繁殖力があるのです。

忠誠心

個人的に「忠誠心」って言葉が好きです。自分がその意識を持っていても、他人が持っているとは限りませんし、押しつけも出来ません。ガチガチな縦社会構造の企業で、正社員、契約社員、派遣社員に見るに堪えないほどの環境を見たことがあります。どのような形態でも良いのですが、これがより問題を引き起こすトリガーとなったケースがあります。契約形態の違いと忠誠心は比例するのでしょうか。違うと考えていますし、何よりも「それらが引き起こす環境」を考えると、難しいところです。

セキュリティな思考

セキュリティの管理とは、ブルース・シュナイアーの安全対策とセキュリティの違いがとても重要と思っています。

 安全対策 セキュリティ
同時に起きる偶発的な火災を処理するには消防署がいくつ必要か?と考える。

放火魔が消防署の能力を超える数の火災報知器を動作させ、放火攻撃の効果を高める危険がある。と考える。

機内持ち込み荷物にナイフがあっても、X線検査で見つけられる。と考える。

X線で検出されにくい材質のナイフを検出されにくく持ち込もうとする者がいる。と考える。

緊急時、安全に避難出来る非常口の数を考える。 非常口を封印してビルに火をつけ、殺人を行う者がいる。と考える。


出典:ブルース・シュナイアー: 『セキュリティはなぜやぶられたのか』、p74、日経BP社、2007

ここまで考えるのか?

すべてのケースに当てはまるわけではありませんが、考え方として重要と思っています。

攻撃と防御に分けるとすれば、両者とも相反する立場となります。視点も思考も違ってきます。1つ言える事は、防御側が圧倒的に弱いことです。防御側はすべての弱点を考えなければなりませんが、攻撃側は弱点を探すだけです。

視点と思考の違いが、今後のセキュリティ課題に大きな影響を与えるものと確信しております。

Comment(0)