オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

サイバー攻撃?内部攻撃?誰が頼りになりますか?(セキュリティな逆思考

»

サイバー攻撃が増えていますが「外側にあるもの」は常に狙われる危険性があります。どうも安全に対する意識は「何かが起きると」刺激されるようで、今回の震災でも、非常袋の再確認をした方も多いはず。しかし世界中の地震の10%が起きている地震列島に住む私たちは今回の震災で「今まで以上に」注意警戒し意識も高まったはずです。

一方、今回一連のサイバー攻撃で注意も高まったと思いますが、落ち着いてくると段々と尻すぼみになっていきます。少なくとも過去はそうでした。

サイバー攻撃と、家に泥棒が入りにくくする仕組みと、インフルエンザ等の予防接種・・・脅威が外側からやってくるのは同じです。

サイバー攻撃:サーバ、社内のデータ、クラウド上のデータ。。。

泥棒:ホームセキュリティ、二重ロック、ドアや窓の振動センサー、人感ライト。。。

インフルエンザ:予防接種、マスク、うがい、手洗い。。。

もしも違いがあるとすれば、自身に影響することか?会社か?くらいでしょうか?

自身の大切なモノがある家は、留守中でも在宅中でも狙う側の「やりやすい条件」か「明確な目的」に合致すれば危険度は高まります。

予防接種は、身体に直接影響しますが、大体経験があるものなので、ある程度は自身でコントロール出来ますし、やっているはずです。

ではサイバー攻撃の場合、何をどこまでしているのでしょう? ホームセキュリティや身体と同じく外側から脅威はやってきますが、内側からも攻撃があります。組織という形に向かってくる脅威が「外側からも、内側からも全方向型」だからです。

サイバー攻撃が落ち着いてきた。。。単に攻撃が減っただけか、攻撃に気づいてないか・・・なくなった訳ではありません。

インターネット創世記のころならば、ネットに繋がないとか、ネット上にデータを置かない、デジタルデータを共有しない、メールを使わない。。。これならば多少は攻撃対象が減った分だけマシなのかもしれません。2chが始まった頃、誹謗中傷を書かれた方が「自分は一切ネットは使わないし、会社でも使わせてない」だから大丈夫なはずなのに、なぜに書き込まれるのか?と。。。笑い話ですが、当人にとってはシャレにならないこと。

今どきネットを利用しないでどこまで仕事が出来るでしょうか? もちろんネットを一切使用せずに仕事が出来る職種もありますが、ほとんどの業務においてネットの利用が大前提になっています。1日ネットワークが止まったら、どれほど仕事に影響がでるでしょうか?

ネットの影響が大きいほどに、脅威も比例していきます。・・・依存度が高いのに、その影響に対する準備をどれほどしているか?

・・・外側からの脅威だけでも十分過ぎるほど多くあります。

で。。。内側からの攻撃、ちょっとした間違い、ずさんな管理、社内不正、不良社員、目的を持った漏洩、スパイ、告発・・・外側と比較しても仕方ないことですが、内側からだからこそ「できること」は多くあり、内側でなければ出来ないことすらあるのです。

外側に意識を向けるならば、同時に内側にも向けなければなりません。偏ることでバランスが崩れたとき、マーフィーの法則のように起きるのです。

随分と前から懸念しているのは内部攻撃です。労働条件、雇用形態、景気動向などの要因と、悪意をもって行われること、悪意なき重大なミスが招くトラブル、魔がさしてしまう機会の増加。。。

例えば、プロパー社員、契約社員、派遣。。。何が違うのでしょう?単に契約上の違いだけではないでしょうか? 忠誠心が違う!と、よく聞きますが、本当でしょうか。 現実に権限を持ったプロパー社員が起こす問題も、待遇に大きな溝を作り不満を持ったプロパー以外の方々が因子となってしまったケースもあります。

実際には、ある程度の権限を持った方が引き起こしている問題のが多くあります。権限を乱用した不正、委譲してはならないことをやらせる、隠ぺい。。。管理する立場にあるから出来ることも多くあるのです。

外部攻撃への対処

サイバー攻撃などの外部から行われる事への対処方法は、社内で検討出来ますし、社外の力を借りることも容易に出来ます。敵が外部にいるのですから、これらは社内的にはクローズな話題として扱う必要はありません。通常は隠す必要すら思い当たりません。

内部攻撃への対処

内部から攻撃が行われる場合、敵は内部にいますし、外部にもいるかも知れません。

情報共有を最小限にすること!セキュリティにおいても当然ですが、知っている人数が少ないほど秘密は守れます。内部攻撃の調査は出来るだけ内密に進める。これ鉄則。特に準備段階において失敗する事例が多くあります。

以前に書いた内部犯行に関するブログ:情報漏洩カテゴリー犯罪カテゴリー

機密情報をIT管理者の88%が解雇されれば持ち出し、35%は無断アクセスする(米国調査)

三菱東京UFJ証券:1人1万円のお詫び金の算出基準ってなに?

そもそも情報セキュリティを「性善と性悪」の2つで考えるのが間違いのはじまり

続:三菱UFJ証券の情報漏洩に「情けなさ」を感じた。犯行報酬30万円の代償

退職社員のが「情報を持ち出す」ならば、突然の解雇よりも準備が出来た?みたいです

不況がトリガーに←企業情報漏洩リスク増大の調査結果

例えば、管理する立場の人間が「行っている」ことへの対処をするのですから、1つ間違えると後々厄介な問題に発展します。誰に何を相談して良いのか? 社内で相談するには限りがあるし、疑っていること自体を伏せておきたい。

「何があったのか」だけを調べる場合もありますが、「誰が行ったのか?」も事情によって必要になってきます。状況によって変わってきます。

性善説とか性悪説と簡単に分けてしまうことが思考停止に繋がっています。「そもそも情報セキュリティを「性善と性悪」の2つで考えるのが間違いのはじまり」も参照下さい。

どんなきっかけであっても、外側に注意する機会があるのならば、今一度内部にも注意を向けてみることが、何かのメッセージかも知れません。

Comment(2)

コメント

ardbeg32

性善説とか性悪説とか以前に、
「ウチにはそんなこと考える程頭のいい奴いないだろう」
「そこまで考えなくても、ウチに漏れて困るような情報あるの?」
なんていうレベルから始めなきゃいけないケースもあるってどう思われます?
(まぁ一言で言って「論外」で切り捨てられそうですが)

IT企業でないだけに、セキュリティに関する啓蒙教育なんて
自部門存続の為に仕事自分で増やしているだけと違うのかと疑われる始末で、
果たして自分が定年かもしくは煙たがられて退職に追い込まれるまでに
何とかなるんだろうかとため息倍増しです。

ardbeg32さん、コメントありがとうございます。

>ウチに漏れて困るような情報あるの?
同じケースに何度も遭遇しています。洩れて困る情報が本当になければ、その企業は「何をもって」他社と違うのですか?と聞くようにしています。論外と一概に言い切れませんが、おそらく「その程度」のことを「それなりの立場」な方々が仰っているのでは?と感じます。

>仕事自分で増やしているだけと違うのかと疑われる始末で
実際にそんなケースも多くあると思います。が、セキュリティの話の前に、どれほどネットとPCに依存した業務を行っているのか?の認識をし直さなければ、いつだって事故は起きます。
「セキュリティのためのセキュリティ」ほどバカなことはありませんが、会社を存続させるためのセキュリティなのか、存続できているからセキュリティ対策を行うのか?な、タマゴとニワトリのような話になってきますね。

コメントを投稿する