セキュリティの基本の基本
今日はオルタナティブミーティングで新倉さんと情報セキュリティに関する様々な話題で盛り上がりました。
途中、朝之丞のTry and Testedの朝之丞さんと中さんと4人で話が大脱線し、男子校さながらの大盛り上がりを見せてしまいました。楽しかったですが下品でごめんなさい。中さんからはグリーンITとストレージに関する貴重な情報を、朝之丞さんからは情報漏えいの実例並びにプロジェクトマネジメント上の采配について貴重な情報をいただきました。ありがとうございました。
新倉さんとの会話の中で、セキュリティは最終的には人がポイントだという話になりました。確かに人はいろいろと知恵を巡らせることができますので、うっかり社内に悪意ある人物を発生させてしまうと情報漏えいや攻撃などのリスクを発生させてしまいます。
セキュリティ対策には物理的セキュリティ対策と論理的セキュリティ対策があります。物理的セキュリティ対策を完全に固める場合、例えば飛行機に乗るときのようなレベルで持ち込みと持ち出しについて身体チェックを行えば物理的な情報漏えいをほぼ完全に阻止する事ができます。(脳内に記憶して持ち出すケースは例外とさせてください)
社内からEメールなどで情報を発信するような場合は物理的なセキュリティだけで対応できません。そこで論理的なセキュリティとして人的セキュリティ、管理的セキュリティ、システム的セキュリティを講じます。
システム的セキュリティはユーザIDに応じたアクセス制御等によるものです。データベースの権限やネットワークの利用許可などにより、システム上の特定の資源に到達できないようにしたり、見ることはできても出力ができないようにしたりできます。
管理的セキュリティはシステム監視ログのチェック頻度や保管期限を定めたり、データの入出力記録の作成を義務付けたり、磁器媒体の存在位置の把握や棚卸し等の所在管理を行うものです。
人的セキュリティは利用者への啓蒙ならびに事件・事故からの教育を施すものです。
今日新倉さんから教えていただいたことを自分なりに解釈すると、この人的セキュリティが重要であるということでした。人的セキュリティ策が万全でなく、不幸にも社内の誰かが全力で情報を持ち出そうとした場合に物理的、システム的、管理的セキュリティでカバーし切る事は難しいということです。
(私の理解が違っていたら読んでいただいている方にも新倉さんにも申し訳ないですが)
だからこそ、セキュリティは物理、システム、管理、人の4点が揃って成立するのだと思います。先日、弊社の若手社員とこんな会話をしました。
現在の多くの企業ではUSBポートの物理的、システム的封印が施され、磁気媒体の持ち込み並びに持ち出しが厳格に管理されていることが多い。一方でカメラつき携帯電話が持ち込める会社はかなり多い。USBポート、赤外線ポート、LANポートなどが的確に封鎖されていれば、スマートフォンの部類に入る携帯電話・PHSを持ち込んでも情報を盗み出す事は容易ではなさそうに思える。
しかし発想を変えてみるとどうだろうか。例えばあるファイルを持ち出そうと思った場合、内容をZIPで圧縮し、OutLookで新規メールを作成して添付ファイルにする。そのメールをエクスポートしてメモ帳で開くとZIPファイルのBase64エンコードが取得できる。多くのテキストファイルの場合はZIPの圧縮率>>>Base64エンコードによる増加率なので、効率的に持ち出し得る準備が整う。
そのテキストファイルを持ち出す方法が2つ思い浮かんだ。Excelのマクロを使用して1秒に3枚ずつくらい画面にテキストを表示し、携帯の動画機能で撮影する。その動画から静止画を切り出してOCRソフトで読み取り、情報を外部に持ち出すことができるだろうか。私の携帯電話はもう3年ほど使っているが320*240ピクセルの15fpsなので1秒に3枚、1枚に10文字を取り出すと1秒に30字、10分で18000文字の情報を持ち出せる事になり、Base64エンコードの増分約40%を考慮すると、約12000バイトとなる。この方法で持ち出すということはどれほどの脅威となるのか。
この方法はカメラ付携帯を用いる方法だが、他にイヤホン用の端子が塞がれることが少ないことに着目し、アナログ56kbpsのモデムのドライバを改造してイヤホン端子からSoundを出力し、それをボイスレコーダやウォークマンに録音することは可能だろうか。それだと高度なプログラムが必要となるが、例えばMIDIファイルを作成して音の高さと長さで情報を符号化するとした場合、ターゲットPCのExcelマクロなどで容易に実装ができるのではないだろうか。
とまぁ、多少はシステムエンジニアらしく身近なセキュリティ上の問題について憂慮してみました。家のPCでカメラ付携帯について検証したところ、フリーのOCRソフトではOCR AやOCR Bといった規格を指定しての読み取りができるものが無かったため、悲惨な結果となりました。MIDIならいけるかもしれません。
なんちゃって個人情報
http://kazina.com/dummy/index.html
また、なんちゃって個人情報というサイトで1000件の個人情報を生成してみると、約117KBでした。これをZIP圧縮すると34KBになりました。もし上記の通り、携帯電話のムービーによる持ち出しが可能となると1000件の個人情報を30分で持ち出せることになります。これを「苦労多くして実り少なし」と見るでしょうか。それとも脅威に感じるでしょうか。これからの携帯電話はもっと精細な画像が取れるでしょうから、なんとなく怖いものを感じます。
動画から静止画を切り出してOCRに流すまでのことを完全自動化することが実現できたとすると、毎日少しずつ持ち出すということも考えられます。携帯電話を一切持ち込み不能とすればそれも問題ないかもしれません。ただし、私の勤めているような大量の個人情報を扱いうる情報システム企業ならいざ知らず、普通の企業にそれをあてはめるのは難しいでしょう。入り口に携帯電話用のロッカーなどありませんし、そもそも家から持ってくるなとも言えなさそうです。しかし普通の企業にも持ち出されては困る情報は山ほどあります。どうしたら良いでしょうか。
特に答えはないので多くの企業が困っているのですが、やはりここは愚直にセキュリティは物理、システム、管理、人の4点が揃って成立するのだという視点に立つ事だと思います。その中で、人のセキュリティについては一方的な教育であったり、誓約書を取ったりするだけはうまくいかないでしょう。個人の仕事に対する不満を取り除き、会社のために働くことの喜びを認識できるような企業を作ることも他のセキュリティ対策と同等に尊重されるべきことだと思います。
他のオルタナブロガーの皆様からも大変興味深いお話を色々とお聞かせいただきました。ありがとうございました。