Skip to main content
MSRC

2011年、これまでの事例にみる脅威とその対策 第3回

前回、前々回と、2011 年のこれまでに発生した、情報セキュリティ事件と、その分析内容をご紹介しました。これらの事件を振り返って改めて思うのですが、紛失・盗難対策では、意図を持った攻撃には対応ができません。標的型攻撃は 2005 年前後から国際的な注意喚起が出ている問題で、意図と技術を持った人間が組織内のネットワークに入り込んでくるのですから、紛失・盗難を主要な脅威としたセキュリティ対策では防ぎようがありません。

当たり前のことではあるのですが、意外に理解されにくいようです。過去にこのような議論をした際に、「内部犯行が圧倒的に多いのだから、外部からの攻撃の対策は検討に値しない」というような極端な反論を頂いたこともありました。私は「どちらが多いか」という問題ではなく、どちらも実際に起きていて対策が必要な問題として捉える必要があると考えています。

さて、これまでにご紹介した分析内容は次のようなものです。

  • 書類や PC/USB メディアなどの紛失・盗難が圧倒的に多い(65%)
    紙媒体は対策ができないが、USB メモリ・PC 等(25%)の対策は可能
  • 侵害の対象は、WEB とデータベースが約 70%を占めている。
    古典的な公開サーバーに対するセキュリティの対策
  • 重要な情報が侵害されているという点で、APT(新しいタイプの攻撃)の対策も進める必要がある。
    セキュリティベンダーの事例、Web メールの事例など
  • アジテーションとして、特定の企業グループへの攻撃
    経営上のガバナンスと、ブランディングの不一致

今回から、数回に分けて、これらの対策について考察を進めていきたいと思います。

まずは、PC や USB の紛失・盗難対策について取り上げます。

紛失・盗難対策、その前に

最も典型的な PC や USB メディアの紛失・盗難対策は、「持ち込み・持ち出しの禁止」ではないだろうか。理解できる面もあるのだが、少々疑問に思う点もある。例えば、ノート PC の購入や外部接続を行う際の稟議書・決裁書では、「業務の効率化、競争力の強化」が理由として挙げられている場合が多い。しかし、持ち出しの禁止による競争力の低下から、売上や目標の下方修正が行われたという事例は聞いたことがない。

現実的には、労働時間が増えるなどのしわ寄せが起きているか、何らかの方法で以前と同等か類似の行為が行われていると考えられる。

例えば、外部の Web メールを使って自宅の PC にデータを送ったり、無料のファイルサーバーを使って、外部とのデータ交換を行うといった事が考えられる。そして、スマートフォンの普及が進むと、このような「管理外の抜け道」による問題が、より深刻になると予想される。

この問題を考えると、「そもそも、なぜ、社外から社内ネットワークが使えないのか」とを改めて考える必要があるように思う。社外から社内ネットワークが利用できるのであれば、そもそも USB メディアを利用する必要はないのかもしれない。

PC や USB の持ち出しの禁止は、ファイアウォールが明確に外部ネットワークと内部ネットワークを分離されており、Good man IN, Bad man OUT である事を前提としている。しかし、IT の利用形態の多様化により、このような単純なモデルでは実態を捉えにくくなっている。特に、コンシュマー向け、ビジネス向けのクラウド利用が当たり前になっている現状では、内部ネットワーク、外部ネットワークの境界は、不明瞭になっている。

マイクロソフトでは、ノート PC の持ち出しに制限はない。また、持ち出した PC から、社内ネットワークへの接続も自由に行うことが出来る。このため、USB メディアを利用する必要はほとんどない。このような多様な利用形態が認められているため、例えば、小さな子供を持った社員が夕方に帰宅し、家事がひと段落した後に自宅で業務を行ったり、時差のある電話会議に自宅や出張先から参加するなど、様々な仕事の仕方が選べるようになっている。

この方針の背景には、”Security as a business enabler”という考え方がある。つまり、セキュリティを担保することによって、新たな(価値のある)ビジネスやビジネス形態を実現するという考え方である。セキュリティが日常の業務やビジネスを不便にしてしまうことが多いのだが、セキュリティを担保することで、業務やビジネスの改善・飛躍を目指すといった考え方が重要と考えている。

まとめ

さて、具体的な対策と進めたいところなのですが、前置きが長くなりすぎてしまいました。
今回は、ここまでとさせていただき、次回は紛失・盗難対策としてマイクロソフトが実施している、ドメイン管理基づいた強制的な暗号化、ドメイン管理の外部への拡張による社内ネットワークの自由なアクセス等について紹介をさせていただきたいと思います。

追記

ちょうど、この BLOG を公開しようと思ったタイミングで、マイクロソフト MVP(Most Valuable Professional)の濱本さんが、一連の事件に対する興味深いレポートを公開されていることに気づきました。MVP Open Day で概要は伺っていたのですが、考えていた以上に参考になる点が多い内容でした。これまで、このような分析が公開されたことは、あまりなかったように思います。

三菱重工事件からみる「新しいタイプの攻撃」に対する情報セキュリティ対策
日経 BP ITpro、 濱本 常義氏
http://itpro.nikkeibp.co.jp/article/COLUMN/20111028/371616/?ST=security&P=6


How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.