コインチェック社のハッキングされたことは大々的に報道されたが、組織におけるセキュリティについて重要なものは何だろうと考えてみました。
私が考えるに製品導入前に以下のような事柄について考察が必要なのでないかと思います。
- 最近の情報漏えいなどセキュリティが破られた事例の研究
- セキュリティが破られたことによる損失額に関する理解
- 万が一セキュリティが破られることを想定
- セキュリティ関係では日本より進んでいる海外事例の研究
- どのようなツールが必要になるかの研究
セキュリティを考えるとついつい、アンチウィルスソフト、ファイアーウォールなどのセキュリティ製品を導入すれば解決すると考える人もいるかもしれませんが、製品の利用はあくまでも方法論であってどのようにセキュリティを守るかを考えたうえで検討しないと無駄な投資になる可能性が高いと思います。
たとえば、アンチウィルスや、ファイアーウォールなどはOS側に導入されていることもあるので、追加で購入することが必要でないという考え方もあります。実際にOSのアンチウィルス機能だけで運営している会社も存在します。
最近の情報漏えいなどセキュリティが破られた事例の研究
最近だと、コインチェック社の事件が有名ですが、最近までのインシデントでもいろいろとあります。
Yahoo! BB顧客情報漏洩事件
Yahoo! BB顧客情報漏洩事件(ヤフー! ビービー こきゃくじょうほうろうえいじけん)は、Yahoo! BB登録者の個人情報が漏洩した事件である。
2004年2月27日、約450万人分ものYahoo! BB登録者の個人情報が漏洩している事が発覚し、この情報に対してYahoo! BBに現金を要求していたソフトバンク関連元社員らが逮捕された。逮捕された3名のうち、2名は創価学会の幹部だったことが話題となった。
ソフトバンクBBの公表した被害総額は100億円を超える。
また、情報漏えいの理由もあとで明らかになります。
同年5月下旬には新たな東京都内ルートの犯行関与者としてソフトバンクの元業務委託先社員他1名も逮捕され、個人情報漏洩の全容が明らかとなった。個人情報が漏洩した原因として、当初発表した「外部からの不正アクセス」という理由ではなく、ソフトバンク社員であれば誰でも閲覧し入手できるような状況であったことを改めて発表。後日、社内における個人情報の管理を厳守するように徹底されることになった。
外部からの不正アクセスでなく、ちゃんと対策をしていなかったことによる内部からの不正アクセスでした。運用がしっかりしていないことが原因です。
ベネッセ個人情報流出事件
ベネッセ個人情報流出事件(ベネッセこじんじょうほうりゅうしゅつじけん)とは、2014年7月9日に発覚した、「進研ゼミ」や「こどもちゃれんじ」を運営する、通信教育の最大手企業であるベネッセコーポレーションの個人情報流出事件。流出した顧客情報は最大で3504万件に及ぶ。
捜査の結果、内部犯行でした。
7月17日 – シンフォーム勤務の派遣社員である、当時39歳のシステムエンジニアの男を逮捕[7]。ベネッセは顧客情報に関するデータベースの運用や保守管理を「シンフォーム」に委託。同社は業務をさらに複数の外部業者に分散して再委託していた。犯人は外部の業者から派遣されて同社のデータベースシステム管理を担当し、顧客情報にアクセスする権限があった。のちの調べに対し、顧客情報を持ち出したことを認め、「金がなくて生活に困っていたので、名簿業者に複数回売却した。総額は数百万円になった」と供述した。
犯人はデーターベースへのアクセス権限がありました。技術的に言えばアクセス権限を与えないか、与えたとしても個人情報にアクセスしたときにアラートを出したりすることで防げたものです。
PlayStation Network個人情報流出事件
PlayStation Network個人情報流出事件(プレイステーションネットワークこじんじょうほうりゅうしゅつじけん)とは、2011年(平成23年)4月に発生したソニーが運営するPlayStation Network(以下、PSN)における大規模な情報流出事件である。
理由は外部からの不正アクセスでした。
2011年4月21日、PSNに大規模なアクセスエラーが生じ、サインインできない状態となった。4月23日に外部要因とみられる影響と発表されたが[1]、実際は4月17日から4月19日にかけて受けたシステムへの不正侵入により、PSN利用者の個人情報が流出した可能性が出たためにサービスを停止したことが原因であった[2]。
~中略~
ソニーは5月1日に緊急記者会見を行い、サーバーの脆弱性に対処していなかったことが不正侵入の原因であると発表し[9]、一部コンテンツの無料配信などを「お詫び」として提供するが、現段階で金銭的な被害が認められないとしてユーザーへの一律補償については否定的な考えを示した[10]。クレジットカード情報の流出に関しては、「(クレジットカードの情報の)項目を読みに行った形跡がない」こと、そして、FBIに捜査を依頼したことを明らかにした[11]。
ちゃんとシステムのアップデートをしていなかったことが原因です。ちゃんと設定していれば問題は防げたのではないかと思います。
そのあとソニーピクチャーの情報漏えい事件もありますが、北朝鮮が絡んでいるらしく手口は標的型攻撃ではないかと言われています。
セキュリティが破られたことによる損失額に関する理解
いったんセキュリティが破られると多額の損失が出ます。
Yahoo BB!の場合は100億円以上の損害だといわれています。ベネッセの場合は大規模な顧客離れが起き、赤字になりました。ソニーの二つの事件についての被害額は調べることができませんでしたが、グローバルな事件だったのとしばらくネットワークを停止する必要があったので非常に莫大な額なったのでないかと考えられます。
セキュリティ対策の予算を考える場合、万が一被害があった時にどのくらいの金銭的なリスクがあるのか計算しておくことは重要であると考えます。
万が一セキュリティが破られることを想定
残念ながら、どのように対応していてもセキュリティが破られる可能性は0になりません。
システムを熟知している管理者であれば、重要な情報を入手しログなど犯罪の痕跡を消せれば「完全犯罪」が行えます。
外部からの不正アクセスの場合は、標的型攻撃かもしれませんし、不特定多数を攻撃するためのランサムウェアなどの攻撃かもしれません。
攻撃はされるものと考えた場合、重要なのは防御と監査になります。
防御するにはいろいろなツールを導入することで実現できます。しかしそのような仕組みが機能しなかったり、そもそもそのツールが対応していないところから不正アクセスされる可能性があります。
万が一にも情報漏えいなどのインシデントが発生した場合、できるだけ早く問題が起こっていることをわかるようにアラームの設定をしたり、あとで誰がしたか確認するためにログをしっかりと保管することが重要です。
セキュリティ関係では日本より進んでいる海外事例の研究
海外では、日本よりセキュリティに対する理解は深いです。理由は攻撃者はグローバルに活動しており諸外国は英語が一般的に使われているので、コミュニケーションに対する壁が低いからでないかと思っています。
攻撃されることが多いので、業種によっては日本よりも重要なコンプライアンスを守って運営してないといけないとされてる地域もあります。
ただ、日本語などのコミュニケーションの壁を攻撃者は克服し、攻撃が増加することが考えられます。
今、日本には、システムと攻撃技術の両方をしっかり理解しているペンテスター(別名:ホワイトハッカー)の活用が必要だと思います。加えて、社会・企業にとって不可欠なシステムを攻撃から保護するため、ペンテスト(侵入テスト)を必須とするコンプライアンス(法律)の整備も必須です。海外のコンプライアンスの例として、PCI-DSSやHIPAA等があります。これで完成されたものというわけではなく、またそれらの規制だけで100%のセキュリティではないのですが、それでもほとんどの組織は自主的には投資・対策しないことを考えると、コンプライアンスの導入は大変有効なセキュリティ対策の動機付けになります。実際、 アメリカではコンプライアンスを導入した結果、国家のセキュリティが相当上がったと考えられています。是非、日本でも法律としてセキュリティ対策のコンプライアンス導入を検討して欲しいです。
海外の事例だとコンプライアンスをしっかり守る必要があり、その中で侵入テストなど必要な項目をしっかりすることで業界全体でセキュリティを高めるような仕組みがあります。
日本でも、海外拠点と接続されている企業はそのコンプライアンスを守る必要があるものもあります。将来は日本でも海外と同様になる可能性が高いので今のうちからそのような仕組みについて研究するべきではないかと思います。
どのようなツールが必要になるかの研究
残念ながら一つの製品だけで万全なセキュリティが保てるわけではないです。ツールごとにできることが違うからです。
侵入をある程度防ぐにはファイアーウォールがありますが、それよりも他にいろいろ機能を追加したUTM (Unified Threat Management)と呼ばれる製品もありますが、これだけですべてのニーズに対して対応できるわけではありません。
UTMを導入しても標的型攻撃で行われるすべての攻撃を想定していないので他の製品の導入を考えるべきです。
攻撃や運用を考えて必要なソリューションはなにか考察してから検討することが重要になります。
弊社で扱っている製品について
いくつか、弊社で扱っている製品では主に「特権アカウント管理」、「エンタープライズシングルサインオン」、「アカウントアクセス管理」、「アプリケーションセキュリティ」を扱っています。
用語解説
各製品
特権アカウント管理
エンタープライズシングルサインオン
アプリケーションセキュリティ
コメント