パナマ文書が世の中を騒がせている。情報漏えいがなぜ起こったのか、内部犯行と外部犯行説があるがはっきりしていることが一つだけある。
必要最低限の運用すらしていなかったということだ。
犯行の詳細についてどのようにされたか詳細は分からないが、内部犯行であれ外部犯行であれ誰が持ち出したか今でもわからないとすればアプリ、文書管理が全くできていなかったのでないかと思う。理由は2.6テラバイトという大容量のデータが持ち出されており、監視やログの確認さえしていれば漏えい原因がわかるのでないか部外者としては思う。
内部犯行と考えた場合
私としては内部犯行の可能性が非常に高いのでないかと思う。というのはあまりにも容量が多すぎ、さすがにこれほどの容量が外部から持ち出される場合、時間がかかるはずでさすがに外部犯行であれば気が付くのではないかと思う。
内部犯行の場合はどのようなことで防げただろうか?
今回の問題を防ぐにはデーターの持ち出しを禁止することが考えられる。
- シンクライアントにし、保存デバイスの接続禁止
データをユーザーの手元で再利用ができないように防ぐ方法である。 - アプリケーション、データーへの適切なアクセス管理
必要な人が必要なところだけアクセスをさせることが重要。 - インターネットなど外部ネットワークに流させない
ファイアウォール、メールフィルタリング、プロキシーなどを利用して内部の人が外部に出すデータに制限をかける。 - 監視をちゃんとする
ユーザーごとに何をしたかあとで確認できるようにすることが重要である。情報漏えいが起こる前にだれが情報を収集しているか確認できることが重要である。
内部犯行の場合犯人はどこに重要な情報があることを知っているので一度情報漏えいさせるとそれを防ぐのは難しい。また管理がちゃんとしていなければ出来心でも犯行に及ぶものもいるだろう。
なので対策としては、出来心でするには技術的に難しくすること、またそのようなことを試みてもバレル仕組みがあることを理解してもらうことが重要でないかと考える。
外部犯行として考えた場合
本当に運用がちゃんとされてなかったのであれば外部犯行の可能性について考えられる。容量が多いということはそれだけ重要でない情報も多いはずなので、外部からの攻撃者がやみくもに情報を入手したからとうことも考えられなくはない。
パナマ文書の流出原因は、Wordpressのプラグイン? セキュリティが穴だらけだったことが判明
これらをみるとインターネットに接続しているアプリケーションの脆弱性をついてメールサーバー、ウェブサーバーを攻撃したことやそもそもファイアーウォールなどの設定もちゃんとしていなかったのではないかと指摘されている。
これらのアプリケーションを利用していたのは、社内利用ではなく外部とのコラボレーションのためであるが、ちゃんと対策をしていなかったのはやはり重大な問題ではないだろうか?
- バージョン管理など脆弱性対策
ソフトウェアは定期的に脆弱性がみつかりハッカーはその情報をもとに攻撃を行う。バージョンアップで発見された脆弱性対策をしているため定期的なアップグレードをすることが必要 - 外部ユーザーの徹底した権限管理
必要以上の権限は割り当てないようにすることで万が一外部ユーザーが乗っ取られても被害を最小限にする。 - セキュリティのために適切な運用、管理がされているか定期的な監査
実際に攻撃されていないか各サーバー、ネットワーク機器の設定の見直しとログ監視を定期的に行う。
またログはSIEMなどを利用することで、早く問題のあるアクセスを発見できる可能性が高い。 - アンチウィルスや標的型攻撃を守るためのソリューションの導入
ウィルスに対応するためのアンチウィルスや標的型攻撃を守るソリューションを導入。 - デバイス/サーバー監視
アンチウィルス製品でも、既知となっていない攻撃を防ぎきれない可能性がある。もちろん攻撃を予測して防御することもあるが、誤動作し本来であれば問題のないアプリが使えない場合もある。
その場合は各種デバイスやサーバーの動作を監視し問題があるものについてアラートを出すような仕組みが必要である。
これらの対策をすべて一度に行うことは非常に難しいと考える。しかし現実的には一度にそのような対策をするのはいろいろな組織が企業内にあるので一筋縄ではいかないのではないか?
海外企業だと最近CISOと呼ばれる役職がありトップダウンで全社的なセキュリティを考えることも多くなってきたが日本では残念ながらまだまだである。
実際にこのような公になった情報漏えい事件も同じようにちゃんと運用していなかったのが一番大きな原因ではないだろうか?
内部犯行でも外部犯行でも一番重要なことは必要な人が必要なリソースにアクセスができなおかつ必要以上の権限を与えないことである。弊社が扱うソリューションとしてはソフトウェア定義セキュリティがそのようなニーズにマッチしている。
ソフトウェア定義セキュリティの導入
ここまでに上げた考えられるすべての対策をすることは非常に難しいと思う。
そこで弊社で扱っている Certes Networks CryptoFlow について簡単に紹介したい。
CrypoFlowではアプリケーションごとにセグメントを分割し、承認されたユーザーごとにアクセスを制限する。
また、各端末にインストールされたエージェントがない限り通信をすることはできない。CryptoFlowを導入することにより、ハッカーはサーバーを直接狙ってもアクセスできない。
標的型攻撃では端末とサーバーの間にある機器の脆弱性を狙って攻撃を加えるのが一般的であるが、CryptoFlowを導入すれば通信の遮断等の嫌がらせはできるかもしれないがアプリケーションへのアクセスとそのアプリで扱うデータの保護は行えるようになる。
ハッカーから見た場合攻撃できる範囲が狭まりその結果、攻撃を防御がしやすくなる。
もちろん今までのセキュリティ製品を否定するものではなく、いままで導入した製品を捨てることなく導入することができる。その際に設定変更もほとんどいらない。
バックグラウンドでは高度なセキュリティ技術を使っているが、シンプルなソリューションでセキュリティ対策の第一歩として導入できる製品である。