@IT 情報漏えい対策セミナー ダイジェスト
どう備える? どう対応する? 頻発する情報漏えい
柏木 恵子
2011/7/14
増える「故意」の情報漏えいに歯止めを
続いて登場したのは、ネットエージェントの代表取締役社長、杉浦隆幸氏だ。同氏は長年、P2P型ファイル共有ソフトウェアを介した情報漏えいの調査、対策を手掛けている。
 |
ネットエージェント株式会社 代表取締役社長 杉浦隆幸氏 |
情報漏えいには、故意によるものと過失によるものがあるが、昨今では警視庁公安部の情報漏えいや尖閣諸島でのビデオの流出など、故意による事例が増加する傾向にある。
報道で取り上げられるのは、個人情報が漏えいしたケースが圧倒的に多いが、これは個人情報保護法により公開が義務付けられているため。それ以外の営業秘密や守秘義務契約の内容、公開したくない業務情報などを含めると、実際の漏えい件数は、公表されているよりもかなり多いと考えられるという。
情報漏えいの発覚は、多くの場合告発による。このため、漏えいしながら発見できていないケースも、実際には多いと考えられる。
ただ、告発には心理的な障壁もあるので、メール監査やネットワークフォレンジック調査、資産管理系ソフトによる履歴調査など、管理するシステムを導入することが有効である。USBメモリの棚卸しも重要だ。
また、事後対策として、フォレンジック調査によって言い訳のできない証拠を提示することが重要だ。問題を小さいうちに早期発見することで、情報漏えいの起きにくい組織にすることができる。
考えてますか? 漏えいした後の情報公開と対応
セミナーを締めくくる特別講演には、サイバー大学 IT総合学部 准教授の園田道夫氏が登壇し、事後対応も含めた情報漏えいへの向き合い方について講演した。
 |
サイバー大学 IT総合学部 准教授 独情報処理推進機構(IPA)研究員 日本ネットワークセキュリティ協会 研究員 園田道夫氏 |
報道されている情報漏えい事件では、その原因のほとんどが誤操作や管理ミスであり、不正アクセスによるものはごくわずかだ。だが、不正アクセスは本当にそんなに少ないのだろうかと園田氏は疑問を呈す。
少ない理由として、「不正アクセスは実はそう簡単ではない」とか、「不正アクセスを受ける、危険な状態にある会社・組織はそう多くはない」といわれることもあるが、これはあまり信用できない。例えばSQLインジェクションは、GUIによる操作で簡単に大量の情報をダウンロードでき、システムに詳しい必要もない。また、既知の脆弱性に対して対策を施していないサーバは、毎月多数報告されている。つまり、「不正アクセスされても気付けなかっただけ」で、実際には、不正アクセスによる情報漏えい事件はかなり多いのではないかという疑いを持たざるを得ない。
対策としては、脆弱性をきちんとつぶすということはもちろんだが、ログを収集して分析したり、通信量のチェックを適切に行うことで被害を最小化することが可能だ。
例えば、SQLインジェクションでデータをダウンロードする場合、データが大量であれば、その処理にかなりの時間が掛かるはずだ。ここで「長時間にわたって外部への通信が増えている」ということに気付ければ、それを止めることもできるはずである。あるいは、定期的なアクセスログ解析で不正アクセスが疑われるものが発見できれば、それに対処することも可能だろう。
もう1つの重要な問題は、情報漏えいが起きてしまった場合の事後対策である。最近の事象では、公表までに時間がかかり過ぎたことが強く非難された。当該企業によると、「データが膨大だったために解析に時間が掛かった」というが、これもログの活用いかんで効率を上げることができるはずだ。
また、情報の確度を上げるために時間が掛かったともいわれるが、時間が掛かることによって誰にどのような被害が及ぶのかを考えれば、これは適切な対処だったとはいえない。
不正アクセスにより情報が漏えいした場合、不正アクセスされた企業は自分たちは被害者だと感じがちだが、真に被害を被るのは、情報を漏えいされたユーザーだ。そのことを踏まえ、ユーザーのためになる情報の確度と公開のタイミングを、適切に判断する必要がある。さらに、公開が遅れたことによって被害が拡大すれば、損害補償などに要するコストも増大する。企業の損害総額は賠償額が決まらなければ確定しない。損害を抑えるには、公表の時期も重要になってくる。
その他、当面の対応としてサービスを止めるか否かを検討する際に、売り上げ減少を懸念するマネージメント層と、「対策に時間がかかるので続行は難しい」と考える現場との間に、無駄な軋轢(あつれき)が生ずることがある。事前のオーソライズも必要だろう。また、セキュリティ向上のためのコストを考え、そのサービスから撤退するという決断を下すことも、時にはビジネスにとって重要だ。
セキュリティ対策の話題になるとよくいわれるのが「リテラシーの向上」だが、それは人の努力に依存する、ある種の根性論である。ミスを完全になくすことは不可能だ。ミスのできない仕組み、ミスしても大丈夫な仕組みをシステムとして導入することが必要だと園田氏はまとめた。
| 【関連記事】 セキュリティクラスタ まとめのまとめ 4月版 PSNが全部話題を持ってった http://www.atmarkit.co.jp/fsecurity/rensai/matome2011/05.html |
 |
2/2 |
| Index | |
| どう備える? どう対応する? 頻発する情報漏えい | |
| Page1 頻発する情報漏えい事件、有効な対策とは? 高度化するサイバー攻撃、「防ぐのは難しい」 スマートフォンも含めた対策を 古くて新しい漏えい経路「USBメモリ」への対策は? |
|
 |
Page2 増える「故意」の情報漏えいに歯止めを 考えてますか? 漏えいした後の情報公開と対応 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
