機密情報の漏えいがあぶり出した転換点：セキュリティ、そろそろ本音で語らないか（18）（2/3 ページ）

いよいよ「性悪説」を前提とした対策の時代に

　情報セキュリティを取り巻く環境がこのような転換点を迎えているのですから、当然ながら我々も、情報セキュリティに対する考え方を変えていかなければいけません。

　具体的には、これまで人間のモラルに頼っていた部分を徐々に減らしていかなければなりません。いよいよ、「人間は信じられない」という前提に立った対策が必要になってきたのです。

　これまでの対策は、PDCAという改善活動や教育を軸としてきました。ですが残念ながらこのアプローチは、事故などは防げても、「その気になった」内部関係者には対抗できません。特に、犯罪と分かっていながら、個人の正義心から情報を漏えいしようとする者には、情報セキュリティ教育は無力です。

　モラルやルールに訴えるだけではなく、それに実効性を持たせる対策が必要になってきたのです。

　一例を挙げましょう。USBメモリは情報流出の有力な経路の1つですが、その扱いに関するよくあるルールに「使用するUSBメモリは申請して登録する」とか「USBメモリは使用禁止」といったものがあります。けれどこうしたルールは、内部関係者による情報漏えいには無力です。「ルールは、作れば守られるはずだ」という楽観的な考え方に立った、実効性を伴わない「無責任な対策」といってしまってもいいでしょう。

　USBメモリを介した情報漏えいを本気で防ぐならば、システム的に使用できなくする、あるいは持ち出されても組織以外の機器では読み出せなくする、などの対策が有効と思われます。それでは仕事にならないからと、利便性を優先してUSBメモリの利用を許可するならば、何を持ち込み、何を持ち出したかというログの収集が必要でしょう。収集するログはファイル名だけでも十分に有効ですが、ハッシュ値やテキスト情報、あるいはファイルそのものを証拠として収集することも考えられます。

　情報を持ち出す手段はUSBメモリだけではありません。ネットを使って外部に送信することも考えられますから、電子メールの添付ファイルの監視も必要でしょう。添付ファイルを監視するには、クライアントPCでのモニタリングが必要になりますし、ファイアウォールやプロキシサーバ、メールサーバなどでもモニタリングが必要になるでしょう。

　つまり、利便性を優先してインターネットの利用や外部記憶媒体の利用を許可すると、このようなモニタリングは不可避になるのです。

取っているのに見ていないログ

　「すでにこれらのモニタリングならばやっている」という組織は少なくありません。けれど、そのログは活用されているでしょうか？ 多くは「ログはとっているが見ていない」というのが現状ではないでしょうか。

　その理由の1つに、ログ取得のチューニングの困難さや手間を挙げることができます。

　ログ取得の粒度ですが、あまりに大ざっぱすぎても、逆にあまりに細かく取り過ぎても、肝心の流出行為が発見できなくなります。この問題に対する完璧なソリューションはありません。情報漏えい行為の発見の精度を上げようとすると、必然的にログの情報量の大きさと誤報の多さに向き合うことになるのです。

　ここで思い出すのは昔のことです。IDSの精度が低かった頃（いまもそれほど高いとはいえませんが）、誤報の多さにお客様からクレームを何度ももらいました。挙げ句の果てに、せっかくのアラート機能はほとんど無効化して、IDSは置きものにする、なんてことも珍しくありませんでした（いまでもそうかもしれませんが）。

　ログにも同じような問題がつきまとっています。内部犯行を検出するには、単純なキーワード検索では限界があり、もっとインテリジェントな機能が求められます。

　例えば「業務時間外に大量のデータをダウンロードしている」といったイレギュラーな行為から内部犯行を見つけ出すというアプローチがあります。さらに、個人を特定した上でイレギュラーな行為を検出したり、クライアントのログとサーバのログ、ゲートウェイのログを突き合わせて不審な行為を特定するような技術も必要でしょう。

　このような深いレベルでログを活用しようとすると、組織ごとのチューニング作業が欠かせないのです。何か製品を買ってきて設置したらたちまち内部犯行を見つけ出してくれる、というようなソリューションはあり得ませんし、そんな謳い文句は信じてはいけません。

「セキュリティ、そろそろ本音で語らないか」連載目次