人はミスをするものと思え、故に事前対策が重要：Security&Trust ウォッチ（17）

　私もメディア業界の端くれの、そのまた末端で働いているからして、メーカーやシステムインテグレータが発表するリリース文というものを目にする機会が多い。特にIT関連企業や大手企業の場合は、Web上でもリリースを公表するのが当たり前のようになっているから、検索などをかければすぐに、最新の広報発表文を確認することができる。ずっと昔は、企業本社や官公庁の広報窓口までてくてく歩いてリリースを受け取りに行く必要があったことを考えると、何と便利なことかと思う。

　ただ、この検索機能も使い方を誤ると、重要な情報の流出口になってしまうようだ。今月初めに、米国はラスベガスで行われた年に1度のハッカーの祭典（？）「DEF CON」では、検索サービス「google」を用いて、本来隠されているはずのパスワードなどの重要な情報を知ることができる、といった報告がなされたという。

　googleの何が便利かというと、やはりそのキャッシュ機能で、もはや消え去ってしまったWebページの内容まで確認できるのは非常にありがたい。だがその便利さは、悪意あるユーザーを手助けするものでもある。これも、ユーザーの利便性を高めることが、セキュリティ上の落とし穴につながることを示す一例ではないだろうか。

意外と身近な情報漏えい

　日ごろの仕事の中でもう1つ警戒すべきは、ユーザーの操作ミスやちょっとした設定の見落としではないかと私は思っている。

　冒頭のリリースの例で行ってみよう。

　多くの企業では、FAXだけでなく電子メールで広報発表文を送ってくれる。このメールが曲者だ。正確に数を数えたことはないのだが、実感としては月に1回くらいの割合で、「To:」欄に関係各社の窓口や記者の電子メールアドレスを連ねてしまうというケースが見受けられる。無論その後、大急ぎで「操作ミスで皆さまの電子メールアドレスを公開してしまいました。どうぞ当該メールは削除してください――うんぬん」といったおわびのメールが届くことになる。

　件数でいえばごくごくまれだが、こんな事例もある。本来であれば翌日配信されるべき新製品のニュースが、その前日に誤って――おそらくはメール配信時刻のセットを間違えたのだろう――手元に届いてしまうのだ。これも見方によっては立派な情報漏えいである。

　不思議なのは、こうした「送信ミス」が発生するのは、真夜中から未明にかけて届くケースが多いように見受けられることだ。おそらくは、発表に向けた調整や作業で多忙の日々が続き、疲労困ぱいの中、リリース文の送信を行っていたのではないだろうか。それ故にちょっとした手元の操作ミスに気付かず、確認したつもりでもミスを見逃し、情報漏えいが引き起こされたのではないかと推測している。

　それでも、報道関係者向けの情報ならばまぁいい。報道関連の面々など、特にPCやIT関連の業界は狭いものだから、たいていは勝手知ったる間柄だ。それに、そもそも「広く報せる」べき内容なのだから、多少早めに情報が到着したとしても、影響はそう大きくないともいえる。しかし、もし「To:」に記されたのが顧客のメールアドレスだったらどうだろう？　まだ進行中のプロジェクト、開発中の製品に関する内容が誤って送信されてしまったとしたらどうだろう？

　Webにだって同様の危険は潜んでいる。本来ならば最低限ベーシック認証などで保護すべきWebサイトが、管理者の設定ミスにより認証がスルーされ、だれでも閲覧できる状態になっていた、などという事例は、最近でこそ少なくなったけれども、まったくなくなったとはいえない。つい先日には、大手ITベンダ社内で同様の「うっかりミス」があったそうだ。複数の新製品に関する情報を扱う自社内のディスカッショングループで、本来ならば製品ごとにアクセス制御がかけられるべきところを、だれでも、どのグループへの投稿も参照できるようになってしまっていたという。

人はミスをする

　こうした一連の事例から導き出される結論は何か。「人はミスをするものである」という真理である。

　解決策は、当たり前のことながら、システム面と運用面の両方で、未然に設定ミスを防ぐような仕組みを作り上げていくことだ。こうした当たり前のことこそ実は重要だし、難しいのだけれど。

　Web設定の例でいうならば、管理者が何らかのシステム設定、変更を行う際には、できるだけ1人で作業を完結させず、複数の人の立会いによる確認を経るようにする。工場などの現場で行われている指差し確認や口に出しての確認、あれも実はあなどれないのではないか、などと思う。それから、いつ、何に対して、どういった作業を行ったのかを記録しておくことも重要だろう。

　難しいのは、電子メールで情報が流出してしまう、というような場合だ。エンドユーザーに注意を徹底させ、1つの操作ミスが多大な影響を及ぼしかねないことを周知するのはもちろん大事だ。だが同時に、メーラのカスタマイズやゲートウェイ部分でのチェックによって、システム的に「漏えいを許さない」仕組みを作り上げてしまうのもいいだろう。こうすれば、「疲れていて、うっかりミスした」なんていうケースも極力防ぐことができる。

　最近では、メールの本文や添付ファイルなどの内容をチェックし、機密情報の社外への流出を防ぐ「コンテンツセキュリティ」「情報漏えい防止」などと称される分野が広がりつつある。具体的には「MIMESweeper」や「eSafe Gateway」、「GurdianWall」といった製品が提供されている。

　また、大事なデータはなるべく暗号化する習慣を身に付けることも1つの手だ。これにアクセス権限の制御を組み合わせれば、かなりの程度、情報の流れをコントロールすることができるだろう。「秘文」はその例で、Adobe Acrobatをはじめさまざまなドキュメントを暗号化するだけでなく、だれが、どの期間にアクセス可能かを指定することができる。一連の履歴を把握できることもポイントだ。

　さらに、まだ実力は未知数ながら、マイクロソフトはWindows Server 2003に対応した「Windows Rights Management Services（RMS）」をリリースする計画だ。Officeで作成した文書に対し、Active Directoryに格納されたユーザー情報を参照しながら、データの閲覧や変更、アクセスできる時間の指定を行えるという。RMSではさらに、特定部分のコピーやペーストを禁止したり、重要な電子メールの転送をブロックするといったことも可能になるという。

　ただ、こうしたアクセス制御は、見方によっては一種の「検閲」と取ることもできる。従って、こうした仕組みを導入するときには、何のために、どういったルールの下、どんな仕組みで制御を行うかをユーザーにきちんと知らせ、同意を得ることが重要になるだろう。こういういい方はあまり好きではないのだが、情報漏えいが起きたときに責を問われるのはシステムなのか、それともユーザー個人なのかを明確にするためにも、手順ごとに明確なアクセス制御の仕組みを設ける必要が生じているのかもしれない。

　それともう1つ。こうしたアクセス制御の仕組みを運用する人に対しても――性悪説にあえて立って、きちんと相互監視の仕組みを設けておくことが重要だろう。