情報セキュリティとは、見えない敵のために防御を張り巡らせることです。
情報の価値は、外へと公開されている情報より、会社などの組織で流れている情報の方が価値がずっと高くなります。
それらの情報は、組織の内部にいる限られた人たちにしか知り得ない情報であり、他人に知られると不利になることが含まれています。企画している製品やサービスの仕様、価格や、組織での意思決定内容、組織内で決められている規約など、他では見つけられない独自の情報であふれています。
内部にいる人達にとっては、何でもない平凡な情報だと思っていても、外から見ると価値があります。
何気なくやり取りされている情報だからこそ、意識的に守る必要があり、そのために「情報セキュリティ」の考え方が必要になります。
■ そもそも「セキュリティ」とは何か
ビルや商業施設には、監視カメラや警備員がいて、不正を働く輩がいないかを常時監視をしています。仮に不信な動きをする人が居れば、その行動を追跡し、事前に建物への不正侵入やモノの窃盗などを防ぎます。
仮に、このような事故(インシデント)が実際に発生してしまったら、現場検証を行い、不正を働いた犯人を見つけ出します。
犯人が見つかれば、損害賠償請求など法的な措置をとるなどして、被害をリカバリすることになります。
このような一連のインシデントに対する取り組みを「セキュリティ」と言います。
■ 「情報セキュリティ」とは何か
情報セキュリティとは、組織や個人で管理された情報を保護することを言います。組織には、会社や非営利団体、国や地方公共団体などが含まれます。
人はコミュニケーションをとることで、情報を交換します。コミュニケーションをとる相手によって、交換する情報は変化し、特定の相手だけの間でしかやり取りすべきではない情報も含まれます。
たとえば、新製品の設計情報は社内の特定部門だけが知るべき情報ですし、個人の病歴は個人だけが知るべき情報です。このように、知るべき人、あるいは、知っても良い人だけが情報にアクセスできるようにコントロールすることを「情報セキュリティ」と言います。
■ 「情報セキュリティ」の必要性
以前までは、情報は、資料などで紙媒体として記録されていました。
物理的に紙の情報を持ち出されることを禁止するため、資料を入れたキャビネットやロッカーを施錠していました。
書類がなくなっていれば、盗まれたかどうか見ればわかります。これも情報セキュリティの対策の一つです。
このような機密情報は、知らない人にとって金を生む源泉となり得ます。
たとえば、顧客リストがあればコンタクトをとって顧客を奪うことができますし、
製品の設計資料があればそれをマネて、同じような機能・品質をもつ製品を短期間でつくることもできます。
現在では、情報は、コンピュータによって管理されていること多くなってきています。
特に企業では、すべての情報はコンピュータに保管されていて、その情報へのアクセスもネットワークを経由したコンピュータによって行われます。
ネットワークは、社員だけがアクセスできる会社内のネットワーク(イントラネット)だけではなく、
誰でもアクセスできるインターネットが使われることも当たり前になってきています。
その結果、情報にアクセスしやすくなった半面、知るべき人、知ってもいい人以外の「不特定の誰か」からも
情報に近づくことことができるようになりました。
これは、IT化によって業務の効率化・合理化を追求したことによる「副作用」と言えます。
つまり、便利さと安全性はトレードオフの関係にあって、利便性が向上すると、セキュリティが低下します。
利便性を上げる一方で、セキュリティを維持する対策を講じる必要があるのです。
インターネットやスマホなどの普及によって、モバイル環境が整備され、いつでも、どこでも、必要な情報にアクセスできるようになりました。
しかし、その反面、知るべき人、知ってもいい人以外の「不特定の誰か」へも無意識に情報にアクセスできるチャンスを与えてしまっています。
利便性に潜むダークサイドを無くすには、セキュリティ対策を講じることをセットで考えなければならないという必然性がIT化にはつきまといます。
■ 「インシデント」とは何か
ITを利用するには、PCやサーバなどのハードウェア、そこにインストールされるソフトウェアが必要です。
インシデントは、ハードウェアとソフトウェアの両方で発生します。たとえば、サーバが設置してある建物に侵入して破壊したり、ソフトウェアを無断で操作して不正な処理をさせたりするなどです。
インシデントは、突然発生しますが、ハードウェアの故障やソフトウェアの不具合(バグ)のように、自動的に発生するわけではありません。人間が介在して、わざと(故意)に発生させます。つまり、インシデントは「人為的不具合」です。そうなると、ハードウェアやソフトウェアだけではなく、悪意を持った人間も監視する必要があります。
その結果、ITにおいて、セキュリティを確保するために監視する対象は、
①ハードウェア
②ソフトウェア
③それにかかわる人間
の3つです。
最も重視すべき対象は、「人間」ですが、残念ながら人の心の中を監視することはできません。せいぜい、データやPCの社外への持ち出しの禁止など、細かい業務規則を厳格に遵守させることぐらいです。
セキュリティを侵害する行為とは、ソフトウェアやシステムの機能の内、設計されにくい盲点をついて、
意図的に攻撃をすることを言います。以下のものがあります。
1)不正アクセス
許可されていない場所にある情報にアクセスし、不正に情報を入手する
2)盗聴
ネットワーク上に流れる情報を無断で入手する
3)営業妨害・迷惑行為
アクセスを集中させ、インターネットのサイトを使用不可にする
4)なりすまし
本人ではないにもかかわらず、本人のふりをしてアクセスする
5)詐欺行為
本物と見せかけ、偽のサイトに誘導して情報や金銭をだましとる
これら以外にも、故意に偽情報(フェイクニュース)を流し、企業や個人の評判や評価を低下させるようなことも行われています。
■ 「セキュリティ対策」とは何か
セキュリティ対策とは、以下の3点を考えて実施することです。
・「何の情報を守るのか?」
企業においては、顧客情報、個人情報、仕入先情報、会議情報、設計情報、会計情報・・・など、企業HPや広告などで明らかにしている情報以外、すべて機密として扱われるべき情報です。個人においても、住所、電話番号、メールアドレス、クレジット番号、口座番号、病歴など、機密として扱われるべき情報があります。これら情報の詳細まで明確にし、各々の機密レベルを分類していきます。
その際、万一、盗聴や不正アクセスが発生したとき、社会的影響の大きさを勘案することが必要になります。
・「どこを守るのか?」
情報は、データベース、ファイルなどに蓄積されるデータと、メールやWebによってネットワーク上を流れるデータに分かれます。これらの両方をを守る必要があります。
・「どうやって守るのか?」
セキュリティ対策には、技術面と運用面の2つの対策を施します、
技術面の対策とは、ログインプロトコルやワンタイムパスワードの採用、データの暗号化・復号化、アクセスログの記録と管理、ネットワークの分離、フィルタリング、不正アクセスのパターン検出などがあります。
運用面の対策とは、アクセスログの定期的な確認、パスワードの定期的な変更、サーバなどが設置された場所の施錠管理、バックアップの実施などがあります。
セキュリティ対策を実施するには、利便性以外にも、セキュリティ対策にかけられる費用、セキュリティ事故が発生したときに与えるインパクトまで含めて検討する必要があります。
セキュリティ侵害行為が「予測不可能」であること、それがセキュリティ対策を実施する上での最大の課題です。
そのため、100%確実なセキュリティ対策は存在せず、後手に回ることも多々あり、その度に対策が考えられて、改善されていくことが繰り返されています。
ソフトウェアやシステムは、人が考えたアイデアをロジックとして具現化したものです。したがって、意図しないことを意図することは、文字通り不可能であり、できることは先人の失敗に学び、そこから得られた解決策を事前に計画して実行することにつきます。
少なくとも、一般的なセキュリティ対策をきちんと継続していけば、ほとんどのセキュリティ事故は防ぐことができます。
■ 性悪説=人間を信用しない(ゼロトラスト)
信用できない人間からハードウェアとソフトウェアを守る手段は、マネジメントとテクノロジーを融合させ、ハードウェアとソフトウェアが存在するあらゆる箇所でチェックを行うことです。
そのために、ハードウェアとソフトウェアには次の機能が必要となります。
「信頼できる人間や組織を選別し、ハードウェア、ソフトウェアを必要な機能に限定して利用させる」
■ 信頼できる人間を選別する
これを「本人認証」と言い、「所持」と「記憶」という人の行為と機能を使い、信頼できる人間であること検出します。
「所持」は、クレジットカード、会員カード、生体(指紋、声紋など)を保有すしていることです。あらかじめ、これらに含まれるデータをソフトウェアで管理しておきます。
ハードウェアやソフトウェアを利用する際に、これらを提示させ、ソフトウェアで照合することで、信頼すべき人間であることを検出することができます。
「記憶」は、IDとパスワードを覚えておくことです。IDとパスワードをソフトウェアで管理しておきます。
ハードウェアやソフトウェアを利用する際に、これらを入力させ、ソフトウェアで照合することで、信頼すべき人間であることを検出することができます。
■ 信頼できる組織を選別する
組織を認証するには、「所持」や「記憶」は使えません。なぜなら組織は、実体がない単なる概念上の人の集まり(グループ)でしかないからです。
しかし、実体はありませんが、それを定義したデータは存在します。たとえば、法人登記であるとか、会社内で決められた組織図などです。これらに連動させた以下の仕組みがあります。
・DNSによる送信元ドメイン認証
会社や組織によって正規にドメインを取得した送信されたメールであることを認証する。
・PKI(Public Key Infrastructure:公開鍵基盤)
会社や組織によって正規に発行された鍵ペアを使ったインターネット通信であることを認証する。
■ ハードウェア、ソフトウェアを必要な機能に限定して利用させる
ハードウェアとソフトウェアは、ネットワークによって繋がれています。必要な機能に限定するためには、ネットワークの流れを管理する必要があります。
そのために、以下の仕組みがあります。
・セグメンテーション
ネットワーク機器によってネットワークを複数に分割する。構造的に不正なアクセスができないようにする。
・パケットフィルタリング
ネットワークを流れるパケットをネットワーク機器やソフトウェアによって、遮断し、必要な通信のみに限定する。不正なアクセスが発生するリスクを減らす。
・暗号化
ネットワークを流れるデータを暗号化する。ネットワークを介したデータの盗聴を防止する。
インターネットを使ったWebシステムがITの主役である現在、Webアクセスのセキュリティが重要視されています。具体的には、通信プロトコルのHTTP、フロントエンドのHTMLとJavaScript、バックエンドのPHP/Ruby/ASP.NET/JavaとRDBMSのセキュリティです。
この対策には、ソフトウェアを開発する段階からリスクに対応した設計が求められます。
■ 攻撃者の正体
攻撃者の正体は、以下のような人たちです。
・悪意を持ったハッカー(個人、集団)
・敵対国
・政治団体
・テロリスト
彼らの目的や動機は、以下のようなものです。
・金銭の搾取
・金銭の代わりになるもの無形資産の入手
・恨み、憎しみなどの報復
・いたずら
これらは法に触れる行為であり、刑法(コンピュータ犯罪、ネットワーク利用犯罪)で罰せられます。
さらに、民法に不正アクセスをする行為そのものを禁止する法律(「不正アクセス行為の禁止等に関する法律」)もあります。
(参考)
不正アクセス行為の禁止等に関する法律
https://www.npa.go.jp/cyber/legislation/pdf/2_houritsujoubun.pdf
サイバー犯罪とは
https://www2.police.pref.ishikawa.lg.jp/security/security11/security01.html
サイバー犯罪やサイバー攻撃を取り締まる法律
https://www.ntt.com/bizon/sec/laws-systems-2.html
■ まとめ
情報セキュリティを破るのは、人です。
信頼できる人達とだけに囲まれて仕事ができれば、情報セキュリティなど考えなくてもいいでしょう。
しかし、一歩、会社の外に出れば、そこは「社会」であり、信頼できる人かどうかなどわかりません。
情報もそうです。
インターネットという「社会」に接することで業務の効率化や他社との取引関係を築ける反面、信頼できる相手ばかりが寄ってくるとは限りません。
逆に言えば、お互いが安心できるための「情報セキュリティ」の考え方が「取引の常識」として求められています。
ソフトウェア開発・システム開発業務/セキュリティ関連業務/ネットワーク関連業務/最新技術に関する業務など、「学習力×発想力×達成力×熱意」で技術開発の実現をサポート。お気軽にお問合せ下さい
