派遣で働くエンジニアのスキルアップを応援するサイト

PRODUCED BY RECRUIT

【イベントレポート】エンジニアが生き残るためのテクノロジーの授業 [第3回]「セキュリティを確保する考え方」

株式会社リクルートスタッフィングが運営するITSTAFFINGでは、弊社に派遣登録いただいている皆さまのスキル向上を支援するイベントを、定期的に開催しています。

2018年6月15日のイベントでは「エンジニアが生き残るためのテクノロジーの授業」の第3回として「セキュリティを確保する考え方」を開催。

よく、「大事なのはわかっているけれど、何をすれば良いのかわからない」「やってもなかなか効果が見えない」という声が聞かれることの多いセキュリティ対策。今回のイベントでは、増井さんならではの視点から、セキュリティの確保について、どのように考えたら良いかを教えてもらいます。

f:id:itstaffing:20180809144634j:plain

■今回のイベントのポイント

・セキュリティに対する考え方
・個人情報を取り巻く環境の変化
・意図せず漏れるデータ
・情報漏えいを防ぐために
・役割別のセキュリティ対策


【講 師】増井 敏克さん
▲【講 師】増井 敏克さん
増井技術士事務所代表。技術士(情報工学部門)。情報処理技術者試験にも多数合格。ビジネス数学検定1級。「ビジネス」×「数学」×「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウェアの開発、データ分析などを行う。著書に『おうちで学べるセキュリティのきほん』『プログラマ脳を鍛える数学パズル』『エンジニアが生き残るためのテクノロジーの授業』『もっとプログラマ脳を鍛える数学パズル』(以上、翔泳社)、『シゴトに役立つデータ分析・統計のトリセツ』『プログラミング言語図鑑』(以上、ソシム)がある。

セキュリティに対する考え方

セキュリティと聞くと「やることが多い」「やってもやってもきりがない」「効果が見えない」という声が聞かれます。確かに、何らかのインシデントが発生して初めてセキュリティ対策が機能しているかどうかがわかるため、普段から、その効果が見えるわけではありません。

そんな私たちに、増井さんは「セキュリティ対策についての考え方を理解する」ことが大切だと説明します。

たとえば、一般のインターネットユーザーとセキュリティのエキスパートでは、セキュリティ対策に対する考え方が違います。

f:id:itstaffing:20180809144640j:plain
▲一般ユーザーはアンチウイルスソフトを使うが一位だが、エキスパートはアップデートが一位。強固なパスワードを使うは、両者で順位が異なる。

IPAの調査によると、近年、情報セキュリティの脅威は、お金にからむものが多くなっているそうです。コンピュータを使用不能にして、直接身代金を要求するランサムウェアはもちろんですが、不正アクセスにより情報を盗み出すのも、結局はその情報を販売するという金儲けが目的です。したがって、悪意のある相手に情報を渡さないこと、コンピュータを使用不能にされた場合の対策を立てることが重要となってきます。

「最近、銀行強盗って聞いたことがありますか?近年は専門家がいろいろな対策を講じているので、銀行強盗はなかなか成功しません。そこで成功率の高い、お年寄りに対する詐欺が横行しています。それと同じようなことがネットでも起きているのです」(増井さん)

f:id:itstaffing:20180809144644j:plain
▲専門化集団を抱えている組織よりも、全然知らない素人を狙うというターゲット変更がネット上でも起きている

では専門家のいない組織、あるいは個人における対策はどうすれば良いのでしょうか?
増井さんによれば「対策自体は、これまでとそう大きくは変わりません。それより、今、どんな手口があるか知っておくことが大切」だそうです。

そして、対策という点では「みなさんの側にも問題がある」と言います。

f:id:itstaffing:20180809144647j:plain
▲いくらセキュリティソフトウェアが優れ、対策の方法が確立されていても、人の脆弱性があると効果がない。個人の意識を高めておく必要がある

個人情報を取り巻く環境の変化

個人情報保護法やサイバーセキュリティ基本法、マイナンバー法など、個人情報の取り扱いを制限しつつ、個人情報を有効に活用するための法律や制度も、時代と共に変わっています。

そのいっぽうで、情報漏えい事件も2009年以前と2010年以降では、その手口が変わってきており、2010年以降は、100万件以上の情報漏えい事件はほぼ不正アクセスによる漏えいとなっています。不正アクセスとは、インターネットやLANなどから不正にシステムを利用することを指します。

そうした不正アクセスの手口として特定の組織を狙ったメールに、ウィルス入りのファイルを添付し、開封させ感染させるという標的型攻撃があります。標的型攻撃への抜本的な対策は、ほとんどないのが実情だそうです。したがって、感染を広げない、情報を漏えいさせないといった、入口・出口対策が必要となるそうです。

f:id:itstaffing:20180809144650j:plain
▲標的型攻撃の抜本的な対策はないのが実情

意図せず漏れるデータ

ユーザーのセキュリティ意識によっては、意図せず情報漏えいになってしまうケースもあるそうです。

f:id:itstaffing:20180809144653j:plain
▲情報漏えい対策には、ユーザーの意識の持ち方も大切

たとえば、メールソフトの誤操作や、誤送信などで、自ら他人に情報を送ってしまうというケースがあります。グーグルのGmailには、送信ボタンを押してから一定時間経過後に送信する、誤送信防止機能が用意されており、このような機能を使うことも有効です。

また、SNSやブログに書き込んだ何気ない一言で会社の動きなどを読み取られてしまったり、写真をアップロードすることで、自ら位置情報を発信してしまったり、というケースもあります。

f:id:itstaffing:20180809144657j:plain
▲情報発信のつもりが情報漏えいをさせていたということもある。

情報漏えいを防ぐために

では、情報漏えいを防ぐにはどうすれば良いのでしょうか?

まず、認可と認証についての管理をしっかりと行うこと。認可はアクセス権のことで、認証はユーザーが本人であることの確認(いわゆるIDとパスワード)です。

f:id:itstaffing:20180809144700j:plain
▲共用のアカウントが存在していないか、退職した人のIDやパスワードが、そのままになっていないかなども注意

次に、ファイルと通信の暗号化です。Excelでもワークシートを暗号化してパスワードを設定できますが、ユーザーは、鍵の強度や管理を意識しておく必要があります。一方で、通信の暗号化は、ユーザーが鍵を意識する必要はありません。

f:id:itstaffing:20180809144703j:plain
▲ユーザーも暗号化が適用される範囲を意識しておく必要はある

不正な持ち出しを防ぐには、持ち出しの管理、USB接続の禁止のほか、上司の承認がないと外部接続できないような制度作りも挙げられます。

盗難・紛失を防ぐには、入退室の管理、キャビネットへの保管、IDカードの装着、監視カメラの導入、座席配置の変更などがあります。

複雑なパスワードを設定するという対策は、IDとパスワードを不正に入手されてしまった場合には意味を持ちません。むしろ、ICカードや指紋認証の導入や、IDとパスワードを入力すると携帯やスマホにキーワードを送信する二要素認証が有効だそうです。

結論として、「お金は銀行に預ける」のと同じように「データはデータセンターに預ける」という考え方で、データセンターやクラウドサービスを利用するというのが、増井さんのお勧めだそうです。

役割別のセキュリティ対策

自前でセキュリティ対策を講じる場合、どうすればよいのでしょうか。組織ならば、それぞれ役割があり、役割に応じたセキュリティ対策があります。

脆弱性への対応(ソフトウェアの更新)やバックアップは、全員がとるべき対策です。バックアップは、かつてはディスクの故障やウィルスに感染したファイルを元に戻すという目的でしたが、今では、ランサムウェアにPCを乗っ取られたときの対策という意味合いが大きいそうです。

開発者は脆弱性診断の実施とWAFの導入、管理者はIDSやIPS、ファイアウォールなどの導入・ログチェックを忘れないこと。

f:id:itstaffing:20180809144705j:plain
▲不正アクセスを見つけるには、平時からログをチェックしておくことも重要

Web管理者は、常時SSL(トップページからHTTPSを使用)を検討すべきで、セキュリティの面もさることながら、Google検索の結果ではHTTPSのサイトを上位に表示するようになっているため、SEO対策としても意味があるそうです。

メール管理者はSMTP over SSLや POP over SSLを導入するか、無理ならGmailへの移行を検討するべきだそうです。

経営者や管理者は、システム全体を俯瞰し、入口と出口で、情報漏えいを防ぐための対策を意識し、講じておく必要があります。

f:id:itstaffing:20180809144708j:plain
▲ウィルスの侵入を100%防ぐのが難しい。そのため被害を最小限にとどめる措置を講じておく

今回のイベントを通じて、普段なかなか実感のわかないセキュリティ対策について、知ることができたのではないでしょうか。特に、増井さんの「お金は銀行に、情報はデータセンターに」という言葉はとても印象的でした。セキュリティを学ぶ第一歩として、身の回りの情報の管理を見直すのもよいでしょう。