株式会社リクルートスタッフィングが運営するITSTAFFINGでは、弊社に派遣登録いただいている皆さまのスキル向上を支援するイベントを、定期的に開催しています。
2018年6月15日のイベントでは「エンジニアが生き残るためのテクノロジーの授業」の第3回として「セキュリティを確保する考え方」を開催。
よく、「大事なのはわかっているけれど、何をすれば良いのかわからない」「やってもなかなか効果が見えない」という声が聞かれることの多いセキュリティ対策。今回のイベントでは、増井さんならではの視点から、セキュリティの確保について、どのように考えたら良いかを教えてもらいます。
■今回のイベントのポイント
・セキュリティに対する考え方
・個人情報を取り巻く環境の変化
・意図せず漏れるデータ
・情報漏えいを防ぐために
・役割別のセキュリティ対策
セキュリティに対する考え方
セキュリティと聞くと「やることが多い」「やってもやってもきりがない」「効果が見えない」という声が聞かれます。確かに、何らかのインシデントが発生して初めてセキュリティ対策が機能しているかどうかがわかるため、普段から、その効果が見えるわけではありません。
そんな私たちに、増井さんは「セキュリティ対策についての考え方を理解する」ことが大切だと説明します。
たとえば、一般のインターネットユーザーとセキュリティのエキスパートでは、セキュリティ対策に対する考え方が違います。
IPAの調査によると、近年、情報セキュリティの脅威は、お金にからむものが多くなっているそうです。コンピュータを使用不能にして、直接身代金を要求するランサムウェアはもちろんですが、不正アクセスにより情報を盗み出すのも、結局はその情報を販売するという金儲けが目的です。したがって、悪意のある相手に情報を渡さないこと、コンピュータを使用不能にされた場合の対策を立てることが重要となってきます。
「最近、銀行強盗って聞いたことがありますか?近年は専門家がいろいろな対策を講じているので、銀行強盗はなかなか成功しません。そこで成功率の高い、お年寄りに対する詐欺が横行しています。それと同じようなことがネットでも起きているのです」(増井さん)
では専門家のいない組織、あるいは個人における対策はどうすれば良いのでしょうか?
増井さんによれば「対策自体は、これまでとそう大きくは変わりません。それより、今、どんな手口があるか知っておくことが大切」だそうです。
そして、対策という点では「みなさんの側にも問題がある」と言います。
個人情報を取り巻く環境の変化
個人情報保護法やサイバーセキュリティ基本法、マイナンバー法など、個人情報の取り扱いを制限しつつ、個人情報を有効に活用するための法律や制度も、時代と共に変わっています。
そのいっぽうで、情報漏えい事件も2009年以前と2010年以降では、その手口が変わってきており、2010年以降は、100万件以上の情報漏えい事件はほぼ不正アクセスによる漏えいとなっています。不正アクセスとは、インターネットやLANなどから不正にシステムを利用することを指します。
そうした不正アクセスの手口として特定の組織を狙ったメールに、ウィルス入りのファイルを添付し、開封させ感染させるという標的型攻撃があります。標的型攻撃への抜本的な対策は、ほとんどないのが実情だそうです。したがって、感染を広げない、情報を漏えいさせないといった、入口・出口対策が必要となるそうです。
意図せず漏れるデータ
ユーザーのセキュリティ意識によっては、意図せず情報漏えいになってしまうケースもあるそうです。
たとえば、メールソフトの誤操作や、誤送信などで、自ら他人に情報を送ってしまうというケースがあります。グーグルのGmailには、送信ボタンを押してから一定時間経過後に送信する、誤送信防止機能が用意されており、このような機能を使うことも有効です。
また、SNSやブログに書き込んだ何気ない一言で会社の動きなどを読み取られてしまったり、写真をアップロードすることで、自ら位置情報を発信してしまったり、というケースもあります。
情報漏えいを防ぐために
では、情報漏えいを防ぐにはどうすれば良いのでしょうか?
まず、認可と認証についての管理をしっかりと行うこと。認可はアクセス権のことで、認証はユーザーが本人であることの確認(いわゆるIDとパスワード)です。
次に、ファイルと通信の暗号化です。Excelでもワークシートを暗号化してパスワードを設定できますが、ユーザーは、鍵の強度や管理を意識しておく必要があります。一方で、通信の暗号化は、ユーザーが鍵を意識する必要はありません。
不正な持ち出しを防ぐには、持ち出しの管理、USB接続の禁止のほか、上司の承認がないと外部接続できないような制度作りも挙げられます。
盗難・紛失を防ぐには、入退室の管理、キャビネットへの保管、IDカードの装着、監視カメラの導入、座席配置の変更などがあります。
複雑なパスワードを設定するという対策は、IDとパスワードを不正に入手されてしまった場合には意味を持ちません。むしろ、ICカードや指紋認証の導入や、IDとパスワードを入力すると携帯やスマホにキーワードを送信する二要素認証が有効だそうです。
結論として、「お金は銀行に預ける」のと同じように「データはデータセンターに預ける」という考え方で、データセンターやクラウドサービスを利用するというのが、増井さんのお勧めだそうです。
役割別のセキュリティ対策
自前でセキュリティ対策を講じる場合、どうすればよいのでしょうか。組織ならば、それぞれ役割があり、役割に応じたセキュリティ対策があります。
脆弱性への対応(ソフトウェアの更新)やバックアップは、全員がとるべき対策です。バックアップは、かつてはディスクの故障やウィルスに感染したファイルを元に戻すという目的でしたが、今では、ランサムウェアにPCを乗っ取られたときの対策という意味合いが大きいそうです。
開発者は脆弱性診断の実施とWAFの導入、管理者はIDSやIPS、ファイアウォールなどの導入・ログチェックを忘れないこと。
Web管理者は、常時SSL(トップページからHTTPSを使用)を検討すべきで、セキュリティの面もさることながら、Google検索の結果ではHTTPSのサイトを上位に表示するようになっているため、SEO対策としても意味があるそうです。
メール管理者はSMTP over SSLや POP over SSLを導入するか、無理ならGmailへの移行を検討するべきだそうです。
経営者や管理者は、システム全体を俯瞰し、入口と出口で、情報漏えいを防ぐための対策を意識し、講じておく必要があります。
今回のイベントを通じて、普段なかなか実感のわかないセキュリティ対策について、知ることができたのではないでしょうか。特に、増井さんの「お金は銀行に、情報はデータセンターに」という言葉はとても印象的でした。セキュリティを学ぶ第一歩として、身の回りの情報の管理を見直すのもよいでしょう。