バンカー博士のサイバーセキュリティ講座 プロセス編

サイバーセキュリティ講座へようこそ。この講座では、1回が1バイトサイズほどの短い情報の中で今すぐ行動に移せるセキュリティのヒントをお伝えします。、プロセス、テクノロジーの3つの章に分けて掲載予定です。

第2章 プロセス

11. セキュリティ戦略の必要性

12. 侵害プロセスの必要性

13. 誰を呼ぶべきか

14. シャドーITと管理統制の必要性

15. ソーシャルと容認可能な利用規定更新の必要性

16. コラボレーションツールを選ぶ

17. シャドーITを理解する

18. 社内DLPはなぜ必要?

19. 会議室をお忘れなく

20. 古いリムーバブルメディアをお忘れなく

21. コンピューター修理の際何をすべきか

22. 古いコンピューターを処分する際何をすべきか

23. 何を守るか?どこを守るか?

24. すべてのデータが平等に作られているわけではない

25. 見直しと改善

26. クラウドコラボレーション プロジェクトをたたむ

プロセスは、物事をセキュアに保つためにすべきことで、ポリシーも含まれます。

11. セキュリティ戦略の必要性

当たり前のように聞こえるかもしれませんが、セキュリティ戦略を持つことはやはり絶対に必要です。セキュリティというものは大抵の場合、無条件反射を招くものです。DoS攻撃 - ソリューションを購入せよ。ウイルス感染 - アンチウイルス。ランサムウェア- うーんよく分からない。セキュリティソリューションは高価ではないものの、無料ではありません。 - ですから、手に入れるには予算計画を組む必要があります。と同時にテクノロジーだけの問題ではありません。それを操作する人間がいるし、それらすべてをまとめるためのプロセスも必要です。

どのような戦略であってもまず長期計画を立てることが必要であり、それに続いて、様々な要素を段階的に行っていきます - そして変化し続ける必要性や環境に応じて適応していきます。戦略をスタートさせる際に、何を達成しようとしているかを考慮することは、やってみる価値があります。(たとえお定まりの反応で始まったとしても、です。)もし何かが起こったら、それが二度と起こらないようにするという目標、もしくは何かもっと大きな目標ができます。たとえば、これはデータ紛失とコンプライアンスに対処するためなのか?それとも外部のハッキングあるいは悪意あるインサイダーに対処するためか。目標無しには、進捗状況を測るのは難しいでしょう。

すでにセキュリティ戦略があるとしても、見直しが必要かもしれません。- そして、それを始めるのは今をおいてありません。

12. 侵害プロセスの必要性

不幸なことに、セキュリティインシデントは今や「もし」ではなく「いつ」起きるかという問題であり、備えておいたほうがよいことを念頭に置いておきましょう。侵害プロセスをまとめるのはそれほど大変な仕事ではありません。-もしすでに災害復旧やビジネス継続計画を立ててあるなら、容易に始められるはずです。

すべての計画において、とりわけクロスファンクショナルな計画であればなおさら、まず初期設計を立てて、それからテスト、見直し、改良を行うことが必要です。世界中で侵害の告知アクションを迅速に行う必要性が高まってきています。それは増え続けているペナルティーを回避するためです。- 侵害プロセス計画にはこれも考慮しておきましょう。

社内に侵害プロセスが無いのならば、侵害プロセスを立てるためのワーキンググループを作りましょう。メディアで報道されたインシデントはシナリオ立案の一部として使えます。

(2017/1/23掲載)

13. 誰を呼ぶべきか

火災警報器が鳴ったら何をすべきか、おそらくよくご存知ですよね。どこに集まるか、誰に連絡するか、その他やらなくてはならないであろうことに関して。ですが、ランサムウェアに感染してしまった場合はどうでしょうか?あるいはフィッシングメールは?セキュリティプロセスを見直すにあたって、誰をいつ呼ぶかは極めて重要です。

セキュリティ インシデントが起こった場合に助けに入る人の名前と番号をリストアップして公開しましょう。― そして定期的な見直しと更新を必ず行います。セキュリティ インシデントと並行してキーワードや、もし適切なら名前を控えておきましょう。たとえば、「ランサムウェアに感染したと思ったら、内線2112ジョンに電話する」

私たちはただの人間に過ぎないということを忘れてはなりません ― 目的はインシデントの報告者を攻撃することではなく、悪影響を軽減することにあるのです。誰でもミスは犯すものであり、サイバー犯罪者の卑劣さが増していることから、問題なく見えるリンクや無害に見える書類をクリックしてしまうことは、誰であってもどこかの時点で起こりうるのです。

(2017/2/3掲載)

14. シャドーITと管理統制の必要性

シャドーITとは、IT部門の把握していないIT機器を業務で使用するプロジェクトを指す名称です。以前はそんなことをするのは難しかったのですが、今日ではクラウドの出現に伴って簡単にできるようになりました。

最も高いリスクを持つクラウドコラボレーションツールの多くは、ファイルをシェアするDropBoxやOneDriveのように“無料で”あり、共同で使用するものです。こうしたツールのリスクが高い理由は、ほとんどどのようなサイズのファイルでも置くことができ、組織の境界の外からアクセスがあるというだけでなく、ファイルを見つけるための適切なリンクを与えられさえすれば、組織そのものの外であっても誰でもアクセスできてしまうからです。

情報を簡単にシェアできることはビジネス上の強みを作り出しますが、もしIT部門やCIOがその存在を把握していなかったとしたら、情報のセキュリティが考慮されないままになる事態が起こりえます。

IT部門は組織にとってのコラボレーションの必要性を理解し、社員が実際に使う適切で安全なサービスを提供しなければなりません。さらに、“正しい”サービスの使用を社員に促し、新たなシャドーITプロジェクトの発生を検知するためにインターネットトラフィックをモニターする必要があります。

情報セキュリティポリシーには、組織の安全を保つためにシャドーITは容認できないことと、第3者のサービスの利用、とりわけクラウドサービスの利用はIT部門と話し合わなければならないことを明記することが必要です。

(2017/2/6掲載)

15. ソーシャルと容認可能な利用規定更新の必要性

今日、ソーシャルネットワークを通してお客様、パートナー企業、見込み顧客とやり取りしている場合、そうしたサイトへのアクセスをただブロックするだけでは、使用管理方法として実際的ではありません。ソーシャルネットワークをコミュニケーションツールに使うと、企業アカウントや部署だけでなく、不特定多数の人から受信します。したがって、組織を守るためには公開するものをコントロールすることも必要です。ツイッターでは、送信できる情報量に限りがありますが、企業秘密漏洩に関するメディアの記事がいまだに後を絶ちません。フェースブックやリンクトインにいたっては、企業秘密が漏れる可能性はさらに大きいと言えます。情報が漏れるのはファイルからとは限りません。背景に機密情報が写りこんだ職場の写真などのような単純なものから漏れる可能性がありますから、ホワイトボード、付箋のメモ、あるいはロケーションを示すメタデータについてさえ、注意を向ける必要があります。

組織を守る一番簡単な方法のひとつは、「容認可能な利用規定」を更新し、そこにソーシャルを組み込むことです。(そしてそれを行う際には、同時にクラウドコラボレーションの規定も追加しましょう。)

ポリシー規定を変更したら、社員に通知しなければなりません。それを忘れないこと。そして、「容認可能なのは何か」と「容認できないのは何か」について例を用いて示すことです。

(2017/2/17掲載)

16. コラボレーションツールを選ぶ

How many roads must a man walk down♪(人はどれだけの道を歩めば) …The answer is(その答えは)…コラボレーションツールの数と同じくらいあります。ご存知のツール1つにつき、社員が知っているツールは他に少なくとも1ダースはあるでしょう。そして社員がその機能を激賞するツールが2つか3つはあるでしょう。

組織の機密情報管理を持続するためには、“許可された”コラボレーションツールのみ使えるというポリシーを作成、通知し実行することです。ツール(またはサービス)を選ぶ際に問うべき簡単な質問はこうです。「このツールは、少なくともITが社内で提供できる程に安全ですか?」鍵となる問題は、情報へのアクセスと可監査性(オーディタビリティ)です。アクセスが万人に開かれているなら、情報を保護するための追加の措置が必要ですか?手始めにクラウドへのデータアップロードを防ぐためのコントロールが必要ですか?あるいは、コンテンツを保護するために暗号化は要りますか?

(2017/2/22掲載)

17. シャドーITを理解する

シャドーITとは、IT部門が用意したものではなく、社員が自分でITソリューションを調達することです。今日、ソーシャルネットワークとクラウドコラボレーションサービスの普及に伴い、シャドーITは簡単に行えるようになりました。そうしたツールの多くは無料か、もしくはクレジットカードを使って決済可能なものです。

なぜ人はシャドーITに投資するのでしょうか。その答えは、アジリティ(敏捷性)であることがしばしばです。ある情報をシェアする必要があり、IT部門が適したソリューションを持っていない - そしてそれを導入するのに何週間も何ヶ月もかかる…それで個人が自分で調達してしまい、故にシャドーITがはびこるのです。一度シャドーITが入ってしまうと急速に広まってしまい、組織がコントロールを取り戻すのは難しくなります。

IT部門は定期的に社員に対して調査を実施し、使われている、または検討されているツールは何かを調査し、会社で許可されているツールの採用を推奨します。十分な理由が無く「ダメ」出しをすることは、さらに見えないところでシャドーITをこっそり使う結果になるだけであることを肝に銘じておきましょう。

許可されたツールを選ぶのを手助けするプロセスの導入と、許可されていないツールを使うことによるリスクや、ビジネス外で企業データを使うプロジェクトについてITに知らせないリスクについて教えるトレーニングの導入は、コントロールを取り戻す鍵となります。

(2017/3/2掲載)

18. 社内DLPはなぜ必要?

組織外部との境界線にはデータ漏洩防止(DLP)ソリューションを導入済みのことと思います。では、組織内部ではいかがでしょうか?ファイルサーバーやSharePointへのアクセスを閉じ込めるプログラムをすでに実施されているとは思いますが、では、誰もが何でも組織内部の誰にでも送れるのでしょうか?

情報リスクのひとつのファクターは、アクセス権を持つ人間の数です。つまり、アクセスできる人間が増えるに従い、リスクも増大するのです。社内メールは情報アクセスが規制されない最後の領域です。一部の業界では、不適切なデータシェアを防ぐためにEメールが分離されているところもあります。たとえば、防衛産業ではセキュリティクリアランスのレベルによって異なるEメールシステムがあり、金融業界では不正行為を防ぐために顧客窓口のフロントオフィスとバックオフィスのシステムが分離されています。別々のEメールシステムを持つことはほとんどの組織にとってコスト効率の良いオプションとはいえませんが、今は社内DLPを採用するというオプションもあります。すべての社内メールに対して、送信されてから受信するまでの間に検査が行われ、ふさわしいアクションを取ることができます。

簡単な使い方の一例として、四半期末や会計年度末に経理部や役員だけが公表前の決算結果を見ることができる。あるいは次世代製品のアイデアや特許情報をエンジニアリング部や法務部の間にだけとどめておく。あるいはメールで汚い言葉が使われないようにするなどが挙げられます。

社内DLPを導入する際には、他のテクノロジーと同様に社員に対する教育が必要となります。なぜ導入されたか、そして社内のコミュニケーションをスムーズにするためのプロセスについての教育が必要です。

(2017/3/6掲載)

19. 会議室をお忘れなく

電子データの紛失について語られることが多いですが、実はいまだに機密情報紛失の一番大きな原因となっているのは活字なのです。- そして活字媒体の紛失が一番多く起きているのは会議室です。会議室に入ったときにそこに置いたままになっている書類を見つけたことが何回あるでしょうか。あるいはそこに放置されるべきではないホワイトボード上の説明図やフリップチャートを見つけたことが何回あるでしょうか?

「退室時には書類をすべて持ち帰り、ホワイトボードに書いたものは消し、使用したフリップボードはすべて取り外してください。」と会議室すべてにお知らせを印字して掲示しましょう。(たとえば役員会議が行われる部屋など、一部の会議室の外にはシュレッダーを設置しましょう。不要な書類をすぐに処分することができます。)これは情報セキュリティの上から良い習慣であるだけでなく、会議室を次に使う人たちのためにもなることです。ですから、使ったカップは全部片付けるといった他の規則にこれを追加してください。退室時には、自分がそうあって欲しいと思うようなきれいな状態に部屋を整えるようにしましょう!

(2017/3/15掲載)

20. 古いリムーバブルメディアをお忘れなく

ノートPCに格納された情報を守るポリシーはすでに施行されていることでしょう。では、リムーバブルメディアについてはいかがでしょうか?機密情報はCDやDVDにコピーされることが多いですが、もっと多く使われるのはUSBメモリースティックです。― そして、その後に忘れてしまいます。USBメモリースティックは社内、社外どちらでも情報をシェアするのに便利な方法です。しかし、ファイルをコピーするためにUSBメモリースティックを借りて、その中にありとあらゆる情報が入っているのに気付いたことが何度あるでしょうか?あるいはその逆で、誰かにUSBメモリースティックを貸してあげた際、その中に必要ではない情報が入ったままになっていたことは?254MBのUSBメモリースティックはもう使わないからと、あるいは引き出しの中を掃除してCDの山を見つけたら … ただ単にゴミ箱に投げ捨ててしまいますか?

情報の中には機密情報の有効期間が短いものもありますが、10年あるいはそれ以上の長きに渡って利用価値のあるものもあります。子供が関係した政府情報にまつわる、比較的初期に起きたあるデータ侵害事件では、オフィスの引越しの際にCDが紛失しました。― そのCDには子供たちの生年月日、両親の情報、住所などが入っていました。15年たってもこうした情報のすべてはいまだにサイバー犯罪者にとって利用価値があるのです。たとえば、子供たちが16歳になって、子供たちやその両親の知らないところで銀行口座を開くなど … そして詐欺に巻き込まれる可能性もあるのです。

リムーバブルメディアの廃棄方法に関するプロセスについてよく周知しておく必要があります。シュレッダーが必要な印刷文書用のゴミ箱を用意しているのと同じように、専用のゴミ箱を用意することを考えましょう。さらには、リムーバブルメディアにそもそも機密情報がコピーされてしまうのを防ぐ、あるいはコピーされる際に自動的に暗号化してしまうDLPソリューションの導入を考えてみてはいかがでしょうか。

(2017/3/22掲載)

21. コンピューター修理の際何をすべきか

企業や組織では古いコンピューターシステムを処分する場合の取り扱いプロセスを規定し、機密情報が紛失することが無いようにしていると思います。では、システム修理の場合はどうでしょうか?大抵の場合はこう考えられています 。 - システムはどうせ1日か2日オフサイトに置くだけのだから、他に何かしなくてはならないのだろうか、リスクは小さいし…と。

機密情報がシステム修理の際に見つかった(そしてその話がメディアに流れた)というケースがメディアで何件も報告されています。CD ROMドライブでCDが見つかった、交換されたハードディスクがオークションサイトで見つかり、コンテンツが分析されている、などのケースもあります。

システムを修理する前に、機密情報を除いておかなければなりません。ハードディスクをはずす、あるいはCDやDVDのようなものがドライブの中に残っていないか入念にチェックするというようなことも必要です。簡単なチェックリストを用意すれば、チェック漏れを防ぐことができます。

古くから言われているように「起こり得る最悪の事態は何か?」と問いかけ、そのとおりに実践することで、組織の情報と評判が安全に保たれることになります。

(2017/3/31掲載)

22. 古いコンピューターを処分する際何をすべきか

コンピューターが古いからといって、そこに入っているデータも古いとか、期限切れとは限りませんから、コンピューターと一緒にデータを捨てることはできません。古い機器を廃棄する際の適切なプロセスを整備しなければなりません。このプロセスの対象はコンピューターのみならず、ディスクアレイや機密情報が入っている可能性のある古い機器も含まれます。

評判の良いコンピューター機器廃棄業者を使うとしても、システムの情報すべてを消去しておくことは、やってみる価値はあると思われます。特定の基準で情報を消去してくれる無料のユーティリティがいくつもあります。たとえば、xxx基準に合わせて何回も上書きするものがあります。それでもまだ十分ではない場合もあるでしょうし、システムを組織の敷地外へ出す前に消磁するか、ディスクを物理的に破壊することが必要な場合もあるかもしれません。

このプロセスをサポートし、何事も見逃さないようにするためのチェックリストは作成する価値があります。情報の異なるカテゴリーごとに異なった廃棄アクションがあるでしょう。最終的に、適切な方法でシステムが廃棄されていた記録が残るようにすれば、監査担当者から感謝されることでしょう。

(2017/4/5掲載)

23. 何を守るか?どこを守るか?

単純な質問ですが、御社の機密情報とは何かご存知ですか。簡単な質問に聞こえますが、実際には難しく、尋ねれば尋ねるほど、機密情報にあてはまるものがどんどん増えるものです。さらに、人に尋ねてみれば、その人たちの情報が一番重要になります。同じことが災害復旧/ビジネス継続計画(DR/BCP)にもあてはまります。 ― 誰と話をしようとも、その人が一番重要なアプリケーションを持っているということです。もし災害復旧/ビジネス継続計画(DR/BCP)が用意されているなら、異なるタイプの機密情報を決める助けになる様々なアプリケーションを見てみてください。― ノートPCなどで見つかるような体系化されていないデータタイプは見逃してしまうかもしれませんが。

異なるタイプの情報を特定した後は、次の「簡単な」質問は「この情報はどこにあるのか?」です。またしても単純な質問ですが、簡単に答えるというわけにはいきません。すべての明らかなものをカバーする必要がありますが、外れたものも同様にもれなくカバーされていることが重要です。集計表の形でのデータベースレポートと、ローカルに保存されたもの。パートナー企業やサプライヤーからの情報、パートナー企業やサプライヤーと共有している情報、クラウドに保管されているものも含みます。

場所とともに情報のタイプが把握できたら、次はリスクに基づいて保護の優先順位付けを始めることができます。災害復旧/ビジネス継続計画に基づいて、10ドルの価値しかないデータに100万ドルも費やしたくないでしょうから、これはプロセスの重要な部分になります。

このプロセスは「設定したら忘れる」という練習ではありませんので、定期的に見直しが必要です。結局のところ、自分が理解できないものを守ることはできないのですから。

(2017/4/12掲載)

(次回は 24.すべてのデータが平等に作られているわけではない  です。 お楽しみに!)

バンカー博士のセキュリティ講座 トップページへ戻る

バンカー博士のセキュリティ講座 第1章 人編 へ

関連資料 ホワイトペーパー サイバーセキュリティ侵害に備える 転ばぬ先の杖