バンカー博士のサイバーセキュリティ講座 人編

サイバーセキュリティ講座へようこそ。この講座では、1回が1バイトサイズほどの短い情報の中で今すぐ行動に移せるセキュリティのヒントをお伝えします。人、プロセステクノロジーの3つの章に分けて掲載予定です。

第1章 人

1. トレーニングと認知

2. ハッカーの進化

3. インサイダー脅威

4. なぜソーシャルが悪になりうるのか 

5. 誰が何にアクセスしているのか 

6. 第三者によるリスクは存在するか 

7. フィッシング詐欺犯は情報をどこで見つけるのか

8. 新しい働き方

9. フィッシング、ランサムウェアとのかかわり 

10. 悪い奴を見つけるふるまい解析

は、最大のセキュリティアセットであると同時に、残念ながら一番弱い部分でもあります。

1. トレーニングと認知

セキュリティを向上させるために一番安くあがる方法は、組織のスタッフの教育や認知プログラムを行うことでしょう。そのために一番簡単な方法は、月一回発行のメールマガジンやニュースレターを使うことです。そこでは、メディアに掲載された話に関する洞察や、自分の会社だったらどうやって防いだだろうかを取り上げます。メディアに掲載された詐欺事件についてお話ください。どうすれば気づけたかと。もし組織に問題があるとお考えなら、何をすべきか、誰にコンタクトすべきか、などセキュリティプロセスについて議論しましょう。

新しいセキュリティ技術やプロセスを導入しようとしているなら、なぜそれが行われるかを社員に理解してもらうことが必要不可欠です。導入することによってリスクが減るビジネスリスクとは何か、そしてその結果起きることとは。

ポジティブな面にフォーカスするようにしましょう。なぜなら、セキュリティに関してはあまりにもネガティブに陥りやすい傾向があるからです。ビジネスを実現し、差別化要因ともなりうる、優れたセキュリティについて語りましょう。

2. ハッカーの進化

ハッカーはコンピューターが発明されたときから存在していました。ハッカーという言葉は元来物事をどうやって素早く済ませるかが分かっている人に対して使われていました。その後、「遊び半分に」システムを攻撃する、一般的にはティーンエイジャーに対して使うように用法が急激に変化を遂げました。「スクリプトキディー」(script kiddy)という言葉もコンピュータースクリプトを書き換えていたずらする若者から来ています。ハッカーたちの動機は、利益よりも、むしろ名声や悪評を得ることにありました。あるいは、極めつけの悪意に満ちていることもありました。もっとも、現在では状況は一変してしまいましたが。

今日では「ハッカー」とは、利益を得るためにシステムを攻撃するサイバー犯罪者のことをいうようになりました。ここでいう利益とは、金銭のこともあれば、それ以外のこともあります。ハッキングを手段として強い主張を実現しようとするハクティビストであるかもしれないし、あるいはただ何かを主張したいだけのこともあります。今日のサイバー犯罪者では単独行動は少なくなり、より大きな組織の一部として活動している可能性が高くなっています。

御社を攻撃しようとする様々なタイプの人間の動機について理解することは、ビジネスへのインパクトを防ぐためにどこに優先的に投資すべきかを決定する上で助けとなるでしょう。

3. インサイダー脅威

今日、御社の抱えるサイバー脅威はもはや外からの攻撃だけにはとどまりません。というよりむしろ、内部からのほうが多いのです。インサイダー脅威といっても、悪意を持ったインサイダーとは限りません。通常の社員もミスを犯す故脅威となり得るのです。たとえば、間違った人に情報をうっかり送ってしまうとか、ノートPCを無くしてしまうなどが考えられます。さらに、契約社員、コンサルタント、パートナー企業、サプライヤーや、ときにはお客様でさえ、情報にアクセスする権限を与えられた人たちなら、権限を与えられない人間に情報を渡してしまう可能性もあります。

セキュリティ対策予算は概して外部からの脅威に使われる傾向がありますが、今日は、インサイダー脅威の対応にも同様に考慮しなければなりません。セキュリティソリューションを探す際には、外部からの脅威とインサイダー脅威の両方に対応しているかどうかを考える必要があるのです。

4.なぜソーシャルが悪になりうるのか

今日ではほとんどの人がソーシャルメディアを使っています。実際、御社もお客様や関係者とコミュニケーションを取るのにソーシャルメディアを使っているかもしれません。しかし、これには弊害もあるのです。ある会社のマーケティング部長が会社の機密事項や複数の出来事をツイッターしたことで解雇されたケースがありました。ツイッターで公開した画像のメタデータをもとにロケーションをピンポイントで突き止めたり、バックグラウンドのノートボードにあるシステムパスワードを突き止めたりするのに使われていました。ソーシャルネットワーク情報はフィッシング攻撃に非常に有益だとも言われています。なぜなら、個人のページには何かしら個人的な情報が含まれていることから、受信者に送信者を信じさせてしまうために十分な情報を得ることができるからです。

ソーシャルメディアを使うのであれば、スタッフに対して適切な規定を必ず用意してください。利用規定の一部として追加するか、あるいはソーシャルネットワークやクラウドコラボレーション利用規定として新しく策定することも考えられます。

(2016/11/11掲載)

5.誰が何にアクセスしているのか

情報にアクセスする人の数が多くなれば、情報が悪人の手に落ちる危険もまた増大します。スタッフを無条件に信用している組織もあります。しかし、今日ではそのような考え方は情報セキュリティに対する実際的なアプローチではありません。スノーデン氏やマニング氏のような人が働いていたのは地球上でもっとも高度なセキュリティを持つ部署でした - いえ、彼らが情報を漏洩しようと決心するまでは、そう考えられていました。管理者などの主要なスタッフはアクセスを多く持ちすぎることが往々にしてあります。これを変えるには組織のカルチャーを変えなければなりませんが、それで組織はより安全になるのです。

クラウド、もっと具体的に言いますと、DropBoxのようなクラウドストレージのサイトでは、外部の協力者たちとコラボレーションするのに便利な方法を提供しています。しかしながら、適切な人間だけがアクセスできるように特別に気を配ることが必要です。 - しかもプロジェクト開始直後だけではなく、最後にクローズするまで、プロジェクトライフサイクルを通して警戒を怠ってはなりません。協力会社が自分たちと同じくらい警戒してくれるとは思わないことです。アクセス監査を継続して行う必要があります。

データの隔離計画を導入しましょう。その情報へのアクセスを本当に必要としている人だけにアクセスを与えるようにしましょう。これをファイルサーバーや、SharePointファームにも適用しましょう。クラウドベースのストレージへのアクセスに対して注意深く監査を行います。-アクセス権を持つ協力会社の人たちに対しては、そのアクセスがまだ必要なのかをチェックしてください。 

(2016/11/17掲載)

6.第三者によるリスクは存在するか

簡単に言ってしまえば、「存在します」。次の質問は第三者をどう定義するかです。組織「内部の」コンサルタントや契約社員でしょうか。エドワード スノーデン氏以外は探さなくていいのでしょうか。第三者がデータをプロセスする、つまり御社の代理として情報をプロセスする人もいます。― この場合支払いに関することが多いですが、必ずしもそうとばかりは限りません。過去に起きた大きなデータ侵害事件は、2007年に英国DVLA(イギリス運転免許証交付局)で起きた事件です。実際に情報を失ったのはDVLAではなく、データをプロセスする米国の契約業者でした。誰もその業者の名前は覚えてはいませんが、DVLAの名は覚えています。

社外の誰かに情報をプロセスしてもらったとしても、自社が集めて、保管し、プロセスする情報を保護するのは自社の義務なのです。新しく導入予定のEU規定であるGDPRではこのことがさらに明確にされています。

会社で使っている第三者の業者リストを作成し、そのセキュリティの実践レベルを少なくとも自社と同じレベルになるようにしなけれればなりません。もしセキュリティのレベルが低いならば、業者を変えることを考えるか、その業者のセキュリティレベルを急いで向上させるための計画に業者と一緒に取り組みましょう。

(2016/11/25掲載)

7.フィッシング詐欺犯は情報をどこで見つけるのか

フィッシングEメールに関してはいろいろと耳にしますが、犯人はいったいどこから情報を得るのでしょうか?“スパム”と“フィッシング”の違いは、スパムが何千、何百万件というメールを見境無く送ってよこすのに対して、フィッシングのターゲットは最初から狭く、“スピア フィッシング”にいたっては、たった一人か二人の特定の人物をターゲットにしています。

スパムはほとんどの人が認識するため、フィッシング詐欺犯は個人的メールであるかのように装おうとします。あなたの名前や、おそらく買い物をしたことのある店についての詳細、地理的ロケーションや興味を頂いている対象を使います。こうした情報はどこから取られているのでしょうか – 今、大部分はソーシャルメディアサイトから来ているのです。誰もが閲覧可能な情報があれば、こうした情報は刈り取られ放題なのです。サイバー犯罪者たちは、企業のウェブサイトにある書類からも情報を得ますし、ソーシャルネットワークの友人さえもターゲットにするのです。信用を得るためならなんだって得ます。もし友人を装ってあなたにメールを送りつけるために友人のひとりの個人のEメールアカウントに侵入できるとしたら、彼らはやります。そしてそのようなメールを受け取ったとしたら、あなたはおそらく開封してしまうでしょう。- そして、犯罪者らの狙いは見事に的中し、まんまと侵入されてしまうのです。

ですので、個人的な観点からしますと、Eメールやメッセージは、友人から送信されたものであっても気をつける必要があります。―もし内容や声の調子が少し“変な”感じがしたら、触らないほうがよいでしょう。- “今これ送った?”とメール返信し、もしお友達のアカウントが乗っ取られていたとしたら - 返信してくるのはなんとサイバー犯罪者なのです! 企業の観点からしますと、ソーシャルメッセージに関するポリシーを作成するようにしてください。― そして、社員には、あまり多くの情報を与え過ぎないことです。多くの行政部署では、職員にそこで働いているという事実、建物や同僚の写真などを公表しないようにしています。他の組織からすると極端に思えるかもしれませんが、起こらないとは限りません。- すべてはリスクを減らすためなのです。ビジネスリスクを減らすこと、と同時に個人のリスクも減らさなければなりません。

情報をアップする前によくよく考えるようにしましょう。

(2016/12/2掲載)

8.新しい働き方

ワードプロセッサーが使われ始めた頃には、やがてペーパーレスのオフィスが到来すると思われていましたが、いまだに実現していません。PCのワードプロセッサーが出現した時には手紙をタイプする人が増えるだろうと思われていました…人々の働き方は変わりました。そして、もちろん今後も変化し続けます。現在コラボレーションはビジネスのカギとなるものです。クラウドのコラボレーションツールを使って他の人たちと働く、お客様とソーシャルメディアを通じてコミュニケーションを取る、動画の台頭 – 日々のビジネスへのアプローチの仕方そのものがまったく変わりました。しかし、どのような新しい働き方が出てこようとも、新しいリスクを呼び込むことになります。- そして、こうしたリスクの評価を行い、リスクがあると判断されたら適切に緩和する措置を講じることが必要なのです。

現在人々や業務が抱えている課題は、何が起きているかを一番最後まで知らされない部署がITだということです。- そしてこのことがさらにリスクを増大させているのです。

IT部門は人がどのような働き方をしているか、何の情報がどのようにシェアされているかに注目する必要があります。人事部門はIT部門と共同で新しい働き方の実践をカバーするポリシーが常に更新されているようにしなければなりません。さらにリスクの緩和という面では、IT部門は業務の助けになる新しいテクノロジーの知識に通じていなければなりません。トレンドに精通しているかどうかはそれほど重要ではありません。

(2016/12/9掲載)

9.フィッシング、ランサムウェアとのかかわり

ランサムウェアはおそらくマルウェアの中でもっとも陰湿で姑息なものでしょう。これはハードディスクのデータを暗号化してしまう極めて小さなプログラムで、それを解読するためにお金を支払う“チャンス”をあげましょうといってくるのです。当初は個人をターゲットとしていましたが、今やもっと大きな支払い能力を持つ、より大きな組織をねらうのに使われます。一度ランサムウェアが進入すると、他の人がひっかかることを期待しながらネットワーク共有に対しても自身をコピーし続け、やがてすべてを暗号化してしまいます。 ― ローカルドライブだけにとどまらず、ネットワークや、クラウドのドライブまでをも。

ランサムウェアは通常、一見無害に見える書類を通して送りつけられるメカニズムになっています。― そして書類を開けると、マルウェアが実行されるようになっています。フィッシング攻撃は一人か二人の個人をターゲットにします。書類を開けるか、信頼の置けるサイトから書類をダウンロードすると、プロセスが開始されるように仕組まれています。

一番多くみられるタイプの書類は職務明細書、採用通知、履歴書です。求人中の人は多く存在するため、こうしたタイトルのメールが受信ボックスに届いても不思議ではありません。-ですが、ひとたび開封してしまうとその結果は計り知れないほど悲惨なものとなります。医療機関の重要情報が暗号化(アクセスという観点では、紛失)されてしまったため、システムのクリーニングと復元作業の間に何日も閉鎖されたこともありました。

似たようなランサムウェアを減らす鍵となるのは教育と認知です。全従業員に対して脅威を理解させ、万一感染したと思われたら誰に知らせたらいいのかを周知させておかなければなりません。

(2016/12/16掲載)

10.悪い奴を見つけるふるまい解析

ふるまい解析はセキュリティにおける次の目玉であるとか特効薬であるというようなことが多く書かれて来ました。要するに、ふるまい解析とは通信されている情報の現在の状態をモニターし、異常を見つけることです。そのアイディアとは、損害が発生する前に異常、とりわけ悪意あるインサイダーの異常に気付くというものです。この分野での研究は実際まだ始まったばかりなのですが、将来的にはふるまい解析は攻撃を防ぐための武器のとなることは疑いようがありません。とはいえ、武器の一部にすぎません。― 今あるものを含め、それ以外のソリューションも引き続き必要なのです。悪意を持ったインサイダーはデータ侵害事件の原因のほんの一部でしかなく、保護されるべきはミスを犯してしまう善意の従業員です。

新しいテクノロジーソリューションから目を離さないようにしましょう。しかし、古いもの忘れてはなりません…. “多重防御”とも、”人間の強さは、その中の最も弱いつながりによって決まる”とも言います。既存環境を増補する新しいソリューションに目を向けましょう - 次世代の製品が既存の製品に取って替われるかもしれませんが、ひとつあればすべてを一気に解決してしまうような特効薬などは存在しないのです。

(2016/12/21掲載)

第2章 プロセス編 へ

第3章 テクノロジー編 へ

バンカー博士のセキュリティ講座 トップページへ戻る

関連資料 ホワイトペーパー サイバーセキュリティ侵害に備える 転ばぬ先の杖