科学的に対策しないことが間違い
――本書『間違いだらけのサイバーセキュリティ対策』はタイトルが印象的です。最初に日本年金機構の個人情報流出が事例として挙げられていますが、国内企業や官公庁のセキュリティ対策は本当に間違いだらけなのですか?
香山:サイバー攻撃による情報セキュリティの被害という観点では、旅行会社の子会社から800万人近い個人情報が流出した可能性があるというインシデントがあります。日本年金機構もそうでしたが、どちらもマルウェアが仕込まれたメールの添付ファイルを開いたことで感染し、被害が拡大した旨の報道がありました。
そこで日本中のいろんな組織が行った対策は、「怪しいメールを開かないようにする」というメール開封訓練です。この対策の意義は賛否あります。この訓練によって、何かあったときの連絡体制を改めて再確認ができたというような観点では意義があると思いますが、これがサイバー攻撃への特効薬とか定番のように思われているとすれば、やはり間違いと言わざるをえません。
また、文部科学省ではメールソフトの操作ミスで異動人事案が全職員に送付されたというインシデントがありました。
「間違いだらけ」という主張の背景には、セキュリティ対策とはサイバーセキュリティ対策だけではないということをお伝えしたいこともあります。
メールの開封訓練とは、外部からの攻撃を目的としたメールの取り扱いについての対策ですが、内部から送信する際に気をつけることや注意喚起が疎かになっていないでしょうか。
間違いだらけのセキュリティ対策とは、「全体感が乏しいこと」と、人によって結果が異なるような対策、つまり「科学的に対応しているとは思えないこと」の二つがあると考えています。
文部科学省のインシデントは言うまでもなくサイバー攻撃ではなく、いわゆるうっかりミスです。脅威の分類では偶発的脅威と呼ばれるものです。
サイバー攻撃は意図的脅威、つまり人が意図をもって(たいていの場合は悪意をもって)外部から攻撃を仕掛けたり、内部で不正を働いたりするものですが、それ以外にも偶発的脅威によっても情報セキュリティが脅かされることがあるのです。
こうした状況に対して科学的に対策しないことが間違い、とわたしは考えています。
香山哲司さん:日本マイクロソフト
エンタープレイズサービス シニアプレミアフィールドエンジニア
CISSP、公認情報セキュリティ監査人
一つの対策が失敗したらそれで終わり、ではいけない
――なぜ防御する側は的確に対策できないのでしょうか。
香山:メールを誤送信しないという大目標は、どんな組織であっても同じだと思います。同様に、ウイルス感染しないようにするという目標も間違いどころか、正しい目標です。問題は、その対策がうまくいかなかったとき――次の一手があまり考えられていないということです。
つまり、「メールを誤送信してもなお安全」「ウイルス感染してもなお被害が全体に及ばないようにする」といった検討や実装が足りないのです。信頼性設計で出てくる用語ですが、フェイルセーフ――失敗しても安全側に倒れるといった考え方が欠如していると思います。
やり玉にあげて申し訳ないのですが、文部科学省では機微な情報は今後紙にするという再発防止策を取るとしていました。これは合理的とは思えません。紙もコピーされますし、誰が見たかわからなくなります。せっかくIT化、デジタル化したメリットを捨て去るわけです。十分に検討したとは考えにくいですよね。
では、メールの誤送信対策はどうすればいいのか。人間はミスをするものなので、誤送信ゼロを目指すのは現実的ではありません。人は1から100までならたいてい間違えずに数え上げることができるようですが、1000まで数えるとなると言い間違えが出るようです。人間の信頼性はそんなものなのです。
個人差はあるでしょうが、1年365日のうち250日余り仕事をしていれば、何回かうっかりミスすると思っていいでしょう。うっかりミスしない人は、よほど慎重な人か、仕事してないのかどちらかで、後者は別の意味で問題ですね(笑)。
対策の具体例を紹介しましょう。メールソフトの機能に依存しますが、メール送信の遅延設定などが有効です。送信ボタンをクリックしても直ちにメール送信されることを避けて、1、2分は送信トレイに留まる状況を作る。万が一、宛先を間違えたままうっかり送信ボタンをクリックしても、その時間内であれば取り消せるようにするわけです。地味ですが、有効な対策になります。実際、マイクロソフトでもそのようにしています。
また、メールにファイルを添付するのではなく、ファイルの保存場所(ファイルサーバーやポータルサイト)のURL――Windowsのファイルサーバーの環境なら ¥¥fileserver¥人事部¥人事案¥2017年度案.xlsx ――といった形式で送りましょう。
これで、万一誤送信しても全職員がファイルにアクセスするということにはならないのではないでしょうか。人事部の管理職の人だけがアクセスできるように、ファイルサーバーの共有フォルダーのアクセス権がきちんと設定されているという前提ではありますが……。
この2つの対策は連携することでフェイルセーフになります。つまり、メールの遅延設定でうっかりミスに気付く時間を設けることができ、もしその時間に間に合わず送信されてしまったら、今度はファイルサーバーの共有フォルダーのアクセス権で制御される。ひとつの対策がダメでも次の対策がそれをカバーする、メール送信のようなごく日常的なことでもフェイルセーフを考慮した多層的な対策ができるのです。
整理すると、攻撃側は攻撃ツールが期待した動きをせず失敗したら次のツール、それが動かないときは次のツール、と波状攻撃を仕掛けてくるのに対して、防御側は一つの対策が失敗したらそれで終わり、ということが多いのではないでしょうか。
多層防御は掛け声ではよく聞きますが、実装する段階になるとちっとも多層的になっていないのです。
裸の王様のようなセキュリティ
――では、どういう点が間違っているのでしょうか。 問題回避型・目的志向型セキュリティについて教えてください。
香山:本書のカバーに「根本原因に対応しない限り、本質的な解決にならない!」と記載しているとおりです。
ISOやJISの情報セキュリティの定義を持ち出すまでもなく、許可されていない人が情報にアクセスできるから、それを削除したり、書き換えたり、コピーつまり流出させたり、不正に暗号をかけて読めなくされるわけですよね。
セキュリティインシデントは、このようにアクセス制御が崩壊して情報セキュリティの特性が維持できなくなる場合がほとんどです。
佐賀県の学校教育ネットワークのインシデントは、聞き取り調査から、生徒一人が学習用タブレットに偽の入力画面を表示し、画面に問題があると担当教師に嘘をつき、管理者用ID、パスワードを入力させていたことがわかったようです。このように不正にIDとパスワードを盗み、アクセス制御が崩れて情報漏洩しました。
これは対面で行われたと考えられますが、インターネット越しの遠隔によるものと本質的には大きな違いはありません。対面か遠隔かの違いだけで、結局は確実な本人確認ができていないから不正アクセスされてしまうのです。
本書では目的志向型のセキュリティを提唱しています。目的志向とは、まさにちゃんと本人を確認しアクセス制御を正しく実現するという目的を維持しようということです。
ウイルス対策ソフトでは検出できないウイルスを別の手法で検出したり、不正な通信を遮断したりする対策を否定はしません。が、それは本人確認が徹底できなかったという根本原因に至る前、あるいは至った後の望ましくない状況への対策なのです。
逆に、よく取り上げられるのが問題回避型のセキュリティです。これはくさいものにはふたをするような対策です。
情報漏洩が心配だからUSBメモリ利用禁止。PCの持ち出し禁止。インターネット閲覧禁止。クラウド禁止。日本のホワイトカラーの生産性が低い理由の一つは、情報セキュリティの目的を履き違えているとことにあるのではと思うほどです。もちろん影響度を考慮した上で特に重要なものには禁止策が必要なケースがありますが、一律になんでも禁止策を適用するのも間違いと考えます。
そろそろ誰か、声を大にしていわなければいけません。「王様! 裸ですよ」と(笑)。
情報セキュリティを加点主義にして評価しよう
――具体的にはどういう立場の人がどうすればいいのでしょうか。
香山:Active Directoryを始め、組織にとって重要なサーバーを運用する人なら、運用操作する端末を専用化し、サーバーの運用操作以外はしないでください。できれば、その端末はWindows10にし、メールの送受信やインターネット閲覧を不可にし、また運用操作に必要のないアプリケーションはインストールしないようにしましょう。
クライアント端末の展開や運用を担当している人なら、ローカル認証とネットワーク認証の違いを理解し、パスワードのポリシーの見直しとどうやって実装するかを計画してください。また、パスワードだけの認証でいいのかも合わせて検討したほうがいいですね。
セキュリティポリシーの見直しやセキュリティ監査を主な仕事にしている人なら、サイバーセキュリティのような意図的脅威への対策だけに偏らず、うっかりミスのような偶発的脅威、地震や火災、風水害などの環境的脅威が2017年の現在にふさわしい対策や準備ができているか再確認してください。
アプリケーションを開発する人であれば、何でも管理者権限でないと動かない作りになっていないか、最小特権の原則を理解してアプリケーションの開発をしてください。
これに加えて、人を評価する立場の人やその制度を設計する人は情報セキュリティに関して減点主義ではなく、加点主義にするような仕組みに変えてほしいと思います。「無事に安定運用していることが当たり前ではないこと」を示すためにも、実績を数値化するなど客観的な指標の導入が重要だと思います。
防御側が不利である根底には、情報セキュリティを担当しても事故が起こったらお叱りを受け、無事に安定運用していても評価されない傾向があり、モチベーションが必ずしも高くないことも一因として考えられます。
冒頭に多層防御が大事と申し上げましたが、特定の人の頑張りだけで解決できるものではないのです。
セキュリティはサーバールームだけの課題ではなくなった
――本書を読んだあと、まずすべきことは何でしょうか。
香山:半分冗談で半分本気ですが、すぐにWindows10にしてください(笑)。
この質問は今までの質問に比べると、あまりよくない質問です。池上彰さんの「いい質問ですね」の逆ですね(笑)。本書で挙げている対策は、個別に行うべきではないからです。
急いては事を仕損じるのとおり、まず自分の組織の弱点がどこにあるのかを特定しましょう。一般的にはリスクアセスメントと呼ばれています。
組織によってその規模や対策にかけるコスト、人的な体制も異なります。そのため、すべての弱点に対策できないというのが現実のはずです。だからこそ、一番効き目がある対策はどれか、特定するために弱点を洗い出すことが大事なのです。
――本書を読んで「まずいかも」と思っても、慌てて個別対策しようとしてはいけないということですね。そうしたメッセージをどんな方に届けたいですか?
香山:本書の「おわりに」で、「古くて新しい情報セキュリティの教科書として読んでいただきたい」と書きました。あまりセキュリティに関する知識がない人にも読みやすいことを意識したからです。
もちろん、第一線の現場でITの構築やセキュリティ強化を担当している人にも読んでもらいたいですが、それにとどまらず、できれば組織の幹部、またこれから社会に出てIT分野の仕事に従事したいという若い方にも幅広く読んでもらいたいと思います。
情報セキュリティは、体系立てて教育されることが少ない分野です。セキュリティを担当する人は他の業務と兼務になっていることが多く、実際多忙です。
また、幹部やマネージャーも様々なセキュリティ事故のセンセーショナルなニュースに翻弄されている傾向があります。「セキュリティはサーバールームの課題から役員室の課題に」と言われるように、一部の専門家に任せておくだけの時代ではなくなってきています。ほとんどの産業において、ITとビジネスが切っても切れない関係になってきているからです。
そして、これから新しく社会に出てIT分野の仕事に従事したい人は、AIやIoTなど成長が期待されている分野に興味があるかもしれません。本書ではどういう時代になっても必要な普遍的な知識もコンパクトにまとめました。基礎的なことをしっかり理解しておけば応用できますし、きっとお役に立つと思います。
