本日の仕事術はこれからのITセキュリティ として、現状を分析し2024年以降にも通用する考え方、施策について整理しました。ITセキュリティを人的、物理的、技術的の3つの側面に分けて記述します。
ITセキュリティ
■人的セキュリティ
情報を取り扱うすべての人に関するセキュリティ。情報機器の紛失、誤操作・誤設定、確認不足といった不注意の防止から、機密情報を持ち出すような悪意を持った不正行為の対策まで守備範囲はかなり広い。従来は人事領域とされてきた契約、規則、規定を守らせるための抑止を個人の良識に頼るのではなくITを用いて対策することも必要になってきている。
さらに進んだセキュリティを目指すうえで、ちょっとした変化や違和感に気付き、周囲の同僚・家族に相談したり、IT管理者に報告するように教育することが重要である。例えば、不審なメール、不正なWeb広告、警告表示といったものを見つけたときに、画面の表示に従うのではなく、これは何か怪しいと気付くこと、報告・相談することで自分自身も組織も守れる。
テクニカル・サポート詐欺の被害が急増していて、注意喚起をしても止まらないのは既存の仕組みと利用者の行動を悪用しているからだと私はみている。利用者はコンピューターの表示に従って操作することに慣らされていること、頻繁にアップデートするように繰り返し指示をされそれを実行していること、エラー時を含めPCの操作を周囲に聞かずに一人で対応して当然の雰囲気になっていることを指摘したい。
これからのセキュリティ施策として、最新化の指示、注意喚起、禁止の文化の3つから卒業したい。最新化の指示とはOSやアプリのバージョン管理や最新化はIT部門が全責任をもちエンドユーザを煩わさないようにしたい。Windows Updateの適用やDefenderなどはエンドユーザに見せないようにしたい。セキュリティ事故やサイバー攻撃についての注意喚起をしてエンドユーザーに気を付けてもらうのではなく防止措置をITで実現したい。禁止の文化とは従業員教育を通じて、人の性善説に依存し禁止ルールで縛ることについてである。人手不足からまだらな賃上げが始まると人材流動化が進み、転職先にUSBメモリにダウンロードした名簿や設計図を持ち出すような内部犯行が増えることが予想される。
こうした現在のサイバーセキュリティの情勢下では組織の全要員(IT部門以外)には日常の業務においてSMS、メールやWebの表示によってITのアクションを起させないようにすることを志向していくべき である。ITのアクションとは通常の業務以外のOSやアプリのアップデート、設定の変更、認証情報入力といった利用者によるデバイスの操作のことを指す。ソーシャルエンジニアリングやフィッシング詐欺の手口では「不正防止のために認証情報を再確認する」と言ってその入力ID・パスワードや暗証番号を搾取するのが常套手段である。顔認証、指紋認証、パスキー、セキュリティーキーのような個人の特定方法を採用し、IDやパスワードの入力を極力させない。また、騙される可能性を軽減するための方法の一つとして社内の全てのeメールはテキストのみとし、リンク・URLは記載しない 。社内広報やマーケティングではHTMLメールを使いたがるだろうがエンタープライズアプリケーションへの統合とeメール全廃の方向で説得すべきである。ロゴやアイコンで装飾することに慣れると不正に複製されたものであってもそれが真正なものと誤認しやすい。デジタルデータであるから1ビットも違わずに正規のロゴを流用できるから、不審なメールかどうかを見分けるというのはそもそも間違いである。未だに標的型攻撃メールの訓練などをしているようでは周回遅れである。業務において連絡、タスク管理などを雑多な無料アプリに依存するのではなく、エンタープライズアプリケーションに統合することでリスクを軽減できる。
なお、各種Web広告経由の脅威に対しては広告拒否ツール(アドブロック)が多少の効果があると推測するが、フィッシングサイトの誘導方法にはさまざまな手口があるため十分とは言えない。現在のインターネットの発展は閲覧無料、広告による収益回収のビジネスモデルに支えられており、そうしたWebサイトの利用制限や規約違反につながる恐れがある。Webサービスで広告非表示を有償サービスとして提供している場合、アドブロックを使用してそのWebサービスを利用すると不正利用とみなされトラブルになるかもしれないということである。組織の保有しているIPアドレスからのアクセスや組織の名義やeメールアドレスを使ってユーザ登録していたら後日、広告非表示サービス利用料の請求や支払い拒否から訴訟へ発展するかもしれない。Web広告関連事業はCookie規制によって収益が低下することが予想されており、厳しい措置を取ってくるのではないか。
■物理的セキュリティ
情報を扱う場所や端末機器、通信機器、回線、サーバーに関するセキュリティ。データセンター事業者やクラウドサービス事業者の提供サービスを利用する場合には自社の責任範囲について把握しておくとともに、より優れた事業者の利用を検討しておく。
可用性を重視する場合には機能レベルで2系統以上に分けるアーキテクチャーを採用する。機器は多重化し、予備系統をもち、交換修繕用の予備機を保有する。利益(コスト)を重視する場合には、主力事業に関するものへ重点投資し、それ以外はリスクを許容して問題が起きたときには切り捨てる。例えばシステム障害発生後、復旧せずに製造停止やサービス終了するような形になる。
■技術的セキュリティ
ソフトウェア(ファームウェア、OS、アプリケーション)、ハードウェア、運用におけるセキュリティ対策。認証・認可のロジック、権限設定、情報保護、秘匿化、暗号化、暗号化、監視・検知など。付加的な技術はそれ自体が脆弱性を増やすことになったり、単一障害点になるので慎重にすべきである。導入には技術の優位性だけではなく、提供元の信頼性(バックグラウンド)、ライフサイクル全般について考慮を怠らないようにすべきである。技術コンサルタントは営業活動のために製品導入をしたがるし、技術者は興味本位で先端技術を導入したがる傾向が強い。本業の事業活動にフィットしない技術の導入は避けなければならない。
二つ例示しておく。一つ目はデータ活用。データサイエンスは統計学に情報工学などの手法を組み合わせて大規模なデータから有益な知見を引き出そうとするアプローチであるが第三者へデータを提供して分析結果を得る過程で情報漏洩を生じやすい。自社しか持たない貴重なデータから有益な知見が得られたとしてその結果がAIサービスに利用されてしまうかもしれない。データ活用は内製化してスタンドアロン環境で手法を適用すべきであろう。つまり、ビックデータ、機械学習エンジンとクラウドサービスと連携させて、その組み合わせで新発見をしたり、経営判断ができるようになるというのは幻想かもしれない。
二つ目はOSS活用。ソフトウェアのソースコードを公開し、原則的に改良や再配布が許可されているソフトウェアをオープン・ソース・ソフトウェアという。IT企業がOSSを活用してスマホアプリやWebサービスを展開している事例を見聞きして、自社でも取り入れようとするケースが非常に多い。OSSを組み合わせてシステムやアプリ開発の内製化を気取っている組織は非常に危険である。ソースコードが公開されているからと言って、コードレビューやセキュリティを精査せずに組み合わせてとりあえず動くものを作ってしまう。そうしたレベルの組織では組み込んでいるOSSの管理もしないので古いOSSや保守されないOSSを使ってしまう。業務委託や転職組に任せているとOSSに脆弱性が見つかっても改修できないということも起きる。なお、OSSすら自分で選ばずにノーコードでアプリが作れるクラウドサービスやITツールを持てはやす傾向があるが管理不全に陥りやすいので留意しておくこと。DX、自動化や業務改善で非IT部門にノーコード開発を放任していると組み込まれているOSSが分からず、所定のログも記録できないのでIT部門はセキュリティ事故にすら気付かない。各部門の業務も先に述べたエンタープライズアプリケーションに組み込んで統合して管理していく。
これからのITセキュリティのポイント
・IT部門はエンドユーザーの手を煩わせない、余計な表示をしない
・エンドユーザーはネット上に何かいいものがあると思わない、ITツールを探さない
以上、仕事術 これからのITセキュリティでした。
