パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #06/「自動化」がより堅牢な システムの構築につながる~人為的ミスを最大限に排除するという視点~

A(I 人工知能)が進化することで人為的なミスやトラブルが発生しないシステム運用ができるとするならば、セキュリティ対策への貢献度は大きいであろう。しかし、実際には何を学習させ、その学習データをどこから調達するのかなどを考えると、セキュリティ対策にAIを活用することは容易であるとは言い難い。情報セキュリティ対策を講じる上で、人手を介さずに「自動」で実行できるようにすることが、人為的なミスの防止にどれほど有効なものなのか、その視点で考察する。

f:id:sky-pca:20191020115559p:plain

「人」を介することで生まれる潜在的リスク

人間はどんなに注意をしていても、時としてミスを犯してしまう。「完全」とか「絶対」といったものを人間の所作に求めることは難しい。そのため、人が介在するものについてはその安全を確保するために、一人1回のチェックではなく、複数の手法や人員によるダブルチェック、クロスチェックを行い、ミスや事故を防止するための対策を講じる必要がある。しかし、それでもミスをしてしまう場合もある。ルーティン作業であるが故に、しっかりとチェックしているつもりでも、「否」のものをつい「可」と判断して作業を継続してしまう、ということは誰にでも起こり得る潜在的リスクと言える。

また、その日の体調や気分、仕事へのモチベーションなどのさまざまな要因が、人の行動や判断に何らかの影響を与えてしまうこともある。そのまま意図しない方向へ物事が進んでしまい、結果として情報漏洩などのセキュリティ事故へと発展してしまう可能性は、「絶対にない」とは言い切れないであろう。

標的型攻撃が脅威となる以前、情報漏洩事故の原因としては人為的なオペレーションミスが多かったが、現在でも「うっかりミス」による情報漏洩はなくなっていない。そんなリスクを軽減または排除してくれるのが、ソフトウェア(管理ツール)である。ソフトウェアは不具合が起きない限り、命令されたことしか実行しない。というより、命令されたこと以外は「絶対」にしない。まして、天候や気分が動作に影響を及ぼすこともあり得ない。あらかじめソフトウェアに命令(設定)をしておくことで、適切な処置を完全かつ確実に施すことが可能となる。しかも、人の手を介さずに、「自動」でやってくれるのである。この「自動」こそが、人為的なミスをなくすための有効な機能であり、視点であると言える。あるべき状態を常に維持できれば、そこは「完全」なるセーフティゾーンとなるであろう。

「自動化」によって情報セキュリティを担保する

O Sやアプリケーションを常に最新の状態にしておくことは、セキュリティを担保する上では不可欠である。そのためにも、更新プログラムに関する情報を自動的に取得し、最新バージョンを速やかに適用する仕組みを用意することが適切な処置と言える。もし、自身が使用しているOSの情報を情報システム部門へ提供し、情報システム部門が更新情報を基にアップデートの判断をした上で、指示をもらってから適用を行う、といった人為的な運用をしているとするならば、そこに安全が担保されているとは言い難い。

同様に、外付けデバイスを利用する際にデータは暗号化してからデバイスに保存をするというルールを策定していても、うっかり暗号化を忘れて保存してしまったり、急いでいたがためにそのままコピーしてしまう、といった行為が可能な状態であれば、暗号化ツールを導入している意義も半減してしまう。許可されたデバイス以外は使用不可とし、コピー時にはデータが自動的に暗号化されるという仕組みがあれば、人為的なミスによる情報漏洩リスクは回避できる。「SKYSEA Client View」のVer.14では、このような環境の構築をサポートするような、外付けデバイスとファイルの自動暗号化機能が、従来よりも強化された形で実装されている。Windows 10やUSBデバイスなどの「ツール」を導入するだけではなく、それらの機能が自動的に、有効に働く環境を構築するという視点が重要となってくる。そのため、「SKYSEA Client View」などほかのツールとの連携は運用者にメリットが大きいと言える。

f:id:sky-pca:20191014124901p:plain

2019年4月、米国政府機関が企業に対して求めるセキュリティのガイドラインである、「NIST(米国立標準技術研究所)SP800-171」相当のセキュリティ対策を要求する新防衛調達基準の試行導入を行う動きが日本でもあった。まだ具体的な動きというよりは、政府関連の事業をしている企業・団体にとって喫緊の課題ということになっているようであるが、CI(Classifi ed Information:政府の機密情報)と密接な関係性がある企業・団体には「NIST SP 800-171」よりもさらに要求が厳しいとされる「NIST SP800-53」への準拠が必要となる。

パスワードの設定においても「NIST SP 800-171」ではパスワードを割り当てる(設定する)ことにとどまっているが、「NIST SP 800-53」ではより強固なパスワードを用いることが要求されている。さらに、退職した社員の情報については、「NIST SP 800-171」では手作業で削除することで準拠されたという認識になるが、「NIST SP 800-53」では「自動的に」削除されることが求められている。つまり、人間による作業に頼るよりも、何らかの手段を用いて目的とする状態を「自動」で維持できる環境を有していることが、より強固なセキュリティ対策を施していると認定されるということになる。

A Iの進歩により人の手を必要としない仕事が多くなるのではないか……と言われているが、決められたことを確実に実行できるという視点では人間が得意とする「創造性」を支えるパートナーとして、AIや自動化といったテクノロジーを受け入れることで相乗効果が期待できるのではないだろうか。

第7回/増員で高まる 情報セキュリティリスク~セキュリティ意識の高低差と人の心理~

 

インフォフラッグ株式会社 代表取締役:神戸 仁

クライアント管理ツールメーカー勤務を経て、2008年にインフォフラッグ株式会社を設立。IT関連企業の新規ビジネス企画、マーケティング戦略策定等のコンサルティングを行う。また企画だけではなく実動部隊を育成する社員教育(新入社員から幹部教育)事業にも注力。その傍らで、長年従事しているITに関わる講演活動および執筆活動を精力的に行っている。