パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #10/令和の時代に備えるべきセキュリティ対策とは?(第1回)

f:id:sky-pca:20191020115621p:plain

 

立命館大学 情報理工学部 セキュリティ・ネットワークコース 教授
京都大学博士(工学):上原 哲太郎

1995年 京都大学大学院工学研究科博士後期課程研究指導認定退学。1996年 京都大学博士(工学)。京都大学大学院工学研究科助手、和歌山大学システム工学部講師、京都大学大学院工学研究科助教授、京都大学学術情報メディアセンター准教授を経て、2011年総務省技官。通信規格と情報セキュリティ政策に従事。2013年より現職。NPO情報セキュリティ研究所理事、NPOデジタルフォレンジック研究会理事。京都府警サイバー犯罪対策テクニカルアドバイザー、和歌山県警サイバー犯罪対策アドバイザー、芦屋市CIO補佐官。

 

f:id:sky-pca:20191020115621p:plain

近年、セキュリティ・バイ・デザインを考慮したシステム構築が推奨されていますが、いまだ現場に浸透していないように感じます。

セキュリティ・バイ・デザインは、情報セキュリティを企画・設計段階から確保するための方策なので、開発の早い段階から対処が必要です。そのため、設計を担うエンジニア側の役割が大きくなりますが、そこには二つの問題があります。一つは、セキュリティを考慮に入れたプログラミングの必要性についての教育を受けた人材が非常に少ないこと。もう一つは、セキュリティを考慮したプログラミングが大切だと理解しているが、それに対応するべきなのは自分が関わるプログラムではなく、ファイアウォールやアンチウイルス製品など、ほかのシステムだと感じていることです。後者の自分の仕事ではないという感覚は、特に問題だと感じています。

f:id:sky-pca:20191025165737p:plain

最近関わった二つのセキュリティインシデントは、どちらもプログラムやシステムを長く使用している間に、想定から外れた使われ方をしていたことに起因していました。そのうちの一つは、閉鎖系のネットワークで使用することを前提としたプログラムだったにもかかわらず、クラウド接続しているなどいくつもの例外措置が発生した結果、インターネットにつながることが常態化してセキュリティ対策が穴だらけになっていました。しかも、プログラムを書いた人や実際に運用している人たちは直接インターネットにつながっていることには気づいておらず、マルウェアに入り込まれ、とんでもない状況に陥って初めて惨状を知ることになりました。もし、セキュリティ・バイ・デザインが取り入れられたシステムであったなら、事前にリスクを想定した対策が施されているので、このような事態は防げていたはずです。新たなシステムの企画・設計段階で、セキュリティ・バイ・デザインを取り入れようと考えたとき、最初の段階ではマニュアルをインターネットで検索されることもあると思いますが、検索結果の上位には「SBDマニュアル(情報システムに係る政府調達におけるセキュリティ要件策定マニュアル)」が出ています。

このマニュアルは、セキュリティ・バイ・デザインで設計する手法ではなく、発注者が受託者に対してセキュリティ・バイ・デザインで作るようお願いするために、NISC(内閣サイバーセキュリティセンター)が作成したものです。もちろん、構築に関係する内容も含まれますが、それを見て、そのとおりにシステムを作れる業者がどれだけあるかというと、現状はかなり難しいと思います。今後、企業・組織がセキュリティの強化を続けていくなかで、セキュアコーディングが何たるかの教育を受けたエンジニアが不足していることは、深刻な課題となってきます。


 

日本の企業・組織の多くは、セキュリティ対策を運用で何とかごまかしていく状況を続けていくのでしょうか?

f:id:sky-pca:20191025165742p:plain

従業員に大量の運用ルールを守ってもらうことで何とか乗り切るタイプの「運用でどうにかする」日本人が得意とするセキュリティ対策は、今後も増えていくと思います。企業・組織のセキュリティにとって、最も大きな脅威である標的型攻撃は「人のミスを狙う」という戦略で成功し続けているわけです。受け取ってはいけないメールが受け取れてしまう、受け取っても開いてはいけないと注意喚起されているメールを開いてしまう。いかに人間のミスを誘うか、攻撃側の巧みな戦略が成功しているのを見るにつけ、メールに関する運用ルールが追加され面倒になっていくのは仕方がないことだと感じます。

しかし、だまされてしまう根本的な原因は、メールの添付ファイルを開くことが多くの従業員の業務フローに含まれていることです。いつまでも従業員の頑張りに頼るセキュリティ対策には無理があり、メールでのファイルのやりとりが必要な業務のやり方を見直したり、メールにファイルを添付できる業務を限定するなどの対策が急務です。攻撃者が、今後もあの手この手で新たな攻撃を仕掛けてくることは間違いありません。

数年前の日本年金機構の事案でも、職員は最初の攻撃ではメールの添付ファイルを開封しませんでした。その後、攻撃者は件名を変えて送信するなどの波状攻撃を仕掛け、4回目の攻撃で成功しています。標的型攻撃は、成功するまで何度でも続けられる恐ろしい攻撃です。

近年、メールの添付ファイルを使った攻撃が最も多い攻撃パターンとなっている現状を考えると、「メールの添付ファイルを原則禁止」することはやむなしと考えています。この話をすると、メールにファイルが添付できなくなったら仕事にならないと言われますが、そもそもそうしないと仕事にならない業務の運用自体を見直せばいいのではないでしょうか。その上でどうしてもメールへのファイル添付が必要な業務があれば、許可する場合のセキュリティはどのように担保するのかをセットで提示していかなければなりません。

セキュリティ対策の強化は、綿密な業務設計の上に成り立ちます。しかし、そこまでして対策を強化しても、五月雨にやって来る現場からの要望にその都度応えていれば、メールにファイルが添付されていることが当たり前の状況となり、結局怪しい添付ファイルも開いてしまう穴だらけの対策になるのは当然のことです。添付ファイルを安易に開いてはいけないことの本質は、誰から送られてきたかを厳密に確かめるすべがないことです。今後、セキュリティが不確かなメールには頼らず、受信者が送信者をしっかりと確認できる仕組みを構築し運用していけるようになれば、かなりセキュアな世の中になっていくはずです。

このところ、ファイル共有サービスを利用する企業・組織が増えていますが、メールよりもセキュアであることは間違いないので、取引先等とネゴシエーションが取れるのであれば、そちらを使用していくべきだと思います。ただ、送る側、受け取る側が共に安心して使うためには、もう少しサービス提供側に工夫してもらうことが必要だと感じています。

例えば、この会社はこのサービスを使ってファイルを送っているということが、メッセージの最初に自動で入ったり、URLに送信元の企業名が入るなど、もう一歩踏み込んだサービスが提供されることを期待しています。

第11回/令和の時代に備えるべきセキュリティ対策とは?(第2回)