小俣泰明(タイメイ)ブログ@アルサーガパートナーズ

間違ったセキュリティ対策が日本のIT進化を遅らせる

2014-12-06

日本のIT進化のスピードが落ちている一つの原因はセキュリティポリシーの変更ができなくなっているため。

(2014/12/06時点の記事)

まずこれは、IT化が進んで仕事がなくなっていくことが無いからいいんじゃないか?という話ではありません。

海外のITサービスに奪われていくだけなんです。

個人情報保護法対策という名の元、日本国内では多くのセキュリティ対策商品が売られてきた。
大きなセキュリティ対策の考え方として、イントラネットを守るという考え方のもと

  1. イントラネットへのアクセスを制限する。
  2. イントラネットとインターネットのアクセスを遮断、制限する。

こういった形のセキュリティ対策が行われてきた。

しかし、現状はどうだろう?

重要な情報はインターネット上(クラウド)にあることが多い時代になっている

 

何か情報を調べたい時、社内SNSや社内ファイルサーバーを探しに行くケースというのは少ない。

インターネット上のクラウドサービスや、Webサイトに情報を探しに行くことのほうが多くなっている。

情報には鮮度が重要だから必然的にそうなっていくものだからです。

つまり、重要なデータが社内イントラネット上にあるということが証明出来てない時代にイントラネットへの流入を防ぐことにどれだけの価値があるのだろうか?ということになる。

そして、そのイントラネットを守るためにインターネットの接続性を失う。

また、そのセキュリティポリシーを変更できず(変更する判断が遅れ)クラウドサービスなどの利用ができず、競争力を失っていく。

では今のITに対応したセキュリティ対策には何が必要なのか?

現在のITに必要な3つの工程

  1. セキュリティ教育
  2. 情報の整理:やっぱり情報の階層化(タグ化かもしれない)
  3. 情報へのアクセス方法の決定

 

1.セキュリティ教育

どんなに優れたツールやセキュリティソフトを駆使しても使用者の知識が無ければ、セキュリティ事故は起こる。ツールやセキュリティソフトの検証を各自に行わせるのは性質上無理があるため、ここは教育するしかない。

クラウドサービスを利用するときには特にここが重要。会社の幹部レベルにも教育が必要なため、幹部レベルに対しても教育する体制を作るべき。この勉強会を率先して行おうとしない場合、幹部がIT知識無いことを証明しているようなもの。聞くは一時の恥ですね。

これを怠ってるのが一番の問題

また企業間や従業員と会社はNDA契約があるという事実を全従業員が把握していない。

そもそも取引先の情報を他の部門の人が把握することが無いのでその会社間のNDA契約が締結されていることも把握できるわけが無い。

→基本、IT企業はほとんどの会社がつながっている(NDA契約は締結していると考えたほうがいい)

 

2.情報の整理->セキュリティーレベルの設定

情報が流出するスピードの意識を持つことが重要。情報は伝達が遅くなれば価値は薄まる。

まず情報の拡散スピードが早いもの、そうでないものを認識するべき。

拡散するスピードが早い情報

  • ゴシップネタ
  • 情報そのものがすぐにお金に変わるネタ(メアド付き個人情報など)
  • 話題になる企業情報(新型iPhoneをバーに落としてきた的な)

拡散しそうでしづらい情報

  • 一般人の評価、報酬
  • 一般人の破廉恥画像

破廉恥画像が匿名性の高いサイトで仮に公開される。

これを偶然見た知り合いがこれを拡散するだろうか?
それはしづらい。あくまで匿名性の高いサイトで情報が多少広がるのみにとどまる

自分の破廉恥画像も見られている事を知れなければ恥ずかしがることも無い。
では強姦のような酷い動画だったら?これは許せないと拡散する動機付けがされる。
情報の伝達スピードも結局のところ、モラルなどに依存している。

情報の拡散スピードが早いものはセキュリティ意識をあげるべき情報となる。

(そのため正しく生きる事を自然にしいられることになる。)

情報の鮮度はセキュリティポリシーに大きな要素であるということ・・・つまり

情報の拡散スピード×情報の重要度=セキュリティレベル

この基準をもとに各情報の階層化を行う。

情報の拡散スピードの係数をかけることが重要。これによって企業ごとの情報のセキュリティレベルが変わる。
有名企業であれば、給与情報なども拡散しやすい情報になるためセキュリティレベルはあがる。

 

3.情報への3つのアクセス方法

情報へのアクセスは大きくいうと3つの方法しかない。

  • 特定の合言葉(キーワード)を知っている
  • 個人が特定されている
  • 個人を特定するだけでなく権限まで設定する

多くのクラウドサービスは基本URLのみで実はアクセス出来る。これが合言葉を知っている状態。
※URLがハッシュ化されたURLであるため、特定することは非常に難しい。

いくつかのクラウドサービスでは基本URLに加え、そのサービスへのアカウントを要求するケースがある。
これが特定できている状態。このセキュリティ設定はつまり牽制ということになる。

情報は漏洩するが、アクセス履歴は特定出来ているため犯人特定ができますよ。という牽制による抑止効果を狙う。

最後に、個人特定した後にその個人ごとにアクセス権限をどこまで付与するかという管理を行う形がある。

この最後の形が長く使われてきたのですが・・・・。

自分もActiveDirectoryのコンサルタントをしていたこともあり、このアクセス権限設定運用を推し進めていた一人。

ですがこの運用には多くの運用コストがかかる。また情報共有のスピードが著しく落ちる。

 

この3つのセキュリティポリシーの再設計をすること。

これが今のIT企業に必要なこと。

セキュリティソリューションもITスピードを下げないソリューションの提案を期待したいですね。

 

※今回はあくまでセキュリティの中でも情報管理の部分に特化した話となります。
セキュリティホールやSoftEtherとかWinnyといったツール群への対策という話ではありません。

IT、PC環境セキュリティ