1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 10周年記念企画 特別対談(前編)~標的型対策は「PDCAサイクル」と「要素分解による問題の単純化」がカギ~

10周年記念企画 特別対談(前編)~標的型対策は「PDCAサイクル」と「要素分解による問題の単純化」がカギ~(2/3)

徳丸:私が気になったのは、漏えいに関する処罰という話で、確かに、情報漏えいの事案があった際に、しかるべき上の立場の人が処罰を受けるのは仕方ないとしても、これから第一線で頑張る現場の担当者レベルまで処罰されるというのに、ちょっと違和感を覚えます。

例えば、重要な情報は基幹系システムに保存して情報系のシステムには保存しないとか、個人情報を含むファイルにはパスワードを設定するとか、こうあるべきだというルールは定められていると思うのですが、ルールに沿って業務ができるかを定期的にチェックできていなかったという問題があると思います。セキュアに運用するという設計ができていなかったのを、いわば現場の運用の頑張りでカバーして、その頑張りが完璧でなかったから処罰するというのはよくないし、今後も問題が起こりうるかもしれないと危惧します。

★ポリシーの設計と定期的なチェック、あわせて人の頑張りでカバーする運用にならないように、仕組みでカバーすることが大事ですね。

徳丸:重要なファイルにパスワードを設定するということについていえば、私は、「パスワードを定期的に変更すること」についてはケースバイケースで効果に差があり、個別の検討が必要と考えています。そして、個人情報を含むファイルのパスワードは定期的に変更した方がいいと考えています。

なぜかというと、組織の場合、業務上、複数の人がパスワードを知っている可能性があり、かつ、異動や退職などで人の出入りがあります。そういう場合には、ファイルに設定したパスワードがずっと同じままというのは安全ではありません。ですから、パスワードは何らかのタイミングで変更する必要があって、最適なタイミングは、担当者に異動があったらすぐに変更することです。

ただし、定期的に変えるとなると、運用がますます大変になるという問題があります。ですから、パスワード変更によって安全性を保つことに依存するのではなく、認証システムなど別の仕組みでカバーできることが望ましいです。

小川:徳丸さんのおっしゃる通り、ファイルのパスワードを一つ一つ人力で設定するのは大変ですし、企業の場合、個人で管理するファイルの数は膨大で、一つのファイルも様々な共有範囲、共有パターンがあり、変更後のパスワードを誰に通知すべきか、という問題もあるため、なかなかこまめにパスワードを変更するのが難しいです。

この点は、Active Directoryと連動したパスワードの定期的な変更や、アクセス権限の設定など、ドキュメント管理のソリューションを、我々SI企業がどんどん提案していくことが大事だと思います。

徳丸 浩氏

★組織として、有事の際に備えた対応という点では、SI企業としてどう考えますか。

小川:確かに、多くの企業でセキュリティのガイドラインは定めているものの、それが運用の細部まで反映されたものでないというのは、今回の事案で浮き彫りになった問題です。ただ、ガイドラインや仕組みですべてまかないきれるかというと、「人」に対する対策というのも大事だと思います。

例えば、標的型攻撃により大規模な情報漏えいが報じられた後、弊社では「標的型攻撃メールの訓練」についてのお問い合せを、数多くいただいています。標的型攻撃は、メールがきっかけになって攻撃が仕掛けられることが多いので、その点の意識を高める対策という意味で、経営の上層部の関心もだいぶ高まってきていると感じます。

また、企業の中には、攻撃のシナリオを作って、実際にシステムをチェックするところもあります。定期的にチェックし、改善していくようなPDCAサイクルを継続していく取り組みも今後重要性を増していくと思います。

:訓練については、標的型攻撃メールを模したものについて、添付ファイルやURLを開いた、開かないといったところにのみフォーカスすることは逆に危険であると思います。業務によってはメールを開かざるを得ない場合もあります。送られてくるメールについてもきれいな日本語で、興味を引く内容、業務に関連しそうな内容のメールが送られてくることがほとんどです。そういった中で開いてしまった場合のことを想定することが重要です。

人の面では、開いてしまったときにどういうアクションを取るべきか、というのは組織内で決まっていると思います。それを正しく行うことができるかという慣れを養い、隠さずしっかりと報告することが大切なのだとシステムの利用者に理解してもらう必要があると思います。

また、システムの面ではそういった方がいてもいち早く検知、対処する仕組みがあるかを改めてチェックしてほしいと思います。敵は外にいるはずですので組織内で混乱することのないよう、実践的な訓練をしていただきたいと考えています。

関連キーワード:

エンドポイントセキュリティ

パスワード

マルウェア

入口対策

出口対策

標的型攻撃

  • 2015年10月のIT総括
  • カテゴリートップへ
  • 10月は「Apple ID」を詐取しようとするフィッシングの報告件数が増加