「情報セキュリティガバナンスを考える」　SCOPE NET Vol.41 2006 SUMMER : SCOPE

大金が落ちていたらどうするか？

　最初に簡単な質問をします。【見知らぬ所にお金が落ちていました。周囲には誰もいません。拾って自分の懐に入れても見つかる可能性はゼロだと考えた場合、皆さんならどうしますか？　1. 拾って警察に届ける。2. 自分の懐に入れる。3. 無視する。】例えば、2億円ならばどうするかを考えていただきたいと思います（図－1）。私でしたら、1、2％の確率で懐に入れる可能性があると思います。2億円でしたら、おそらく一生暮らしていけるのではないでしょうか。情報セキュリティを考える上で重要な問題だと思っています。

図―１

　460万人分のデータ漏洩を起こした某ＩＴ企業の社長が、「いままで性善説でやってきたが、今後は性悪説でやる」と言いました。つまり、社長は一切自分の部下を信じないと言っています。性善説でやってきたから、「マネジメント」を行わなくてよいのか疑問に思っています。
　一方、耐震偽装問題では元一級建築士が、「家内が病気がちで仕事を切られると生活ができなくなる」と言いました。
　人間にはこの元一級建築士のようなケースがたくさんあるのではないでしょうか。このような時に、目の前に2億円が落ちていたら、それを自分の懐に入れてしまう可能性があるのではないでしょうか。
　私は、情報セキュリティは決して性悪説で考えるべきではないと思っています。社員が悪いことをするという前提ではなく、悪いことを無意識にやってしまうことを防ぐことが大きな目的ではないかと思います。
　あるコンビニエンスストアで約56万人分の会員カードの個人情報漏洩がありました。調査では、「弁護士を含む社内外の専門家で調査を行ったが、当社及び小会社に設置してある数台のコンピュータを利用したのは約20名であることがわかったが、最後の一人に絞ることはできなかった」と報告しています。これを反対に考えてください。皆さんが20人の中の一人で、犯罪を犯していないとしたら、どういう気持ちで毎日勤務しているかを、考えたことがあるのでしょうか。きちんとセキュリティを考えていれば、最後の一人まで追跡することができたはずです。そういうことを考えるのがセキュリティだと思います。

本当のセキュリティポリシーとは？

　最近、Winnyに関連するウィルスによる企業・組織からの情報漏洩が、毎日のように報道されています。
　内閣府の情報セキュリティセンターはWinnyを使うなとメッセージを出しましたが、なぜWinnyを使っただけで情報が漏れたのかをもう少し考える必要があります。
　原因の一つは、情報漏洩したPCにワクチンソフトなどのウィルス対策用ソフトを導入していたかということです。このようなソフトにはプログラムの他にウィルスを探すためのパターンファイルがあります。一般的にパターンファイルは自動更新の状況にしてありますので、新しいウィルスが出ても遅くとも１日で更新されて、すぐに対応できるようになっています。そういう処置をしていたかということです。ほとんどのケースではやっていなかったのではないでしょうか。
　すべての中央官庁はセキュリティポリシーを少なくとも2000～02年までにつくったはずです。一度、皆さんのところのセキュリティポリシーにどういうことが書いてあるかを聞いてみると、実情がよくわかると思います。
　コンピュータウィルスの届出件数は年々増加傾向にありますが、届出のうち実際に被害を受けたのは約3％程度です。つまり、ウィルスが送られてきたことと、実際に被害を受けたことは別の話です。
　アメリカのセキュリティ調査と同じ内容の調査をやっていますが、コンピュータウィルスに関しては、ワクチンソフトの導入は日本とアメリカもほぼ同じでした。しかし、被害に関しては日本の方が倍くらいありました。つまり、導入しても管理されていないということです。ですから、セキュリティをつくって終わり、ワクチンソフトを導入して終わりということにならないようにする必要があります。
　また、事件・事故があった場合に、同じような問題が自分の企業・組織で起こらないか確認しているでしょうか。これは非常に重要なことです。これは技術ではありません。トップが、ただ一言「同じようなことが自分のところでないか」と聞けばいいだけです。トップが心配していることがわかるだけでも、セキュリティの担当者にしてみれば非常に心強い。そういうことが非常に大切だと思います。

情報漏洩は技術以前の問題？

　昔は侵入者（ハッカー）の知識レベルは非常に高いといわれていましたが、いろいろなツールが出てきて操作が簡単になってきたおかげで、最近では知識レベル自体は低くなったといわれています。
　日本では、まだ攻撃側が防御側よりははるかにレベルが高いという話を聞きます。本当にそうでしょうか。2002年7月、アメリカ大統領重要インフラ保護委員会の副委員長ハワード・シュミットが、インタビューで「アメリカ国防総省が行った2001年の調査では、アメリカ国防総省への攻撃の97～98％はパッチを当てていなかったか、設定ミスだ」と答えています。つまり、侵入者のレベルはそれほど高くない。むしろ、きちんとパッチを当てたり、設定ミスをしなければ、ほとんど侵入できないということです。日本でもある県で侵入テストを行ったけれども入れませんでした。当り前です。きちんとパッチを当てていたらほとんど入れません。ネットワークを管理している方がいましたら、きちんとしたものをつくらせて、それを攻撃できるか試してみるといいかもしれません。おそらくできないでしょう。逆に言うと穴が空いている状態が残っているケースの方が多いということを考える必要があります。攻撃側は360度のどこか1点だけを攻めればいい。防御側は360度考えなければいけないことは事実ですが、実際には360度のいろいろなところに穴が空いている状況にしておいただけだと考えた方がいいと思います。