極楽せきゅあブログ

ときどきセキュリティ

事例に学ぶインシデント・レスポンス*1

セキュリティ 連載

第一の事例:ファイル交換ソフトウエアによる漏洩

Winny(ウイニー)という名前のファイル交換ソフトウエアがある。ファイルの交換とは、文字通り「ファイル」を「交換」するわけだが、「交換」するファイルは現在公開中の映画だったり、CDなどからコピーされた音楽だったりするのだ。つまり違法である。そこが大きな問題になっていて、著作権を管理代行する業者や警察などは取り締まりに躍起になっている。
「交換」されているものには大いに問題があるが、「交換」する仕組みはしかし、画期的であるとも言える。
これまで「ファイル」をやり取りする場合には、サーバーと呼ばれる集積所を開設してそこにファイルをためこんで、ファイルが欲しい利用者はそのサーバーにアクセスしてファイルを「ダウンロード」していた。しかし、Winnyに代表されるファイル交換ソフトウエアは、サーバーを必要としないのだ。一つのコンピュータに集積するのではなく、ファイルそのものはファイル交換ソフトウエアを持つコンピュータの「どこか」に存在する形になる。見た目は集積所を作っているのとほとんど何も変わらないが、ファイルの在処はファイル交換用ネットワークの「どこか」になるのだ。
この形にはいろいろなメリットがあるが、最大のメリットでありデメリットでもある点は、ファイルは「どこか」に存在する、即ち「どこにあるのかわからない」ということである。
一つのコンピュータをサーバーとして集積している場合、誰がいつアクセスしてファイルをそこに置いたか、誰かいつどのファイルをダウンロードしたのか、という事実は、サーバーに記録として残っている。それに対して、「どこにあるのかわからない」方式では、「誰が」「いつ」ということはわからないのだ。
そのために、多くのユーザーは「誰かに見られている」という感覚が皆無であり、ごく気軽に違法コピーを行い、ごく気軽に著作権違反のファイルをダウンロードするのである。
このような性質のソフトウエアが、こともあろうに組織内、企業内のネットワークに入っていたというわけだ。それが原因で漏洩につながってしまったのだ。
もっとも、直接の原因はそのファイル交換のネットワーク上で動く新種のウイルスである。ファイル交換ソフトウエアを使ってはいても、さすがに仕事上の重要なファイルを誰でもコピーできるようにしようとする人は居ないだろう。しかし、ウイルスがその代わりをやってくれるのだ。利用者のコンピュータの中にあるファイルを、勝手にファイル交換ソフトウエアのネットワークに乗せて「公開」してしまうのである。
ここまでお読みになればもうおわかりだろう。この事例での原因は、

  1. ファイル交換ソフトウエアのような、どう考えても業務上使う必要が無いソフトウエアを使わせていた
  2. ウイルス対策を怠っていた。あるいは怠っていたメンバーが居た

ということである。
原因がわかれば対策は簡単だ。

  1. 業務上必要無いソフトウエアは使わない。使わせない
  2. ウイルス対策を徹底する

ところが、この対策は実際にはそれほど簡単ではない。いや、それどころかセキュリティ対策のいろいろな側面を検討しなければならないため、難しいとすら言える。
まず、「コンピュータを使ってどのような業務をしているのか」ということをはっきりさせる必要がある。しかし、業務の内容は人それぞれ異なるし、例え業務が同じであっても今度は仕事のやり方が各人いろいろだったりもするはずだ。もしかしたら普通の人が思いつかないようなソフトウエアを入れて仕事の効率を上げているかもしれない。
「業務上必要ではないソフトウエアはAとBとCで、それ以外なら使っても構わない」というルールや基準を作るのであれば、そのような工夫をする余地もあるだろう。ところが、セキュリティのことを少し重めに考えなければならないようなときは、「業務上必須であるソフトウエアはAとBとCで、それ以外は使ってはいけない」というルールを作りたくなる。そういうときは、そのような工夫をする余地はなくなってしまうわけだが、それを会社・組織としてどう捉えて、どのようなルールにするのか決断していかなければならない。そしてこの整理が不十分になると、そこにセキュリティ上のギャップが生まれてしまう可能性があるのだ。これはなかなか厄介な作業と決断であろう。
四苦八苦してルールを定めることができたとしても、次はそのルールがちゃんと守られているかどうかチェックできなければならない。
簡単に「チェック」と言っても、単に抜き打ち検査するような方法から、監視・記録システムやソフトウエアを導入してばっちり監視する方法まで、いろいろな「チェック」がある。さらには、チェックした結果を誰に報告するのか、あるいは社内・組織内全体にに知らせるのか、違反者には罰則を科すのかなど、検討しなければならないことは多い。そして、理想的にはただでさえ忙しい現場に多数の追加手順を強いて反発を招くのではなく、負担を抑えてなおかつ実効あるルールとしたい。
たった一つのルールを作る場合でも、これだけのことを検討し、判断しなければならないのである。
そしてもちろん、そのルールだけではなく、(2)のウイルス対策に関しても、もういちど「徹底」する必要があるだろう。かりに対策していなければ対策しなければならない。
ルールをきっちり守っていればそれで良い、ということではなく、避けがたい人間のミスや未知の脅威などにそなえるためには多重の防御を考える必要があるだろう。


現実の事件はさらに複雑な要素が絡んでいる。同種の事件はいくつか起きているが、中には自宅のパソコンで仕事をしようとしたら、楽しみのために入れていたファイル交換ソフトが漏洩の原因となったというものもある。
自宅で仕事をすることが原因であれば、自宅で仕事をするな、という決定的なルールを定めれば良い。だが、現実に起きた事例の中でもそのようなルールを定めていたケースがあったが、それでもことは起きてしまった。ではなぜ起きてしまったのか?
自宅で仕事をするな、ということをルール化するならば、自宅で仕事をしなくても良いような仕事の振り方をする、というのが前提条件になる。この条件がクリアできないのに、単に「するな」と命じるということは、即ち「ルールでは自宅での仕事を禁ずるが、間に合わなければルールを破ってでも仕事しなさい。ただしあなたのリスクで」ということを意味する。これはどう考えても理不尽であろう。
といって自宅で仕事をしなくても良いようなスケジュール、量で仕事を振る、ということがほんとうに可能だろうか?もちろんそれができれば理想的だが、管理職もそこまでは見切れない、と考える方が現実的であろう。体調や家庭の事情まで承知して仕事を振り、無理なら柔軟に対応する……と言葉で書くのは簡単だが、仮に8割くらい実現できていたとしても、できていない残りの2割が漏洩の原因となってしまったりすることも多い。
ではいったいどうすればいいのだろうか?
対策として考えられるのはおそらく以下のようなものだろう。

  1. 遅くまで残業しても、帰ることができる足を確保する(「時間切れなので続きは家で」への対策)
  2. 残業代をしっかり支払う(「どうせ残業代が出ないのなら家で」への対策)
  3. 作業量を調節し、特定個人に依存しないようにする
  4. そもそも無理があるスケジュールにせず、いろいろ重なって無理が出てきたら増員や延期などで対応する
  5. アクセス制御するソフトウエアなどを使って、ファイルなどを容易に持ち出せないようにする
  6. 家や外出先で、少なくとも重要なファイルを取り扱う仕事をしてはいけない、というルールにする

これらはすべて「家(や外出先、出張先など)で仕事をしなくても良いようにする、あるいは仕事させないための対策である。家や外出先などで仕事をする要因を取り除くのはこれだけ難しいのだ。
ではいっそ、家や外出先で仕事をしても良い、ということにしてしまってはどうだろうか。
そのためには、社内や組織内という、いわば安全に保護されたエリアを出て仕事をするための環境整備が必要だ。それにはやはり、自宅の個人ユースのパソコンなどを使うことはできないだろう。個人の楽しみや趣味の部分でのリソースを業務に使う、ということ自体が自己矛盾しているばかりか、リスクも増えるからだ。
となると、会社のコンピュータを持ち出せるようにしなければならなくなるだろう。それは例えばノートパソコンなどである。
ノートパソコンを持ち出す場合、以下の二点を考える必要がある。

  1. 安心できない環境で使ったとしても安全を確保できるか
  2. 万一紛失した場合でも、中身を読むことは(許容できるレベルで)困難になっているか

このあたりの詳しいことはこの連載の第一回で触れたが、(1)は要するに「動かしている、使っているときのセキュリティ対策」であり、ウイルス対策やパーソナルファイアウォール、OSへのパッチ当て(セキュリティ上の欠陥を補完すること)などのごく基本的な対策をしっかり行うことである。もちろん、使うときのOS上の使用権限を絞り、Winnyに代表されるようなソフトウエアを入れさせないようにしておくことも重要だ。
そして(2)は、ファイルの暗号化などを用いて、たとえハードディスクを取り外されて読み込まれたとしても(この場合、パスワードは意味をなさなくなる)、かなりの時間や手間をかけないと中身が読めない状態にしておくことなどである。
さらに付け加えるならば、

  • ノートパソコンに載せて持ち出しても良い情報と、そうではない情報を選り分ける
  • ノートパソコンを使える人を限定し、利用者として適切なセキュリティの知識を持っていることを前提とする(組織内で偉いかどうかというのとは別にするのが望ましい)

ということも、条件としては必要となるだろう。特に人の面で「持ち出し資格」を設定するというのは、教育的効果や宣伝効果、そして資格が無い人が隠れて持ち出す場合の心理的抑止効果も期待できる。
「会社以外で仕事をさせない、しなくても良いようにする」というのと、「会社以外でもある程度は安全に仕事できるようにする」というのでは、読者のみなさんの会社にはどちらが合っているだろうか?
いずれにしても、単にWinnyに代表されるファイル交換ソフトウエアを使うな、と言うだけではなく、これだけの検討を行うべきであり、その検討が抜けてルールだけを現場に押しつけていたとしても、リスクは十分に低減できないだろう。事例を見るとセキュリティのルールも存在したし、それなりに対策していたケースもあったようだ。しかし、結局のところ漏洩してしまっていて、その原因がルール違反や管理ミスであったということは、検討が足りていない部分があったと言わざるを得ないだろう。