セキュリティで何を守るべきか

no extension

前回の読書録と若干かぶるのだが

「PCやUSBの持ち出しの禁止は、ファイアウォールが明確に外部ネットワークと内部ネットワークを分離されており、Good man IN, Bad man OUTである事を前提としている。 しかし、ITの利用形態の多様化により、このような単純なモデルでは実態を捉えにくくなっている。 特に、コンシュマー向け、ビジネス向けのクラウド利用が当たり前になっている現状では、内部ネットワーク、外部ネットワークの境界は、不明瞭になっている。」 (「2011年、これまでの事例にみる脅威とその対策 第3回」より)
「日本におけるセキュリティ対策は、ISMS(Information Security Management System)、個人情報保護法対策、J-SOX対策など、セキュリティマネージメントを中心に進められてきたと思います。 これらの取り組みでは、PDCAの重要さが指摘されているのですが、私が知っている限りでは、計測可能な事実(Fact)に基づいてCheckが実施されている例は数社に過ぎず、多くの場合、アンケート形式による確認が行われるだけで、 技術的なFactの確認が行われていません。 これでは、自組織のネットワークやコンピューターがどのような状況にあるのか知ることはできないですし、不正侵入を知ることもできないと思います。」 (「2011年、これまでの事例にみる脅威とその対策 第4回」より)

クラウドの普及はネットの「内側」と「外側」を曖昧にしている。 また,近年流行りのボット型マルウェアの多くはネットの「内側」から穴を開けるもので,更にボットの侵入に際しては特定の企業や団体を狙った「標的型攻撃」が急増している。 古いタイプの「イントラネット」は,ネットの内側からの攻撃を想定していないことがほとんどで,いったん侵入されたらやりたい放題になってしまう。 先の引用にある通り「計測可能な事実(Fact)に基づいて Check が実施」されているところは少ないようで,これではマルウェアが侵入・活動しても気づかないまま被害を拡大させることになる。

ここで思い出すのは春に発覚した PSN の情報漏えい事件と,最近話題の衆議院議員の情報漏えい事件である。

たしかに標的型攻撃は脅威だが

「同氏は、「標的型攻撃は1つのソリューションで保護することできない。 すべての“攻撃フェーズ”で適切なソリューションを組み合わせ、総合的な対策を施すしかない。 企業はゼロデイアタックを心配するが、標的型攻撃のほとんどは、パッチが配布されている既知の脆弱性に対して行われている」と指摘する。」 (「「遮断」するべきか「許可」するべきか――それだけでは問題だ」より)

とあるとおり,(Duqu のような特殊な例を除けば)かなりの確率で防ぐことは可能だし,たとえ侵入されても検知する方法はあるのである。

(衆議院議員のケースはマヌケ過ぎるが,春の PSN の事例がきちんと分析され広く周知されていたなら防ぐことも可能だったのではないかという気もする。 ただし,聞くところによれば,衆院事務局が「パスワードを変更しろ」つってんのに,きちんと応じてる議員が半分弱しかいないらしい。 こんなレベルじゃ確かにやりたい放題できるわな。 衆議院はきちんと対応している議員を公表すべき。そうすればセキュリティ意識の乏しいバカ議員も特定できる)

時代が変わればセキュリティ要件も変わる。 守る対象も守り方も変わってくるのだ。 お宅のネットは大丈夫ですか?