人を排除するシステムは人に殺される

no extension

日本年金機構の情報漏えいについては Qiita のほうでまとめているが,単なるメモ書き以上の「感想」が混じってしまったので,こちらに記述を移すことにした。

「企業のネットワークが侵害される場合、その発端はおそらく従業員がEメールの添付ファイルをクリックすることである」

このブログでは何度も書いているが,改めて

この記事のリンク元である F-Secure の記事IPA の記事は必ず目を通しておくことをお薦めする。 日本の役人や関連組織は IPA の情報を共有したりしないのか?

標的型攻撃はターゲットの内情を引き出すにつれどんどん巧妙に分かり難くなっていく。

このようにして、攻撃を指揮したサイバー犯罪者たちは、ヨアンナさんがこの自治体の会計部門のシニアスペシャリストで、EUからの資金を含む、送金の担当者であるという情報を手に入れました。このサイバー犯罪者たちは、ヨアンナさんをデジタルの罠に誘い込んで欺き、銀行の口座番号を「こっそり」と書き換えるソフトウェアをインストールしました。ヨアンナさんが送金処理を進めている間に、ハッカーたちは受取人の口座情報を自分たちの口座情報に書き換えて、首尾良く金銭を盗み取ったというわけです。ヨアンナさんが、音楽アプリのインストールに必要だった管理者権限を手に入れていなければ、この偽のアップデートをインストールできなかったでしょう。彼女は音楽を聴きながら仕事をしたかっただけでした。
エフセキュアブログ : 受信した新しい電子メールを介して、クリック1回でハッカーの侵入を許した事件より

日本年金機構のケースも最初の感染については検知できたものの,2度目の感染については検知できず,最終的に27台もの端末が感染し,延べ125万人分の個人データが漏洩するに至ったわけだ。

システムから乖離した workflow

今回のケースで特筆すべきは詐取された個人データが「ファイル共有サーバ」に置かれたものだということだ。

同機構のシステム統括部によれば、少なくとも2010年1月の機構発足時には、基幹システムから抽出した個人情報をファイル共有サーバー内のフォルダに格納して、職員間や事務所間で共有していた。フォルダは階層構造であり、上位から、全国、ブロック、県、拠点といった順だった。今回、「あるフォルダとその配下のサブフォルダとファイルが盗まれた」(システム統括部)。サーバーには「エクセル」や「アクセス」のファイルが格納されていた。
基幹システムから個人情報を抽出するには、権限のある職員による申請が必要だった。抽出データは暗号化された上でCD-ROMに格納されて職員に渡されていたという。同機構は回答を控えたが、職員がパソコンでCD-ROMの内容を復号し、ファイル共有サーバーに移していたと見られる。
ファイル共有サーバーをどういった業務で使っていたのか。機構は具体的な業務名の回答を控えたものの、一例として、「全国レベルではなく、拠点レベルでお客様に電話したり通知したりするためのリストを作る業務に使っていた」と話す。
ニュース - [続報]日本年金機構、ファイル共有サーバーを5年以上前から運用:ITproより

ツッコミどころは多々あるのだが(例えば複数人で共有するファイルにパスワードロックをかけることは全く無意味。しかも Office ファイルのパスワードロックなんか Script kiddie でも解除できる),もっとも重要なポイントは,業務を遂行するためにルールを無視する形で workflow が構築されていた,ということである。

これもここでは常日頃から言っていることではあるが,守られないルールはルール自体に問題がある。 セキュリティ対策というのはセキュリティだけを見ても成り立たない。 システム内の人の動きを見て,その動きを妨げないように,むしろフォローするようにチューニングしていかないといけない。 単に塞き止め排除するだけなら,人はただ迂回するだけなのである。

セキュリティは「防御」から「検知」へ

ぶっちゃけて言うなら,組織におけるセキュリティの trend は「防御」から「検知」へと移っている。 これはセキュリティ管理の比重が「事前」から「事後」にシフトしていることを指す(もちろん「事前」にできることをした上で「事後」があるんだけどね)。 故にセキュリティ評価においても「事後」がダメダメな政府・企業・組織は低評価にならざるを得ないのだ。 「再発防止」とかヌルいことを言ってるようじゃ話にならない。 ちゃんと「未然防止」までもっていかなくちゃ。(未然防止は単なる「防止」ではなく,「事後」を視野に入れて広くシステムやプロセスを検証することである)

塩崎厚労相署名の記事には

日本年金機構が、悪意をもった攻撃を防げなかったことは誠に遺憾です。
日本年金機構不正アクセス事案について|厚生労働省より

とあるが,全く他人事で的を外した発言であると言わざるをえない。 日本年金機構は防御が甘かったから侵入を許したのではない。

「リスク」というのは系(システム)全体で最小になるように設計されなければならない。 また,セキュリティ・リスクについて考える際はセキュリティだけを見てもダメだということが今回のケースでよく分かったと思う。 日本年金機構のシステムは人(の活動)を排除したがゆえに人に殺されたのである。 今回の犯罪者は,システムの屍を貪る墓場荒らしのようなものだ。

今回のケースを「カイゼン」するつもりが(政府や官僚に)あるのなら,まずはそこから手をつけていかないと。 これはセキュリティ以前の問題である。

さて,(みんな言ってることだが)マイナンバー制はどうなることやら。(まぁそうやって注目が集まってるうちは意外と大丈夫だったりするのだが)

参考ページ

参考文献

photo
セキュリティはなぜやぶられたのか
ブルース・シュナイアー 井口 耕二
日経BP社 2007-02-15
評価

暗号の秘密とウソ 新版暗号技術入門 秘密の国のアリス チャイナ・ハッカーズ 暗号解読―ロゼッタストーンから量子暗号まで 宇宙創成〈上〉 (新潮文庫)

日本語のタイトルはアレだが中身は名著。とりあえず読んどきなはれ。

reviewed by Spiegel on 2014/09/14 (powered by G-Tools)

photo
想定外を想定する未然防止手法GD3
吉村 達彦
日科技連出版社 2011-09
評価

トヨタ式未然防止手法GD3―いかに問題を未然に防ぐか 日産自動車における未然防止手法Quick DR 全員参画型マネジメントAPAT―「想定外」と言わない組織をつくる なぜ重大な問題を見逃すのか? 間違いだらけの設計レビュー FMEA辞書―気づき能力の強化による設計不具合未然防止 (JSQC選書)

俗に「トヨタ式」と呼ばれる未然防止手法について。

reviewed by Spiegel on 2015/01/11 (powered by G-Tools)