PR

やっぱりポリシーは必要

 第1回目で紹介した「エンドユーザーを信用しない5カ条」に回帰して,こう言いたい。「エンドユーザーはセキュリティ・ポリシーを守らない(かもしれない)のだ」。

 明示的なルールを提示して「守りなさい。守っているかどうか抜き打ちで監査しますので,守っていないと罰則を適用します」などといくら脅かしたとしても,100%の順守は期待できないし,しない方がよい。

 だからといって無論,セキュリティ・ポリシーが必要ないとか,役に立たないと言っているわけではない。

 ワークフローのシステムがセキュリティ上のリスクをきっちり管理しているので,エンドユーザーはそのインストラクションに従うだけ,という形になるのか,それともエンドユーザー自身が手順書を参照しながら管理するという形なのか,その違いだけで,ポリシーも,リスク分析も,ガイドラインも,手順も必要なのだ。エンドユーザーから見て表に出ているかどうかの問題である。

 しかし,情報漏えいの事例を見ていると連想するのは,例の山登りたちのセリフである。「そこに山があるから登るのだ」。名簿を売り飛ばす人も同じで,顧客情報が無防備に放置されているも同然なので,つい魔が差してしまうわけだ。

筆者の考える最も厳しい制御

 筆者が考える最も厳しいアクセス制御状態は,そのユーザーにその情報があることを悟らせない,というものだ。存在は見せてしまうのだが,アクセスさせない。というよりも,存在を悟らせない方が安全である。

 視野にないものに対しては,魔が差しようがない。逆に言えば,存在を悟らせない方がよいものを悟らせてしまう,見せたとしても編集させないものを改変させてしまうなど,アクセス・コントロールの設計と,その実装,または運用のどこかでギャップを作ってしまっていると,そこが穴になってしまう。こういった事例は多い。

 原因の大多数は,アクセス権の設定ミス,公開範囲の設定ミス,取り扱い上のミスなどだろう。セキュリティ・ホールを突いた不正なアクセスというのは,こと内部犯行に限ってはかなり割合が低いと思える。というのも,そもそもそういう技術や知識を持つ人間はまだごく少数であるからだ。

 それに,「内部」であれば,そもそも何らかのアクセス権限を付与されているのが普通で,仕組みの欠陥や設定ミスなどに触れる・目にする機会は多い。わざわざ面倒なことにセキュリティを勉強し,不正アクセスをまっとうに行うよりも,もっと簡単に情報を盗み出せる機会がそれだけ多い。

 ということは,そういうミスをなくすことが重要となる。それにはやはりシステムを援用するのがよいだろう。というより,ここでシステムを使わなければ,いつ使うのだとすら思える(笑)。

 残る課題は,そうしたワークフローが見当たらないということだけだ。どなたか開発されませんか?

園田 道夫 Michio Sonoda

筆者は情報処理推進機構(IPA)の脆弱性分析ラボ研究員,および日本ネットワークセキュリティ協会(JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ,セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/),極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)にて連続的に読み物掲載中。