PR

ポリシーに依存せずに効果を

 セキュリティ・ポリシーとそのルールには,機能的な限界がある。人間,それもエンドユーザーに責務を負わせて,ルールの順守を強制しようとすると,エンドユーザーのセキュリティ面でのリテラシの向上という不毛な部分で,もがかなければならなくなってしまう。善意の人間による自発的なルールの順守だけに依存できない。それが限界だ。

 再び,Blasterクラスのワームが発生したらどうなるか。あれほど大騒ぎして,口をすっぱくして「WindowsUpdateでパッチを当ててください」とアナウンスしたのに,現状はどうなっているだろうか。いまだにMS03-026のパッチすら当たっていないPCが存在するのではないだろうか。MS03-026のパッチが当たっていたとしても,同程度のワーム発生が予測されているMS03-039のパッチが当たっていないPCはけっこう多いのではないだろうか。ポリシーとそのルールをきっちり守っていれば,そんなことはないはずだろう。

 両方とも,100%自信持って否定できないサイトでは,リテラシー向上は非常に困難であろう。ということは,つまりポリシーに基づく社員教育にも限界があるということだ。いくらポリシーを作って手順をばっちり固めたとしても,それに頼り切っているだけでは危険だ。どうあがいてもインシデントは発生するし,ワームは出るし,ウイルスはばら撒かれる。事件や事故が起こる確率を減らす予防策や努力は必要だが,どれほどリソースをつぎ込もうと100%安全というのはあり得ない。

 それならば,まずは起こってしまったあとどうするか,ということを考える。そのために記録を取っておくし,防水隔壁を準備しておくわけだ。内部犯行が起こりにくくなるように,容易に情報を持ち出せない,持ち込めない仕組みにし,ミスを減らすワークフローを導入するのだ。ポリシーに過度に依存しない,技術的対策と連携して少ないリソースで効果を上げるセキュリティ・プロセスを確立したいところだ。

園田 道夫 Michio Sonoda

筆者は情報処理推進機構(IPA)の脆弱性分析ラボ研究員,および日本ネットワークセキュリティ協会(JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ,セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/),極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)にて連続的に読み物掲載中。