PR

 さてさて、またまた反論いただきました。まずは、ファイル転送サービスは安全性の向上に役立つか、というお題ですね。
 議論の中で一つ明らかになってきたことは、「送る手間」というものに対する捉え方の違いでしょうかね。私は「送る手間が増えると、それだけ安全になる」と考えていますが、やまがたさんは「送る手間が増えたところで、大して安全性は向上しないし、面倒になっても送るヤツは送るだろう」という考え方でいらっしゃるようですね。
 私が「送る手間が安全性の向上に繋がる」と考えるのは、「痕跡の残りやすさが増える」ということが理由だったりします。

 一般的な電子メールで怪しいファイルをばらまく手間は、今やほとんど無いも同然です。送り手=悪い人たちは、メールの送信時にどのような偽装が施せるのか、どこまで痕跡が残るのかなどを知り尽くしていますし、機械的な送信プログラムのネットワーク(=ボットネット)を使って、手間をかけずに、かつ痕跡を最小限にしつつ送りつけてくるわけです。
それに比べれば、転送サービスを悪用することはけっこう手間がかかります。例えばメールアドレスを用意しなければならなかったり、送信サービスへのユーザー登録が必要だったりするわけです。さらには怪しいファイルをアップロードしておく必要もあります。すべてのシークエンス(手順)を機械化できないわけではありませんが、単調な機械化はむしろサービスの管理側に気づかれやすくなるでしょうし、さらに手間がかかって数量制限がある、ということはそれだけ悪人のコストパフォーマンスを下げることにもなりますね。さらに言えば、そもそも「その転送サービスを使っている」という事実を把握しなければ、ターゲットの組織にフィットするような偽装工作も難しいわけです。

 そして、単に「手間がかかる」というだけでなく、その「手間」それぞれは痕跡が残る機会でもあるわけです。痕跡が残ってさえいれば、仮にやられてしまったときでも犯人を追跡できるかもしれませんしね。技術的対策や偽装工作を用いれば、痕跡そのものをごまかすことも可能でしょう。しかし、その工作もまたコストパフォーマンスを下げることになりますし、仕掛けが増えればそれだけミスを犯す機会も増え、それだけ痕跡が残りやすくなるとも言えるでしょう。
 少なくとも、ボットネットを時間当たり500ドルとかで借りて、数万通のメールを一挙にばらまくようなインフラより、遙かに効率が悪く、しかも足跡がいろいろと残りやすいというわけです。用心深い悪人なら、それだけでこの方法を諦めるかもしれませんよね。

 もちろん、やまがたさんが挙げられているように、そんな心理的ハードルなどものともしないで突っこんでくる悪人がいることも事実です。しかし、そんな突撃野郎はばらまきには成功するかも知れませんが、痕跡を残すリスクは負うわけですからね。仮に突っこまれたとしても、あとで追いかけやすいことには変わりはないでしょう。
 それに、前回も書きましたが、そういう突撃野郎たちに対しては、「メーリングリストなどを用いて宛先を外部からはわかりにくくする」「手順を増やすなどでやり取りの段取りを外部からわかりにくくする」という対策があると思います。
「外部からわかりにくくする」ことには、単純に偽装へのハードルを上げるだけでなく、異常に気づきやすくする、という意味合いも有ります。パターンから外れた手順、外れたフォームでメールなどが届けば、そこで「おかしいな」と気づけるかも知れないわけですしね。

 私はやまがたさんと違って(笑)、一般的なインフラのユーザーに徹底して教育を行って危険回避しようとすることは無理ではないか、と思っています。なんたって「徹底した教育」っていうのは結局のところは、「相手の嘘や偽装を見破ることができるように育てる」ということになるわけですからね(笑)。一般的なユーザーが「不審なファイル」を判別できるようにする、いや、送信元のメールアドレスを「確認」する、ということすら相当困難だと思いますがいかがでしょうか(ご期待通りツッコミ入れてみました(笑))?
 さらに言えば、新しい手口が出たら、その手口と対策について一般的なユーザーに教え続けなければならない、ということでもありますね。ある意味それは、永続的ノウハウメンテナンスのスパイラルにはまってしまっているわけです。そして、それが無理っぽいなーと思っているからこそ、仕組みで工夫しようと模索したりしているのです。

 手順や段取り、フォームなどを外部から推測しにくくすれば、今どんな仕組みなのかを追いかける(=永続的ノウハウメンテナンスのスパイラル)のは悪人側になるわけですし、こちら側は異常に気づきやすくもなる、という一石二鳥的効果が期待できそうです。

 しかし、手順や段取りについて工夫することは、手順が増える、ということにも繋がります。やまがたさんが指摘されているとおり、お客さんにそれを強要できるのか、というのは重要な論点ですね。まあでも、セキュリティポリシーとルール体系を構築したりする組織は、多かれ少なかれお客さんにも何らかの段取り増、手順増を強いてたりするわけです(笑)。取引先や顧客にも協力していただかないと、達成できないリスクヘッジとかありますからねえ。それと同じように、「ルールでこう決まっちゃったんですよ。しかも最近監査うるさいので、すいませんがご協力いただけませんか?」などと丸め込むしかないんでしょうかね(笑)。 正攻法で、この手順を採った理由とリスクについて説明する手もありますけど……。

 もう一つご指摘にある「サボタージュ」については、どの組織も悩ましいところでしょうね。情報セキュリティのルールや手順を作る側は、いろいろ吟味し、悩んだ挙げ句良かれと思って最小限の追加手順を提示したとしても、「めんどう」とか「仕事がしにくくなる」とか「何の役に立つの?」とか、やりたくない人はなんのかんのと理由をつけてサボタージュしようとするものです。
 そういう人たちにはそれこそ抜き打ち監査などでプレッシャーをかける必要がありそうです。しかし同時に、メーリングリスト化のように「便利」になったり、ファイル転送サービスのように送受信する容量が大きくなったり、出張時には読まないでもよいなどのメリットを強調したりすることも重要でしょう。手順が増えることには当然拒否反応が起こりますが、セキュリティだけでなく「効率化」などのメリットがあれば良いアピールになります。
 あるいはビジネスマナーとして「添付ファイルを送る前には、メールで一言断ろう」などと教え込むという手も良いと思います。新人の時分からそういうことを教えておくとか、あるいは旧人教育においても「新時代のビジネスマナーはこれだ!」などと言葉巧みに(笑)教え込んでしまうとか、浸透させるにはそれこそさまざまな手練手管を用いる必要もありそうです。
 あと、わたしが良くやる手法ですが、ルールを作るところから現場の人を巻き込んじゃう方法も良い手だと思います。こうすべきだ!という決めつけではなく、現場の声を反映させたルールを作ることができる、というメリットもありますが、それ以上に巻き込まれた人による「宣伝」効果というのが重要だったりします。レビューに参加してもらうだけでも、こういう効果は期待できますからね。
 新ルールのプロモーションというのはいつも悩みの種なのですが、このようにそれこそあらゆる手(おどしとすかし、脅迫(笑)、メリットの強調)が必要になってくると思います。緩めずにいろいろ手を打ち続ければ、まあそんなにサボタージュには繋がらないんじゃないでしょうか。

 最後に、ファイル転送サービスのシステムに脆弱性が存在してしまったら、ということについても少し触れておきたいと思います。

 ファイル転送サービスというのは、言うまでもなく外部のサービスであり、サービスを提供する側のリスク管理がリスクレベルになってしまうわけです。Webサイトに脆弱性が存在したら、もしかしたらまっとうなファイルを怪しいファイルに置き換えられてしまうかもしれませんし、偽装メールによって本物そっくりのURLなのに違うサイトに誘導されてしまうかもしれません。
 残念ながら他社が構築・運営しているサイトに、直接取引もないのに積極的に働きかける術というのはあまり多くはありません。

 そもそも、「不正アクセス禁止法」という野暮な法律が、Webサイトに脆弱性があるかどうか、運営者の同意を得ずに確かめることを原則禁じてしまっています。可能なのはそれこそ、ガイドラインの「付録1 発見者が心得ておくべき法的な論点」にあるような方法くらいでしょう。それでも分かる人はそのサイトが脆弱かどうかある程度分かるものですが(笑)、一般的な利用者にその「分かる人」と同じレベルの技術的な知識や法的な知識を求めることはそれこそ無理というものでしょうね。

 幸いなことにファイル転送サービスには、複数の有用なサービスが存在するので、一つのサイトだけに依存せずに定期的にローテーションするという手が使えます。それによってここでも「どのサービスを利用しているか外部に知られない」ことで、そもそも偽装や誘導がフィットするリスクを低減することが可能ですね。欲を言えばもっと、同種のサービスが増えてほしいところですし、それこそ秘匿性など、異なるセールスポイントを持つ転送サービスがあればいいと思うのですが……。

●余談1●

逆に言えば、もしかしたら今、「ファイル転送のサービス」を基軸としたビジネスには、いろいろチャンスがあるのかも知れません。送信者の身元確認オプションとか、会社全体の契約とか、安全にファイルを送り届けるためのソリューションというものを構築すれば、あるいはただ単に「ファイル添付」に変わる安全な送受信サービスとかを構築すれば、おもしろい展開がありそうな気がしますね。どこかの会社さん、乗りませんかね(笑)?

●余談2●

Webアプリケーションの脆弱性というリスクに関しては、どんなサイトにも同じことが言えるわけです。そのリスクを容認してサービスを利用して、文書ファイルのリスクを回避するのか、それともまた別の、自前ファイルサーバーなどを使ったやり取りにするのか、そこのところは所属する組織の考え方に基づいて判断するしかないかもしれません。Webアプリケーションの脆弱性と、ビジネスの重要な側面におけるWebの利用については、また次の機会にもっと掘り下げてみたいと思っています。

 また、手順などでシステムへの依存度を減らすことも意味があるでしょう。誘導する側が「これから送りますメール」を「メーリングリストのアドレス」に出さなければならないようにしておけば、誘導自体の完成度を上げることはかなり困難になるでしょうしね。

 ……と考えてくると、わたしが提案している方法もそれほど捨てたモノではないと思うのですが、いかがでしょうか(笑)?

 さらに余談ですが、ファイル往復便http://www.attovas.com/document/ofuku/index.htmlというサービスもあるみたいですね。もしかすると、だんだんとこういう流れになってきているのでしょうかね。