情報セキュリティの話6

今日も本ブログにアクセスいただき、誠にありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティのお話の6回目となります。

 

前回は入口対策についてお話をしましたので、今回は出口対策について説明します。

 

入口対策は外部のネットワークからの侵入やマルウェアの持ち込みを防ぐものであるのに対し、出口対策は社内ネットワークから外部へのデータの流出や不正サイトへのアクセスを防止するためのものです。

 

業務等でインターネットから情報を取得することがある以上、正規の通信の形式で社内ネットワークに入り込むデータを遮断するわけにはいきません。

 

典型的なものとしては、不正なリンク先を記載したメールや、圧縮形式のファイルとなっているマルウェアを添付したメールなどが挙げられます。

 

これらの目的は、個人情報を不正に入力させるサイトへの誘導や、社内ネットワーク上のデータの外部送信です。

 

そこで、社内ネットワークからインターネット方向への通信を監視し、不正と考えられる通信を遮断することができれば、情報流出を防止することができます。

 

これが出口対策です。

 

システム面における出口対策は、社内ネットワークとインターネットとの間に、ゲートウェイを設置し、不正なインターネット向け通信を検知した場合に遮断することです。

 

より具体的には、社内ネットワークからの不正なアクセス先のURLやIPアドレスを検知した場合に、通信を遮断することが基本となります。
これらのURLやIPアドレスの情報については、パターンファイルを随時更新する形で取得します。
(そのため、発生して間もない不正サイトについては対応しにくいという問題もあります(ゼロデイエクスプロイト))。

 

人的な面における出口対策は、セキュリティ対策の基本でもありますが、不審なメールに記載されたURLリンクをクリックしないことや、添付ファイルを開かないことです。
他には、社内ネットワークとは別経路でインターネットに接続可能なPC等を社内ネットワークに接続してはならない旨の規定を定め、守らせることが挙げられます。

情報セキュリティの話5

今回も本ブログにアクセスいただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、情報セキュリティに関するお話の5回目となります。

 

セキュリティ対策の概念のひとつとして、入口対策と出口対策というものがあります。

 

まず、入口対策についてお話しします。

 

入口対策というのは、インターネットなど、外部から社内ネットワークへの侵入(入口からの侵入)を防ぐというセキュリティ対策です。

 

入口対策は、社内ネットワークという概念ができてから、それほどに時間を経ずになされてきた、基本的なセキュリティ対策です。
現在においては、論じるまでもなくなされているセキュリティ対策と言っても過言ではないと考えられます。

 

具体的には、インターネットと社内ネットワークの間にファイアウォールを設置し、リモートワーク用のVPNゲートウェイ経由の接続など、社内ネットワーク外部からの接続については限定された通信のみが通過できるようにするというものがあります。

 
そのほかにも、マルウェアが添付されたメールがメールサーバーに届く前に遮断するというものや、ファイアウォールで侵入(および侵入の試みと考えられるアクセス)を検知した場合にセキュリティセンターにアラートが上がる仕組みを構築するというものが挙げられます。

 

このように、入口対策は、システム面での対応が基本となります。

 

もっとも、人的な面での対策が不要というわけではありません。

 

最近ではメールサーバーの進化等によって減りましたが、メールに不審なファイル(特に実行ファイル)が添付されている場合には、当該ファイルを開かないように社内教育をすることは今でも大切なセキュリティ対策となります。

 

また、コロナウイルスによってリモートワークが普及したために発生した新たな問題もあります。

 
リモートワークは、ネットワーク通信の観点から見ると、外部からインターネットを経由して、社内ネットワークにアクセスをすることになります。
IDやパスワードなど、リモートワークをする際の接続に関する情報を社外の人に知られてしまうと、不正侵入を許してしまう可能性があります。
これは一種のなりすましでもあるので、システムでは不正な侵入として遮断することができません。

 
そのため、リモートワークに関する接続情報は決して外部の人に知られないよう、しっかりと社内教育をしておく必要があります。

情報セキュリティの話4

本ブログにアクセスいただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティのお話の4回目となります。

 

前回に引き続き、セキュリティ事故とヒューマンエラー対策についてのお話となります。

 

会社等の組織における代表的なセキュリティ事故としては、データが入ったメディアの紛失(置き忘れなど)、データの誤送信(メール、FAXなど)、メール操作の誤りによるマルウェア感染が挙げられます。

 

今回は、データが入ったメディアの紛失(置き忘れなど)の対策について説明します。

 

データが入ったメディアの紛失の典型的な例としては、職務上のデータが保存されたUSBストレージやノートPC、スマホを、職場以外の場所に落としたり置き忘れてしまったりし、その後見つからなくなってしまうというものが考えられます。

 

これらのメディアが第三者に渡ってしまった場合、その第三者が警察や建物の管理者等に届けてくれない限りは、回収は困難となり、メディア内部の情報を見られてしまう可能性があります。

 

1つめの対応策としては、そもそもメディアを外部に持ち出す必要がない業務設計をする、ということが挙げられます。
大切なのは、メディアを外部に持ち出さないというルールを定めることではなく、メディアを外部に持ち出さなくても円滑に業務が遂行できるようにすることです。
紛失のリスクを負ってまで、業務上のデータが入ったメディアを持ち歩きたい人は、通常いないと考えられます。
黙示のものを含め、現場の担当者では抗えない何らかの事情があり、やむなく持ち出しているということも多いです。

 

2つめの対応策としては、万一メディアを紛失しても、第三者がその中身にアクセスできないようにすることです。
具体的には、パスワードによるロック(できればハードウェアレベルの暗号化)、生体認証によるアクセス制限、遠隔操作によるデータ消去が挙げられます。
ただし、これらの対応策の効果は絶対的なものではありません。
高いデータ復元技術を持つ第三者が操作することで、情報が漏洩してしまう可能性も、ないとまでは言い切れないという点には注意が必要です。

 

結論としては、できる限り外部にメディアを持ち出さなくても済む業務設計をし、どうしてもメディアを持ち出さなければならない事態に備えて、データへのアクセス制御を施すことが、データが入ったメディアの紛失(置き忘れなど)への有効な対策となります。

情報セキュリティの話3

本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティのお話の3回目となります。

 

今回は、過失によるセキュリティ事故防止について述べます。

 

これは、人的な面でのセキュリティ対策に属するものであり、主にシステム担当者ではない一般的な従業員等の挙動に着目した対策です。

 

まず、重要な前提として、ヒューマンエラーは発生しうるという概念を念頭に置く必要があります。

 

これは、何らかの作業をする人が、どれだけ誠実な性格を持っていたとしても、そしてどれだけ細心の注意を払いながら作業をしていたとしても、確率論的にミスは生じるという考え方です。

 

筆者は、航空会社に勤めていたことがあり、この考え方は、航空機の整備部門では古くから取り入れられている考え方であると教わったことがあります。
航空機の整備においては、ひとつのミスが大きな危険を生んでしまうことがありますが、それを望んで整備をする方などはいるはずがないのです。
むしろ、これ以上ないくらい緊張感を持って作業をしているにもかかわらず、小さなものも含め、危険が生じてしまうことがあります。

 

ヒューマンエラーの発生は、その作業をした方個人の自助努力だけでは防ぎようがありません(上述の前提は、このように言い換えられます)。
そのため、ヒューマンエラーが実際の事故につながることを抑制するためには、組織的な対応により、セーフティネットを設ける必要があります。
そのような対策をしておらず、ヒューマンエラーによる事故の責任まで個人に負わせる組織は客観的にみても危険であり、従業員の観点からしても、信用できない就労環境であるともいえます。

 

次回以降、代表的なセキュリティ事故と、ヒューマンエラー対策について説明します。

情報セキュリティの話2

本ブログにアクセスいただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティのお話の2回目となります。

 

前回は、外部からの不正アクセス対策における、システム面、人的な面での対策について書きました。

 

今回は、組織内部からのアクセス対策について書いていきます。

 

まずシステム面における対策については、センシティブな情報が保存されたデータベースへのアクセス制御があります。
具体的には、顧客名、顧客の住所、顧客の連絡先(電話番号)などが保存されているデータベースについては、ローカルネットワークに設けられたファイアウォールの内側に設置し、業務においては特定のアプリケーションサーバーのみがアクセスできるように厳格なアクセス制御をします。
言い換えれば、社内PC等からはアクセスができないようにしておき、顧客のデータをまとめて抜き出すことができない仕組みにしておきます。

 

もっとも、システムである以上、保守運用の際には端末PCからコンソールを使ってアクセスしなければなりません。

 
そこで人的な面での対策として、顧客データの抜き出しを防止するため、ログイン、ログアウト履歴だけでなく、入力コマンドなどの操作全てを記録するゲートウェイを、データベースとコンソールとの間に設置することがあります。
これにより、不正なデータの持ち去りを抑止することができます。
また、操作ミスなど、何らかの過失によって顧客データが消失した際の原因究明にも役立ちます(単なるデータ消失なのか、不正なデータ持ち去り後の隠蔽工作であるかを切り分けることもできます)。

 

顧客データをクラウドサービス上で使用する場合には、サービス提供プロバイダに対して、上述のようなシステム構成とするよう要件定義をし、システム構築段階でサーバー、ネットワーク構成をチェックするとともに、リリース前には、特定のアプリケーションサーバーおよびコンソール以外からのアクセスができないことのテスト結果を確認するということも大切です。

情報セキュリティの話1

いつも本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回からは、情報セキュリティのお話を載せていきます。

 
以前にも何回か情報セキュリティのブログを書きましたが、2年以上前のことなので、改めて記事を書いていく所存です。

 

情報セキュリティは、どのような業務であっても、とても大切な分野であることに異論はないと思います。

 

弁護士など士業の世界も例外ではなく、むしろ依頼者の方のご住所などの身上に関する情報、財産に関する情報など、非常にセンシティブな情報を扱うことから、厳格なセキュリティ対策が求められるといえます。

 

私は前職において、情報セキュリティに関係する業務に就いていたことがあります。

 

IPAが主催する、情報セキュリティスペシャリスト(現在の情報処理安全確保支援士に近いもの)試験にも合格しています。

 

当時は、外部からの不正アクセス対策、組織内部からのアクセス対策、そしてマルウェア(一般的にコンピューターウイルスと呼ばれるもの)対策を行っていました。

 

いずれの対策においても、システム面での対策と、人的な面での対策が必要となります。

 

そして、この2つの面における対策は、車の両輪のようにつながっており、どちらか一方のみ対策をしても、高い効果は望めません。

 

まず、外部からの不正アクセスについては、ファイアウォールの設置(ポリシー設計)や、VPNシステム設置・管理など、システム面での対策が基本になると考えられます。
外部ベンダーのデータセンター(いわゆるクラウド)を使用する場合には、セキュリティに関する詳細な要件定義をするとともに、設計のレビュー、システムテスト結果の確認を行い、外部からの不正アクセスを防止できる作りになっているかの確認も必要になります。

 

そして、人的な面での対応としては、過失による設定ミスの予防、発生時の早期対応ができるようにしておくことが必要となります。
システムに限らず、たとえ誠実で真面目な人が作業を行ったとしても、ヒューマンエラーは確率論的に起き得るということを前提にします。
設定変更は2名以上の体制で行い、かつ作業時の入力コマンドの履歴を残す、変更後の設定データのスクリーンショットを撮るなどし、リリース作業内容に間違いがないかを逐一確認するようにします。
また、設定ミスが放置されることを防ぐため、定期的なペネトレーションテストを行い、不正アクセスが可能な状態になっていないかも確認します。

 

システム面、人的な面のいずれかにおいて、故意または過失があり、損害が生じた場合、誰がどのような責任を負うのかが問題となります。
一般的に、システムに関する法的なトラブルは、責任の所在がとても複雑になります。
そのため、開発、保守運用の契約において、ユーザーとベンダーの役割分担などを明確にしておく必要があります。
リリース体制や作業内容の履歴を記録することも、故意や過失の発生を防止するとともに、もし損害が発生した場合の調査を可能にしてくれます。

 

次回は、組織内部からのアクセス対策について書いていきます。

【情報セキュリティ】4 セミナー受講2

猛暑が続く季節となりました。

 

熱中症予防と体調管理には気を付けたいところです。

 

前回に引き続き、セキュリティ対策セミナーで学んだことについて記していきます。

 

今回は、テレワーク普及に伴って増えたサイバー攻撃についてです。

 

 

1 偽の会議招集等
コロナウィルスの蔓延により、テレワークやオンラインミーティングが普及してきました。

 
士業においてもテレワークをする方は増えましたし、会議やセミナーなどもオンライン出開催されることが増えました。

 
ネットワークを介して業務環境やミーティング環境へ接続する以上、接続先を指定する必要があります。

 
接続先情報は、メールなどで発信されることが多く、メールに記載されたアドレスにアクセスすることで、オンラインでの業務が可能となります。

 
この仕組みを悪用し、あたかもセミナーやオンラインミーティングの招集を装ったメールを送信する手法があります。

 
メールに記載された接続先にアクセスすると、マルウェアを仕込まれたりするという仕掛けです。

 
これに対しては、見覚えのない招集が来た場合、いったん疑ってみる以外の対処法はありません。

 

 

2 PC画面ののぞき見
非常に原始的かつ古典的な情報漏洩です。

 
オンラインで業務をすることができる環境が整うと、当然執務室以外の場所でPCを開く機会が増えます。

 
自宅の自分の部屋や、ホテルの部屋などでPCを開く分には問題は少ないですが、カフェや電車など、他の人が画面を見ることができる環境でPCを開いてしまうと、場合によっては機密情報を見られてしまいます。

 
特に、今はスマホを用いて誰でも長時間の録画が可能です。

 
PCの画面を録画されてしまう可能性もあります。

 
PCののぞき見は、のぞき見が起きる環境でオンライン業務を行わないことでしか、対策を取ることができません。

 

 

3 オンライン会議の盗み聞き
PCののぞき見と同様に、他の人に聞かれる環境でオンライン会議をしてしまうと、会話の内容を知られることがあります。

 
特に、イヤホンをセットしてオンライン会議をしてしまうと、自覚なく大きな声で話してしまうことが多いです。

 
その結果、少し離れている場所にいても、会話の内容が聞こえてしまうことがあります。

【情報セキュリティ】3 セミナー受講1

令和3年8月になりました。

 

今年も35℃を超えるような日もあり、健康管理上、熱中症対策が大切です。

 

さて、先日弁護士ドットコム様開催の弁護士向けセキュリティセミナーを受講しました。

 

セミナー講師は、前職時代にセキュリティ診断を依頼したこともある、LAC様でした。

 

小職がセキュリティの現場に関わっていたのは10年近く前なので、最新の動向を学ぶうえで、大変参考になりました。

 

以下、今回と次回に渡り、学んだことを、私見を交えて紹介します。

 

 

1 アンチウィルスソフトだけではダメ
サイバーセキュリティ対策の手法として、最も基礎的かつポピュラーなものの一つは、(ネットワークにつながっている)PCにアンチウィルスソフトを導入することです。

 
もちろん、これは必ず行わなければならないと言っても過言ではないセキュリティ対策です。

 
しかし、アンチウィルスソフトは、セキュリティ事故発生の確率を下げることができるにすぎません。

 
アンチウィルスソフトには、2つの弱点があります。

 
1つは、真新しいマルウェアに対しては無防備であるという点です。

 
マルウェア検出方法のうち、最もポピュラーなものは、パターンマッチング法です。

 
これは、プログラムの文字配列を見て、マルウェアであるか否かを判断する手法です。

 
この手法は、前提として、アンチウィルスソフト側で、マルウェアプログラムの文字配列データを保持している必要があります。

 
そのため、文字配列データがない最新のマルウェアを検出することができません。

 
この現象は、ゼロデイ・エクスプロイトなどと呼ばれます。

 
もう1つは、平時行われる動作を用いた攻撃を防げないという点です。

 
具体的には、マルウェアを仕込んだ不正なウェブサイトへのアクセスを防げないという点です。

 
インターネットの閲覧は、通常の業務でも行うため、アンチウィルスソフトからすると、見分けがつきません。

 
このような攻撃に対しては、インターネットゲートウェイにおける出口対策をする必要があります。

 
もっとも、出口対策も、ゼロデイ・エクスプロイトに対しては対抗できません。

 

 

2 サイバー攻撃の多くは金銭を目的としたもの
最近よく聞くマルウェアの一つに、ランサムウェアと呼ばれるものがあります。

 
これは、感染したPC内のファイルを暗号化し、暗号化解除と引き換えに金銭を要求するというマルウェアの一種です。

 
重要なデータが暗号化されてしまうと、業務の進行や取引などの重大な支障が生じることから、身代金支払に応じてしまうケースもあります。

 
サイバー攻撃というと、一般的なイメージとしては、一部のマニアが愉快犯的にマルウェアを作り出してばら撒いたり、特定の思想信条を有する人が国や大資本組織を攻撃するというものがあるかと思います。

 
もちろん、このようなケースもありますが、大半は金銭目的によるものです。

 
もっとも、金銭目的による攻撃者は、闇サイトから攻撃ツールや脆弱性情報を取得して、攻撃を行います。

 
その大元の攻撃ツール、脆弱性情報を提供している人は、愉快犯なのかもしれません。

【情報セキュリティ】2 原始的な対応が一番大切

弁護士法人心の鳥光でございます。

 

本格的に暑くなる時期が迫って参りました。

 

体調管理には気を付けたいところです。

 

今回は、前回に引き続き、情報セキュリティのお話です。

 

 

1 システム分野における情報漏洩のイメージ
情報を外部から盗み出すというと、どのようなイメージを持たれますでしょうか。

 

高度な技術を持ちながらも、これを悪用する人が、日夜黒い画面(CUI)に複雑なコマンドを入力し続け、企業等のシステムに侵入して情報を抜き出す、という場面を想像するかもしれません。

 

あるいは、何万行ものプログラムで構成されたコンピューターウィルス(マルウェア)を作成し、ネットワークに載せて流すことで、コンピューターウィルスに感染したシステムから情報を流させるというイメージもあるかもしれません。

 

もちろん、これは間違いではないです。

 

実際、このような形でデータが流出することもあります。

 

(企業のウェブシステムのアウトサイドファイアウォールのログなどを見ると、毎秒のようにポート番号をスキャンされていたりします)

 

このような攻撃に対する対応はもちろん大切ですが、これはシステム技術者に任せるしかありません。

 

情報漏洩対策は、上記のような高度な技術を持った攻撃に対するものだけでは足りません。

 

むしろ、もっと身近な場所で、原始的な手法によって発生する情報漏洩の方が多く、これに対する対応の方が重要です。

 

そしてこれは、システム技術者はもちろんですが、事業に携わる方全てが行わなければなりません。

 

 

2 原始的な原因による情報漏洩
先に例を列挙すれば、パスワードの盗み見・盗み聞き、書類の持ち出し・スマホでの撮影、メール・FAXの誤送信、USBメモリによるデータの抜き出しなどが挙げられます。

 

これらは、いずれも特殊な技術は要りません。

 

システム技術者でなくても、誰でもできてしまう(起こってしまう)ことです。

 

私の知っている事務所では、辞めた従業員が夜中に顧客ファイルをごっそり運び出し、そのまま連絡が取れなくなったいうこともありました。

 

従業員の出入りの管理や、鍵の回収等、システムとは全く無関係な、原始的な対策をしっかり行わないと、このような形で情報セキュリティが保てなくなります。

 

情報漏洩の多くは、内部の者(内部に出入りする者含む)による、意図的な持ち出しか、または過失による流出です。

 

意図的な持ち出しは論外ですが、過失による情報漏洩は、起こしてしまった当の本人も、深刻な精神的ダメージ(場合によっては損害賠償責任)を負います。

 

そのため、仕組みでもって、原始的なセキュリティ事故が起こらないようにすることが大切です。

【情報セキュリティ】1 情報セキュリティスペシャリスト

令和3年7月になりました。

 

これから暑い日も増えてくると予想されます。

 

熱中症には気を付け、しっかりエアコンを入れ、水分補給を行うことが大切です。

 

弁護士法人心の鳥光でございます。

 

今回は、情報セキュリティについてのお話です。

 

 

1 顧客情報
私は、弁護士になる前、航空会社の情報システム部門に勤務していたことがあります。

 

航空会社は、膨大な数の搭乗者の方の情報を扱います。

 

また、マイレージ関連のサービスにおいては、ご住所やご家族の情報など、非常にセンシティブな情報を扱わなければなりません。

 

航空サービスは、政治家や著名人の方なども使用します。

 

そのため、顧客情報は極めて厳重に取り扱わなければなりません。

 

もちろん、航空業界に限らず、お客様の重要な情報を扱うお仕事であれば、顧客情報の管理は重要な課題となります。

 

弁護士の業務も、お客様の財産に関する情報や、身分関係の情報など、非常にセンシティブなものを扱いますので、細心の注意が必要となります。

 

 

2 情報セキュリティスペシャリスト
そこで当時の私は、仕事の一環として情報セキュリティを体系的に学ぶため、情報セキュリティスペシャリスト(現在は廃止され、後継資格として情報処理安全確保支援士)という資格試験の勉強をしていました。

 

情報セキュリティスペシャリストは、情報処理の促進に関する法律に基づき、経済産業省の管轄で、独立行政法人情報処理推進機構が実施する、国家認定資格のうち、専門性、複雑性、責任性、規模が大きい高度情報処理技術者試験の一つとして位置づけられていました。

 

1回不合格となったものの、高度情報処理技術者試験としては珍しく春と秋の年2回試験が実施されていたので、1年以内に2回目の受験で合格することができました。

 

出題範囲は幅広く、暗号化やサイバー攻撃手法の意義を問うものから、プログラミングの脆弱性、ネットワーク(ファイアウォール含む)の構築・設定ポリシー、人的対策など、様々な問題が出題されました。

 

 

3 セキュリティのリテラシーはシステム関係者以外にとっても重要
システムに関する分野は非常に多岐にわたります。

 

多くは、システム関係者側にとって必要な知識です。

 

もっとも、セキュリティ関しては、システム関係者だけでなく、システムを利用する側も十分に知っておくべきものであると考えております。

 

さらにいえば、情報漏洩は、システムに起因するとは限りません。

 

極端な話、事業所の鍵を閉め忘れた隙に、顧客ファイルを持ち去られるということもあります。

 

このような事象に対する対策も含め、セキュリティリテラシーは、事業に関わる方すべてにおいて、高度なものが求められると考えております。