システム奮闘記:その67

セキュリティー入門



Tweet

(2008年4月7日に掲載)
はじめに

  セキュリティーとは何か?

  これを問われると、言葉に詰まる。
  具体的に「これだ!」という物が思いつかないからだ。


  これまで、システム奮闘記の中でも、セキュリティー対策として
ファイヤーウォールの設定、ウイルスフィルター等の話が出てきた。

  2000年に勤務先でインターネット接続をしてから、セキュリティーは
逃げられない問題になった。

  インターネット接続して以来、スパムメールの踏み台にされたり、
BINDがDoS攻撃に遭った。
  身を持って体験しただけに、セキュリティー対策は重要と考え、
不正侵入対策、ウイルス対策、データ漏洩防止等々など自分の能力の範囲で、
できる限りの事はやってきたのだ。

  ちなみに、今までのセキュリティー対策の内容とシステム奮闘記の
該当章を表にしてみました。

過去のセキュリティー対策の内容とシステム奮闘記の関連
その8 セキュリティーてんやわんや。
BINDのDoS攻撃とスパムメールの踏み台
その18 ヤマハRTA55iルーターのパケットフィルター設定
その21 Linuxのパケットフィルター・iptables編
その23 RAIDでハードディスクの2重化。
CD-RWでデータのバックアップ
その27 ヤマハRTA55iでPPTPサーバー構築。通信の暗号化
その29 LinuxでPPTPサーバー構築。通信の暗号化
その32 Postfixメールサーバーの迷惑メール、ウイルスメール対策
その34 ファイルサーバーSamba導入
テープ装置でデータのバックアップ
その35 IPSeCで通信の暗号化。インターネットVPN導入
その37 ヤマハRTX1000ルーターのパケットフィルター設定
その39 SSH導入で暗号化通信。安全にサーバーに接続
その40 WindowsXPのパケットフィルター設定
その43 日本エフセキュアー社(F-secure社)の
Linuxウイルスゲートウェイでウイルスメール対策
その44 バッファオーバーフロー攻撃の手口
メモリ違反を悪用し管理者権限奪取の仕組み
その57 SMART入門。ハードディスク監視ソフト
Smartmontoolsのインストール・設定

  自分でできる範囲で頑張ってきたと思う。

  だが、2005年に個人情報保護法が施行され、お次ぎは日本版SOX法など
法律の話が出てくると

  できるわけねーだろ!

  と、ちゃぶ台をひっくり返したくなる。
  理系出身の私には法律は、わからぬのらー!!

  なので「事務員だから、法律に詳しくなれ」と言われても
 
  そんな能力があれば、引き抜かれています (^^)

  と完全に開き直るダメな事務員なのだ (^o^)V 


  セキュリティーマネージメントという言葉も出てくるのだが、
「マネージメント」とは肩書きを持つ人が行う事だと
勝手に決めている私なので、肩書きとは無縁の私は・・・

  ヒラリーマンなので、わかるわけねぇーよ!

  という具合に、完全に投げやりになっているのだ (^o^)V


  しかし、ヒラリーマンといえども、IT担当者であるからには、
投げやりのままにするわけにもいかないが、イマイチ、
情報セキュリティーのマネージメントが何なのか見えて来ない。

  そこで、2006年10月に、IPA(独立行政法人 情報処理推進機構)の
セキュリティーセミナーの「マネージメントコース」を受講する事にした。
  内容は・・・

  私の苦手な抽象的な話だった (^^;;

  だが、以下の事がわかった。

  「情報セキュリティーマネージメント」は、経営陣や管理職だけが
学ぶような話ではなく、IT担当者も学ぶ必要がある話なのだ。

セミナーを受けて私が理解した事
この時点までに「情報セキュリティーマネージメント」で、
わかった事は次の通りだった。

セキュリティー対策において、社内の枠組を決めたり、
どこまで危険度を背負えるのか、どう対処するのかを
決めたりする事。

  なんだか・・・

  わかったような、わからんような理解の仕方だ。

  つまり・・・

  全然、理解していないという事だった (^^;;

  そのため、相当、モヤモヤとした物が残っている。

  モヤモヤ感がある状態が一番、イライラするのだ。
  でも、いくら考えても、すっきりしてこないのだった。

セキュリティーとは何?

それから、モヤモヤした状態を引きずっていた。 その間にも、あーでもない、こーでもないと考えているうちに、 ある事が思いついた。 体系的に「セキュリティー」という物を捉えない状態で、 技術から法律からマネージメントまで、個々に対応していると、 全体が見えなくなってしまうし、何をどうすれば良いのかも、 その場しのぎの対処療法的になってしまう。 そこで体系的に整理していく必要があると考え、整理する事にした。 まずは・・・ そもそも「セキュリティー」とは何なのか を言葉の意味から考えてみる事にした。 ご存じの通り、英語の「Security」から由来する。 言葉の意味をキチンと理解するため、英英辞典をひく事にした。
「Security」の意味を英英辞典で調べると
freedom or protection from danger or worry

日本語に訳せば「危険や不安から守ったり解放したりする事」だ。
つまり「Security」という言葉は「危機対策」という意味だ。

ここで気がついたのは、日本語で「セキュリティー対策」という言葉は
日本では浸透したため、違和感がないのだが、「セキュリティー」には
「危機対策」という意味があるため、「セキュリティー対策」と言うと
「危機対策・対策」となってしまう。

「馬から落ちて落馬する」や「頭痛が痛い」という文章と同じで
何気なく使っている「セキュリティー対策」という言葉も
実は、おかしな言葉なのだ。

  「セキュリティー」という言葉の意味は

  危機から守ったり、危険や不安から解放する!

  という意味である事がわかった。

  これで出発点が出来た。

セキュリティーとは情報資産を守る事

だが、言葉の意味を知っただけでは、先へは進まない。 何せ、てんでバラバラな知識を体系的に捉えて行く必要があるのだが、 どうやって考えていけば良いのか、わからない。 しかし、ふとした事で「なるほど」という発想が思いついた。 それは、2006年12月のある日だった。 簿記3級すら合格できない私なのだが、多少は経理の知識はあるので、 次のように考えた。 情報は資産と考えれば、ええかも! だった。 情報は資産として考えるのだ。 そして、次のように考えを進める。 資産運用と捉えれば、ええやん! 情報という資産を、いかに運用するかを考えていけば、 次のような発想に結びつく。 情報は「資産」なので守る必要がある! そうなのだ。 情報資産を危機、即ち、消去・盗難・漏洩等から守る事なのだ。 そして、情報資産を守る事から「情報セキュリティー」なのだ。 少し見通しが良くなってきた。
時代劇で見る情報管理の大切さ(?)
越後屋から「山吹色のモナカ」をもらったお代官様は、
大事なモナカを守るため、蔵を立てたり、南京錠を導入したり、
用心棒を雇ったりするのだが、大事なのはモナカだけではない。

「モナカの受け渡し」と「見返り」という情報の管理も大事なのだ。

外に情報が洩れないように、関係者に刺客を送り口封じを行ったり、
越後屋の帳面を改竄して、他の役人にバレないようにしたりするのだ。
だが、大抵は情報が洩れて証拠を掴まれるため、里見浩太郎が演じる
水戸黄門が出てきて「助さん、角さん、懲らしめてやりなさい」で
散々、暴れまくった上で、角さんが印籠を出して

この紋所が目に入らぬか!

で御用になる。
そのため、悪代官と越後屋は情報管理を怠ってはならないのだ。


(注釈)

ここでの「山吹色のモナカ」は小判で、ワイロの隠語なのだが、
最近、知らない人が増えている。それどころか「なんで知らないの」
と聞くと、「あんたは時代劇の見過ぎ」と言われる。
私が10代の時は、水戸黄門、遠山の金さん、暴れん坊将軍があって
よく見ていたのだが、今では、時代劇の放送が減っているだけに、
無理もないかなぁと思ったりもする。

  余談になるが、情報資産を経営に役立てるという観点で考えれば、
次のようになる。

  情報システム担当者は、技術だけでなく、経営的な視点が必要と
言われるのは、経理の考え方の根底に「カネを生んでこそ良い資産」がある。
  そのため、資産を有効活用できないと、「遊休資産」になる。

  もし、情報の保管に場所や費用が不要であれば、情報は溜めるだけでは
問題にはならない。しかし、実際には、記憶装置、記憶媒体費用、
装置等を運用するための人件費、光熱費、記憶装置の置場を考えると、
情報資産を遊休資産にするのでは、費用だけがかかるので、もったいない。

  まぁ、簿記3級を落ちても、この程度の話なら書けるのだ!!
  経理・会計の話は「システム奮闘記:その33」(簿記・会計学入門)
をご覧ください。

  なので総資本回転率を上げるためにも「情報資産」の活用が求められるのだが、
そんな実力なんぞ・・・

  私にあるわけないのらー (^o^)V  

  もし、私に「情報資産」の活用を提案したり、実践できる実力があれば
今頃、ヒルズ族として豪華絢爛な生活をしながら

  女子アナと鍋パーティーしているのらー!!

  そうなのです。
  私の夢は、美人女子アナをはべらして、ウハウハの生活を送る事です。
  いくら「オッサン」と言われても、私は30代のオッサンなので良いのだ!

  今回は、セキュリティーの話なのだ、情報資産を守るという
「情報セキュリティー」に的を絞って、話を進めたいと思います。


項目を挙げて、それらの分類から始めてみた さて、何からとりかかれば良いのか。 頭の中で考えても思いつくわけでもないので、とりあえず、 頭の整理を兼ねて、情報資産を守るための項目を挙げてみる事にした。 まずは、データ損失に関する項目を挙げてみた。
データ損失に関する項目
情報セキュリティー。データ紛失の項目

  データ損失に関しては、こんなもんだろう。
  次に、データ流出に関する項目を挙げてみた。

データ流失に関する項目
情報セキュリティー。データ流出の項目
物の場合、所定の位置に物がなければ、持ち出しがある事に気づく。
そして、持ち出しなどを記載する用紙に何も書かれていない場合は
無断に持ち出された事に気づく。

しかし、情報の持ち出しは気づきにくい。
書類とった紙に書かれた情報を持ち出した場合は、
物なので気づきやすいが、別の紙に内容を写した場合だと
情報の流出があって、気づきにくい。
だが、まだ、情報を大量に転記して持ち出す事は難しい。

だが、コンピューターの電子データの場合、
一度に大量の複製ができる上、流出があった場合でも、
元本が消えるわけでないため、大量データの流失があっても
気づかない場合が出てくる。

  少し整理された感じがした。
  こんな風に、分類していけば、何か見えてくると思ったのだが、
この時点で思いついたのは、この程度だった (^^;;

  めんどくさいので、この時は、これで分類をやめてしまった。


分類を行うのに良い本と出会う ある日の事、本棚から以下の本を見つける。 「ロジカル・シンキング」(照屋華子、岡田恵子:東洋経済新報社) 以前、「論理的な思考力を身につけなければ」と思い買った本だが、 当時、少し読んだのだが・・・ 難しくて読まれへん (TT) といって積ん読になっていた本だ。久々に本を見てみる事にした。 時間をおいて読み直すと、意外と内容が理解できる。 高校時代で1年の時に理解できなかった内容が、3年で勉強しなおすと 「なんで、こんな事が理解きへんかったんや」という経験があるのと同様に 時間の経過は、理解力を向上させる側面があったりする。 この本は、物事を相手に伝える際、的確に伝えるための手法が書かれている。 自分ではわかったつもりで話したり、文書を書いたりしていても、 相手に正確に伝わるとは限らない。 話に重複があれば、すっきりしなくなる。 そして、ある分野の話題を取り上げる際、当り前だと思っている前提知識は 相手にとっては当り前とは限らない。その場合、洩れが発生する。 なので、相手に理解できないだけでなく、自分と相手との認識に ズレが生じてしまう問題が発生する。 そこで、相手に対して物事を正確に伝えるための手法があるという。 MECEという方法だ MECE(ミッシー)とは、話の重複、洩れ、ズレをなくす技術という。 MECEは「Mutually Exclusive and Coollectively Exhaustive」の略で 「ある事柄を重なりなく、しかも洩れのない部分の集合体として捉えること」 を意味すると本に書いてあった。← 自分で訳すのが手間なので引用 (^^;; MECEという手法で、自分の伝えたい内容を整理・分類を行い 簡潔にわかりやすく伝える事なのだ。 この本はセキュリティーとは直接関係ない。 しかし、今回、情報資産を守るための項目を挙げていくには セキュリティーとは何かの整理・分類を行う必要があるので、 MECEの手法は使えると思った。 そこで、もう一度、情報セキュリティーについて、自分なりに分類・整理を してみる事にした。

情報セキュリティー・技術編

セキュリティー対策(厳密には、おかしな言葉なのだが使う!)で 技術系の人が真っ先に目を向けるのは「技術」だと思う。 私の場合は事務職だが、事務の仕事は嫌いで、技術は好きなので、 私も自然と技術に目を向ける。 セキュリティーのための技術。 それは「情報という資産を守るための技術」の事を指す。 そこで技術面から「情報資産を守る」事を見てみた。 大きくわけて2つある。
技術面に情報資産を守るという点を分類すると
(1)
データの保管

折角、集めた情報資産が、保管装置の不具合、故障等で
紛失する事態が想定される。
それを防ぐ事ための技術が必要になる。
(2)
盗難防止

不正侵入して大事な情報資産を盗む被害から
守る技術が必要になる。

もちろん、踏台という悪事もあるが、
情報資産を守るという観点とは違うので、
ここでは「踏台」は外した。
これも不正侵入の範疇に入る。

  不正侵入者による悪事の中で、踏み台という行為もあるのだが、
上の分類は「情報資産を守る」という観点であり、踏み台とは異なるので
ここでは「踏台」を分類から外した。


  ****  データの保管  ****

  集めた情報(データ)を保管するのに、各種媒体が使われる。
  IT機器を使った媒体だと、フロッピーディスク、ハードディスク、
CD-R、DVD-Rといった保存媒体に保管される。

  古来から現在にあるのが紙で印刷して保存する方法もあるし、
バビロンの遺跡時代には、石に文字を掘っていた。これも記憶媒体だ。

保存媒体の問題点
(1)
データの劣化

データが劣化する問題がある。
テープやフロッピーだと磁気の劣化があるし、
紙の場合だと酸化してボロボロになる問題がある。
(2)
媒体の破損

IT機器の場合、基板のどこかが故障したら、
データが取り出しできなくなったりする問題がある。

例えば、保存媒体であるハードディスクそのものも
実は精密機械なので、ハードディスク内部にある
チップや基板が故障するとデータが読めなくなる。
(3)
読み書きする機械の存在

媒体の保管が優れていても、読み書きする機械そのものが
販売中止になり、それが故障していくと、代替えができなくなり
ついにはデータの呼び出しができなくなる問題がある。

ビデオのβ版が良い例だ。
β版のビデオ装置が販売中止になってから年月が経っているため、
折角、β版で保存したビデオの内容が見たくても、世の中に
正常に作動するβ版のビデオ装置が少なくなっているため
見れなくなっているのが現状だ。

  安全のため、データを保存媒体に保管しても、媒体内部で
データが劣化してしまうという問題なのだ。悩ましい問題なのだ。

  バビロンの遺跡等にある石に刻まれた文字なら、数千年は保存できる。
  紙の場合だと、数百年が限度。保存状態が良くても、
紙が酸化しボロボロになるからだ。

  だが、電子機器のデータ保存の寿命は長くない。
  フロッピーディスクは、だいたい2、3年しか保存できない。
  だんだん磁気円盤に記録されている磁気データが劣化するからだ。

  CD-Rに保管しても、20年ぐらいでCDが劣化するのだ。


  媒体内部でデータの劣化がなくても、IT機器でデータを保管する場合、
機械そのものの劣化で、機械が故障し、データが取り出せない問題もある。
  ハードディスクの場合でも、磁気円盤が正常であっても、基板や
チップやモータなど、どこかが破損してしまうと、データの読み出しが
不可能になったりする。

  保存媒体の中に入っているデータの劣化と、保存媒体の機器そのものの劣化。
  それを考慮して、データを保管しないと、気がついた時には
データが取り出せなくなる危険がある。
  

  そして、保存媒体が優れていても、読み書きのための装置の問題もある。
  ビデオのβ版の問題も挙げたが、それ以外にも例がある。
  昔、主流だった8インチのフロッピーは、今は使われない。
  それどころか、読み書きに使う機械すら売っていないのだ。
  世に出ている読み書きする装置が故障し、代替えすらできなくなると
折角のデータの読み書きができなくなる。


  これら3点の問題を踏まえた上で、次の問題点も出ている。

  昔の媒体なら保管できるデータ量が少なかったので、
仮にデータが読めなくなっても被害は小さかったのだが、
年々、保存媒体が大容量化してしまっているため
 
  データが読めなくなった時の被害は大きくなる一方!

  なのだ。
  そのため、大量のデータを安全に保管する方法が求められる。



  ここで、データ保管に関する私の痛い思い出を紹介します。
  1994年、大学時代に、某N先端科学技術大学院大学のサイトに
スーパーモデルの画像が沢山あったので、どんどんダウンロードした。
  だが、数メガバイトの画像を大学のハードディスクに置いた所で、
ディスク占有しすぎで、大学の情報センターの職員に怒られた事がある (^^;;
  そのため、フロッピーにデータを入れたのだが、数年後には・・・

  大事な画像が全てオシャカになっている (TT)

  だった。
  フロッピーは長期保管には向いていない事を、身をもって体験したのだ。

  私の場合、取り出せなくなったのがスーパーモデルの水着画像なので、
笑い話で済むのだが、NASAでは観測データで、過去のデータの劣化のために
使えなくなった物が相当あるという。
  非常にもったいない話だ。


  ****  盗難防止  ****

  セキュリティーといえば、侵入者対策を連想する場合が多い。
  まさに情報資産の盗難防止だ。

  物理的に企業に侵入して、大事な書類を盗むのも盗難なのだが、
ネットワークを経由してサーバーに侵入し、データを盗むのも盗難だ。

  直接、自分から企業に赴いて盗難するのか、ネットワーク経由で
盗難するのかの違いだけだ。

泥棒とネットでの侵入者を対比させる
泥棒 ネットでの侵入者
侵入防止 施錠する 不要ポートを塞ぐ
不要プロセスの停止
侵入者探知 セコム導入 IDSの設置
貴重品保管 金庫設置。
社屋に侵入されても
金庫で守られる
サーバープロセスは管理者権限にしない
仮に侵入されても身動きが取れないようにし
大事なデータを読む権限を与えない

  他にも、不正侵入者ではないが、ウイルスやスパイウェアを忍ばせ
パソコンの情報をまき散らす事も盗難の一種だ。

  ネットでの侵入者を泥棒と対比させ、対策の違いを書くと
少しは見通しが良くなるかも。

情報セキュリティー・マネージメント編

「マネージメント」と書くから、マネージャー(管理職)のやる事だと 思ってしまう。 だが、マネージメントの意味を調べると以下の通りになる。
マネージメントとは
「management」の意味
カタカナのまま理解しようとするから混乱をしてしまうのだ。

英語「management」の意味から見ていくと、見通しが良くなる。
「management」には、管理、取扱いの意味がある。
動詞「manage」(うまく取り扱う、管理する)から名詞化された物だ。

つまり「management」には、肯定的に「円滑に物事を運ぶための方法」の
意味合いがあるのだ。

  要するに、セキュリティーマネージメントとは・・・

  危機管理を円滑に行うための方法なのだ!

  そのため、セキュリティーマネージメントのテキストに書いている内容が
より理解しやすくなる。

セキュリティーマネージメントとは
(1) 何を守るのかを明確にする事で、対象物が見えてくる
(2) どんな問題点があるかを炙り出す事で
対処すべき事が見えてくる
(3) 問題発生時における被害想定を行う事で
被害の大きさや、損失が見えてため
対策の優先順位を立てられる
(4) 会社組織として決まり事を設定する事で
セキュリティーの向上や、問題が発生した後の
対処が円滑に行える
(5) 対応する人、責任者を決める事で
事が起こった時の、迅速な人の動きがとれる。

  物事を円滑に行うための方法論であり、そのための枠組作りなのだ。

  カタカナ用語だと拒否反応があったのだが、こうしてみると
話としては、別に難しい事ではない。
  それに、管理職だけでなくヒラリーマンでも必要だという事がわかる。

方針(ボリシー)を決める

セキュリティー対策のための方針(ボリシー)だ。 そもそも方針がない状態で セキュリティー対策は重要! と叫んでも、何をどうするのか決まっていなければ、身動きがとれないので、 かけ声だけに終わる。例え、動きがとれても、場当たり的な対応になる。 そのため、関係者全員が共通認識を持ち、かつ、円滑に物事を進めるためにも 方針を決めておく必要があるという。
方針(セキュリティーポリシー)を立てるには
(1)
なぜ対策をするのか

そもそも対策を行う理由がないと、誰も理解してくれない。
「カネを産む情報資産を守る」という事を認識させる意味でも
きちんと明文化しておくのが良いと思う。
(2)
何をするのか

「情報資産を守る」という目的があっても、
実際に、何を行うのかをハッキリさせる必要がある。

具体的には「ハードディスクの中のデータを守る」とか
「パソコンの中のデータを盗み見されない」といった事を
ハッキリさせておけば、守るべき対称がハッキリする。
(3)
どのように行うのか

実際に、個々のセキュリティー対策を
どういう手順で行うのかを文書化しないと
対策が実行できないため、

ハードディスクのデータを守る場合は、
バックアップとしてテープに記録をとるとか、
CD-RWに焼くなどの手順を明記しておく。

パソコンの中のデータを盗み見されないために
パスワードを設けるとか、パスワードを強化するため
6文字以上の英数混じりなどにするといった手順を定める。

そうする事で、どういう手順で守るのかがわかる。

  そう考えると、セキュリティーの方針(ポリシー)といっても
何ら難しい事ではない。
  ただ、手順書を書いたりするのは手間だったり、例え書いても、
内容が技術的に難しければ、誰も読めない問題も起こり得るため
担当者だけが知っているという事はありがちだが。


セキュリティーに関する法律の話

セキュリティーマネージメントの部分では、法律に関する話が出てくる。 法律といえば、わけのわからん用語の雨・嵐という物だと思っている私。 民法の本を見ると明治時代の文語調の書き方で、非常に読みづらい。 というより、読めない。なので・・・ 理系出身の私にわかるかー! と、ちゃぶ台をひっくり返したくなる ← 星一徹か! だが、根本的な事に立ち返り、そもそも法律がある理由は何かを考える。 その答えは単純明解だ。
世の中に法律がある理由
法律とは国が定める決まり事だ。
基本的には社会生活を円滑に送るための決まり事だ。
(色々、悪法もあるが、それは横に置いておいて)

例えば「飲酒運転の禁止」を考えてみる。
車を運転する人が飲酒運転を行う事により、交通事故が増え、
罪もない人々の命を奪うのを防ぐためにある。
市民生活の安全のために設けられた規則なのだ。

罰則規定があるのは、規則を破る事で、市民生活の安全を
脅かす要因になるため、規則を破った者へ責任を取らす意味合いと
同様の事が再発しないようにする意味合いで、罰則規定があると考える。

  つまり法律とは、社会全体で安心・安全を確保したり、
物事を円滑に進めるための規則なのだ。
  そして罰則は、規則を破った者への責任を取らせる事と、再発防止という
2つの意味合いがあるのだ。

  その考えに立ち返ると「なーんだ」と思えてくる。
  法律を難しく考える必要がなくなるし、身構える必要がなくなる。

  ふと思った。
  不正アクセス防止法で考えてみる。
  不正侵入によって、企業・団体が集めた情報資産を盗む輩に対しての
禁止事項と罰則規定だ。
  企業活動する中で、蓄えた情報は、重要な財産になる。情報資産だ。
  その資産を盗み見したり、消去する輩は、企業活動の安全を脅かす存在のため
危険な存在に対しての罰則(もしくは抑止力)が設けられている。


  個人情報保護法も同じように考える。
  個々の国民の情報が安全に保管されるように、企業・団体に課した規則だ。
  個人情報が流用した場合は、個人情報が守られなかったという事になる。
簡単に洩れるのであれば、安心して個人が自分の情報を登録しなくなる。
  そこで、企業や団体に情報管理の義務を課して、個人が安心して
情報の提供ができるようにするのが目的だ。

  まぁ、個人情報保護法は、役人の不祥事を隠蔽する道具に使われているが
それは横に置いて、法律の本来の目的を考えると、円滑の物事が進められ
安心して過ごせる社会のためにある規則なのだ。


  法律文書はわかりずらい上、曖昧性があるため、解釈が厄介なのだが
大枠で考えると、見通しが良くなる。

  反対に、枝葉ばかりに目がいくと、法律の話が見えにくくなり、
見通しが悪くなるので、枝葉については、必要時に学習すれば良いと思う。

実戦的にセキュリティー対策を行う

ここで実感としてわかってきた。 セキュリティー対策は決して・・・ IT担当者だけが行う物ではない! 情報資産を守るための手段として、技術的な面での対策を行うのは IT担当者としての仕事だ。 しかし、情報資産の流出、損失による被害額の算定。 社会的信用の失墜などを防ぐ事への対策は、IT担当者だけではできない。 もちろん、うちの会社でも、ヒラリーマンの私1人ではできるわけがない! そこで考えた。 まずは現状分析を行う必要がある! そう。いくらセキュリティー対策の重要だと、わかっていても 現状分析ができていないと、場当たり的な対応しか取れない。 つまり、問題点をハッキリさせないと、具体的な計画が立てる事ができない。 そこで、今までやってきた対策、今、直面している問題点を整理して、 現状分析を行い、上層部に報告する必要があると考えた。

セキュリティー問題の現状分析

2007年8月、七転八倒しながら、セキュリティー対策の現状について 上層部に提出するセキュリティー問題の現状分析を行い、 報告書にまとめる事ができた。 まず、大事なのは「そもそもセキュリティー対策で何を守るのか」を 明確にする事だ。 そこで私は以下のように簡単にまとめた。
セキュリティー対策とは、一体、何を守るためなのか
(1) コンピューター内部、及び、媒体に保管されているデータ。
即ち、情報資産を守る事
(2) 情報資産を操作・保管するための機器、媒体を守る事

  抽象的な表現だが、突き詰めて考えれば、この2点に集約されると思う。

  具体的に「売上情報」や「顧客情報」は注釈に明記したら、
よりわかりやすい良いと思う。


  企業を運営するに当たり、情報資産は大事になってくる。
  だが、なぜ大事かを説明する必要もある。

なぜ情報資産は大事か
情報提供会社なら、情報そのものがカネになる。

そうでない場合でも、顧客情報があれば、
より商品を買ってもらうために販売促進ができるし、
売上情報を見て、売れ筋商品の傾向や時期を見て
販売戦略を立てたりして、より効率の良い販売が可能になる。
直接的、もしくは間接的にカネになる財産なのだ。

それだけでない。
自分達を信用して個人情報などを情報提供してくれる場合もあり
それらが流出となれば、信用失墜のため、後々の商売の上で
多大な損害になる。

だから大事なのであり、紛失したり、盗難されては良くないのだ。

  そういうわけで情報は、土地、建物、資金と同様に、企業活動を行う上で、
必要不可欠な資産になっている。


 
  情報資産と情報機器の安全が保たれれば問題はないのだが、
その安全を脅かす要因があるため、セキュリティー対策が行われるのだ。
  安全を脅かす要因は何だろうか。

  そこで、私はMECEを活用して、以下のように分類してみた。

安全を脅かす要因
セキュリティーの現状分析で浮かび上がった安全を脅かす要因
情報資産の安全性を脅かす要因として、まずは災害や事故によるシステム障害と
不正侵入者による悪質な行為に分類した。

そこから安全を脅かす事象、不正侵入者の行為の目的別に分類し、
最後に具体的に、どんな事が発生するのかに分類した。

  分類が出来た所で、まずは不正侵入者という部分に置いて、
どんな攻撃、どんな悪事を働き、そのために、どんな被害が考えられるのかを
具体的に上げる事にした。

  どんな被害があるのかを知らないと、対策すべきかどうかが
判断できないからだ。
  そこで以下の内容を報告書に書いた。

どんな攻撃があり、どんな悪事で、どんな被害があるのか
【データの盗聴・盗難】
顧客データや売上データ等の盗難、パソコンに記録している重要ファイルの盗難。
ウイルスによるマイドキュメント内のファイルを撒き散らす問題。Winny。
【データの改竄】
データや重要ファイルの改竄。ホームページの改竄。
以前、役所や企業のホームページにワイセツ画像が
張られたりする事例がありました。
【データの破壊】
顧客データ、売上データ等の消去・破壊。
【いたずら・迷惑行為について】
例としてウイルス感染・発病の影響で、システムを重くさせたり
システムダウンさせたりする行為があります。
【踏み台について】
踏み台とは、どこかのセキュリティーの弱いコンピューターに不正侵入し、
そこから攻撃したい先のコンピューターを攻撃する事です。
直接、攻撃せず、経由するため「踏み台」と言います。
不正侵入者は、自分の手を汚さないために踏み台の手法をよく使います。
そのため、攻撃を受けた所は、踏み台にされた場所から攻撃されたと認識します。
もし、うちの会社のサーバーが踏み台にされた場合、うちの会社からの
不正接続と認識されるため、うちの会社に苦情や抗議が来る事が考えられます

  データ破壊、盗難は、よく知られている。

  だが、「踏み台」というのは、IT技術者なら知っているが、一般の人は、
あまり知らないのが現状だ。
  なので「うちの会社には、盗まれる物はない」という発想が生まれたりする。

  そして、ただ悪事の内容を書くだけでなく、過去に攻撃をされた例があれば
それを明記しておくと、他人事ではない事を認識してもらえると思う。
  実際、2001年にBINDのDoS攻撃にあったり、ウイルス騒ぎがあったりしたので
それを明記しておいた。


  そしてデータの破壊は不正侵入者だけではない。
  事故・天災があったり、システム障害が原因の場合もある。

  そこで事故・天災・システム障害で起こり得る事例も挙げる事にした。

事故・天災・システム障害で起こり得る事例
【データの不整合について】
プログラムの処理途中で、パソコンが固まる、停電等のトラブルで
プログラムが止まり、データが途中までしか更新されていない場合や、
2つ以上のファイルの更新のプログラムの処理中にプログラムが停止し、
1つ目のファイルだけしか更新されていないといった現象があります

具体的には、受注入力を行った後の処理中にシステムが止まり、
受注データは書き込まれたが、在庫データの更新が行われなかった場合が
考えられます。
【データの消去・破壊】
稼動中のパソコンが停電等でハードディスク内のデータが消去したり
ハードディスクの故障でデータが取り出せなくなる場合があります。

  パソコンが固まったせいで、折角、作成したワードのファイルが
オシャカになる事は結構ある。
  だが、基幹業務でのトランザクション処理(一連の処理を一度に行う場合)の
問題点は、あまり認識されていない。
  データの不整合を生むため、重要な話になってくる。


  だが、なかなかセキュリティー対策とは進まない物だ。
  なぜ、簡単に進まないのか、その理由を明確にしておく必要がある。
  これによって、セキュリティー対策の問題点を炙り出す事ができるからだ。

  そこで「なぜ進まないのか」の理由について、分類を行うため
 MECEが役に立つ。

  大雑把な分類として3つの項目が挙げられる。

簡単にセキュリティー対策とは進まない理由
(1) 分野が広範囲に渡るため学習が追い付かない
(2) 攻撃の手口やシステムの仕組みを理解しないと
的確な対策が取れない現実
(3) セキュリティーには万能薬は存在しない

  セキュリティーと一言で言っても、情報システムの分野では
非常に多岐に渡る。

  医者に、外科医、内科医、耳鼻科があるように、情報システムの分野にも
個々の分野があるのだが、それを一般の人への認知はされていない。
  そのため「セキュリティー分野」と一括りにされてしまう。
  
  そこで大雑把に7つの分野という分類を行った。

セキュリティーに取り組むために必要な分野
(1)
通信(ネットワーク)分野

通信データの盗聴、通信回線を使った外部からの攻撃。
(2)
データベース分野

データベースへの不正侵入。データの改竄・消去・盗難。
(3)
Webアプリの分野

Web検索システムの分野です。不正侵入者によるデータの盗難。
ホームページの改竄があります上、データベースと絡めた
SQLインジェクト攻撃などがあります。
(4)
OS分野

OSとはコンピューターを動かす基本ソフトで
Windows、Linux、OS400があります。
システムの乗っ取り、管理者権限奪取による
システムの破壊活動があります。
(5)
サーバーソフト

サーバーソフトとは、ホームページを公開したり、
メールの配信を行ったりするためのソフトの事です。
このソフトのセキュリティーホールを使って、不正侵入を行ったり、
一斉攻撃を行いシステムの停止(DoS攻撃)があります。
(6)
ウイルス・スパイウェア等

ウイルス感染によるシステムの誤作動・停止。
そして、データの持ち出しがあります。
(7)
ハードウェア装置

ハードディスク、メモリといった装置に関する知識です。

  もちろん、これでは説明が不十分なのだが、詳しく書くと読む気が失せる
長い内容になってしまうので、軽い説明にとどめた。


  セキュリティー対策が進まない2番目の理由に「攻撃の手口や
システムの仕組みを理解しないと的確な対策が取れない現実」と書いた。

  それは何故か。2つの理由を挙げてみた。

攻撃の手口やシステムの仕組みを理解しないと
的確な対策が取れない現実
(1)
当てずっぽな対応は効果が期待できない上、
副作用の危険があるため

薬の処方で、鼻水が出るからといって、花粉症が原因なのに、
風邪薬を飲んでも効果がない上、副作用を起こす危険があります。
それと同じで、不正侵入者を防ぐための装置
(ファイヤーウォール)を導入しても、
手口を知らずに当てずっぽな設定ですと効果がなかったり、
下手に設定を行ったため、通信ができなくなるトラブル(副作用)を
引き起こす原因にもなります。
(2)
攻撃の手口や被害内容の種類が多いため、
体系的な知識がないと対応が不可能

バッファオーバーフロー攻撃を例にあげます。
バッファオーバーフロー攻撃は、C言語の欠陥を突いた攻撃で、
外部の攻撃の半分以上がこの攻撃で占められています。
世の中の多くプログラムの多くはC言語のためです。
この攻撃によってもたらされる被害内容は、何百種類あります。
サーバーソフトの乗っ取り、管理者権限奪取、サーバーソフトの停止、
ウイルス感染等、バッファオーバーフロー攻撃によってもたらされる
被害・事例を追っかけて対処する事は、物理的に不可能です。

そのため攻撃方法の全体像を把握するために、
そもそもバッファオーバーフロー攻撃とは、
どんな仕組みで起こるのかを知り、
それによって起こり得る攻撃を想定できれば、
個々の被害内容や事象に振り回される事はなくなります。

  セキュリティー対策の基本は、攻撃する相手の事を知る事なのだ。
  敵を知らずして、当てずっぽな対策をしても、処置はできないし
逆に、通信ができなくなるなどの副作用を招きかねない。

  ただ、敵の事を知るには、システムに関する、相当な知識が必要な事を
明記して、上層部に認識してもらう必要がある。


  3番目は「セキュリティー対策に万能薬がない」事だ。

セキュリティー対策に万能薬がない
薬に、胃炎、風邪、捻挫、花粉症等の症状全てに効く万能薬が
存在しないのと同じく、セキュリティー対策にも、
個々の問題点や症例に対して対応を行う必要があり、万能薬は存在しません。

もし、万能薬があれば、今ごろ、世界中でセキュリティー問題は
解決できています。

  万能薬がないのは明記しておく必要はある。
  実際、うちの会社でも「セキュリティーが重要なら対策ソフトの
見積りを出したら」と言われた事がある。
  対策ソフトを買えば、万能薬のごとく効果があると思っている。


  セキュリティー対策が簡単に進まないのは、分野が多岐に渡る上、
手口や仕組みを知る必要がある上、万能薬がないという事だ。

  これを認識してもらわないと、「セキュリティー対策ソフトを買えば」と
言われるだけだ。


  そして、7つの大雑把に分類した分野別に、過去における対策、
現在の取り組みをまとめていった。


  合計19ページに渡る報告書を書いて、役員全員と上司にメールで提出した。
  だが・・・

  誰からも反応があらへん・・・ (--;;

  もしかして、当事者意識がないの・・・。
  私に「全てをやれ」という事なの・・・。

  ここでセキュリティー対策を行う上での厄介な点が浮き彫りになった。
  ITの話という事で、IT担当者の仕事と思われる点だ。

  だが、データを情報資産と捉えた場合、つまり「カネのなる資産」と捉えたら
話は変わってくるはずだ。


  でも、当事者意識がなかっただけが原因ではないようだ。
  19ページの報告書だったので、正直、分量が多いと思う。

  直属の上司からは

  最初は読んだが、だんだんしんどくなってきた

  だった (^^;;

  うーん、キチンと現状を報告するには説明が長くなる。
  なぜなら、読み手のITに関する知識が問題になるからだ。
  読み手が「前提となる知識」を持っていない場合、前提となる知識も
説明していくため、どうしても文章としては長くなる。

  だが、長い文章となれば、読み手にとっては読む気が失せる物になる。

  洩れがなく、認識のズレが起こらぬよう前提となる知識も添えて、
しかも簡潔な文章を書く。

  これは至難の技で、誰しもが悩む所だ。

その後もセキュリティー対策は続く 報告書を書いた後も、セキュリティー対策は続けた。
セキュリティー対策の内容とシステム奮闘記の関連
該当章 内容
その60 データベースのデータ整合性について
データベースPostgreSQL入門。
トランザクション、ロック機能、VACUUM
その63 データベースのバックアップと障害復旧
PostgreSQL入門。WALって何?
障害時のデータ復旧とバックアップ
その64 Linux + ApacheでSSLで暗号化通信のインストール設定。
Webアプリの安全性向上。認証局と電子署名について

  単にセキュリティー対策は、侵入者によるデータの盗難、消去だけでなく、
データベースのデータ整合性などにも及ぶ。

  「情報資産」を守るという観点で考えると、データの不整合は
あってはならない事だからだ。

  そう考えると、セキュリティー対策における技術面は
相当、広い範囲にまたがる。そして専門的知識も要求される。


PDCAサイクル

自分なりにセキュリティー対策の順序をまとめてみました。
セキュリティー対策の順序
第1段階
目的を考える

そもそも何をするのか、何をすべきなのかを
認識しないと、計画そのものが立てられない。
第2段階
現状分析を行う

現状、どうなっているのかを知らないと
どこに、どんな問題点が潜んでいるのかを
把握しておかないと、対策をとる事はできない。

大雑把でも良いから現状分析を行い全体像を把握する。
そうでないと、場当たり的な対応になってしまう。
第3段階
問題点の対策のための実行

現状分析した結果、問題点や不備のある点に対して
可能な部分から改善を行う。

対策不可能な場合は、その部分からは撤退する。
もしくは、被害が小さい場合は、敢えて対策をしない
という方法も取れる。

  これだけでは不十分なのだが、現在、行っているのは第3段階なのだ。
  なので、自分自身、頭の中で整理できている範囲としては、
残念ながら、ここまでなのだ。


  ところで、セキュリティー対策の本には「PDCAサイクル」という言葉がある。
  その前に「PDCAって何やねん」と思われるだろう。私も何やねんと思う。

  調べてみると以下の事をいっているのだ。

「PDCA」とは何か
P
Plan(計画)

どういうセキュリティー対策を行うのかの計画を立てる。
つまりセキュリティーポリシー(方針)の策定だ。
D
Do(実行)

策定したセキュリティー対策の方針に従って
実行する事だ
C
Check (評価)

セキュリティー対策を実行した結果を評価する事だ
どれくらい効果があったのかを知るのが大事だ。
A
Act (改善)

Actという言葉がふさわしいとは思えないが
ここでは評価を見て、改善できる所を改善するのだ

  「PDCAサイクル」といって、方針を決め、実行をし、実行結果を評価し、
改善箇所を改善し、そして新たに方針を決めるという循環だ。

  図にすると以下の通りだ。

PDCAサイクル
PDCAサイクルの図

  循環を繰り返す事で、日々、セキュリティー対策を強化していく事だ。

  まだ、私の場合、この循環が綺麗にできているとは言えない。
  今まで場当たり的にやってきただけだ。

  上手に循環していく仕組みを作っていく必要があると感じた。

補遺:セキュリティー対策が進まない理由 セキュリティー対策が進まない理由は、先程、紹介しましたが、 次の要因も大きいので、ここで載せる事にしました。 ■■■ 被害金額の算定 ■■■ お金と違って、「情報」は目に見えない存在のため、実感として 掴みにくい物になっている。 そこに、IT技術の話が絡んでくるため、とっつきにくい物に感じてしまう。 そしてお金と違って、盗まれても、被害額が算定しずらい面がある。 お金だと「金庫から100万円盗まれた」だと大慌てになるのだが、 「100Kバイトの情報が盗まれた」では、被害金額の算定は困難だ。 ウイルスをまき散らして迷惑をかけたといっても、信用の失墜度合も 算定しずらい。 もし、私に対して「算定するように」と言われても ヒラリーマンにできるわけねーよ! と、ちゃぶ台をひっくり返したくなる ← 再び、星一徹になる (^^)V まぁ、私に限らず、算定方法を知らないと、算定なんぞできるわけないので 簡単な話ではないのだ。 そして、例え被害額が算定できても・・・ 確率的にしか災害は起こらない! なのだ。 そのため、もし、何も起こらなければ、無用な出費という発想になる。 「まさか、うちが」という発想がある限り、セキュリティー対策費用は 保険という必要経費ではなく、博打的な出費という発想になってしまう。 被害額の算定だけでなく、発想の転換が必要になってくる。
■■■ いい加減な業者の存在 ■■■ ユーザーの立場だから平気で書ける話。 セキュリティー対策を行うため、自力でシステムを構築せずに 外注に任せれば良いという人がいる。 だが、それは次の前提が成り立つ時に限られる。 あくまで「まともな業者」に発注した場合のみ! いい加減な業者は沢山ある。そして淘汰されずに生きている。 「外注」ならぬ「害虫」という連中だ。 「そんな業者と取り引きするな」と言う人がいるかもしれないが、 ユーザー企業の多くは「外注」と「害虫」の違いを見抜けない。
一般ユーザーが「害虫」を見抜けない訳
(1)
業者はプロだからという発想

一般ユーザーには、システム構築を生業としている業者は
専門知識を持ったプロの集まりという認識がある。
そのため、まさか耐震偽装ならぬ「システム偽装」を行っているとは
夢にも思っていない。

医者の場合、ヤブと名医がいるのは認知されているのだが、
システム会社には、コンピューター好きの人がいて、
コンピューターに強くないと入社できないという認識が一般的なので
「害虫」の存在がある事に気がつかないのが現実。

私自身、勤務先で「害虫には注意」と呼びかけていた。
今でこそ、社内で認知されてきたが、最初の頃は
「専門業者だから大丈夫」と言われた事があった。
(2)
害虫を見抜くには眼力が必要

例え、害虫の存在があるとわかっても、見抜くには眼力が必要。
眼力とは「システムの技術的な知識」なのだ。
業者の提案した内容を技術的な部分で精査して、
「あれっ?」と思った事に対しては質問したり、
別の良い方法があれば、「こっちが良いのでは」と
指摘するだけの力量が必要だ。

大手のようにシステム部門といった専門部署があれば良いが
中小企業のように専任担当者が置けない所では
システム好きの人でないと、自ら専門知識を覚える余裕はないので
担当者に眼力を身に付けるのは、あまり現実的ではない。
(3)
害虫が発生する実態を知らない

害虫を生んでいる背景には、一般ユーザーがシステムの価値を考えず
安く買い叩くのもある

システム構築の大半は人件費なのだ。
技術力のある人が構築すると、人件費がかかる。
安くシステムを構築するためには、素人同然の技術者に
プログラムを書かせる事態が発生する。
新人に、1、2週間だけプログラムの本で勉強させた後、
客先のプログラムを書かせるムチャクチャな事が横行していたりする。
だが、そんな事は、一般ユーザーには夢にも思っていないのだ。

害虫の中には、意図的に素人同然の人にプログラムを書かせ
安月給で徹底的にコキ使い、給料が上がってきたら、
お払い箱にする悪徳業者もある。

  こんな感じだ。
  そのためセキュリティー対策を考える上で、システムの外注については

  一般ユーザーは害虫が見抜けない!

  という事を前提に考える必要がある。


  もっと厄介な事がある。
  同じシステム会社でも担当者によって力量が大きく異なるのだ。
  「まともな担当者」の場合は良いが、「いい加減な担当者」になった場合は
最悪だ。これは運・不運の問題になる。


  大手だから安心という事にはならない。
  そして、大手の場合、下請けに外注している場合がある。
  下請け業者が「まとも」かどうかは、わからない。
  大手の曾孫下請けが、オウム真理教の関係企業だった話がある。
  下請けの多重構造のため、元受け企業は、下請け管理しきれないのだ。


  そう考えたら、人間不信になるし、根深い問題があり、
簡単には事が進まない。

■■■ 言霊信仰 ■■■ ここまでいけば、日本人の精神分析論の話になるのだが、 セキュリティー対策と大きく関係している。 日本人の危機管理意識が低い理由を、上手に説明した本がある。 「仏教・神道・儒教集中講座」(井沢元彦:徳間書店)だ。 P191に「言霊信仰」が日本人の危機管理の下手さを指摘している。 言霊信仰とは「言葉には霊力があり、言葉を発する事により、 言葉の力によって、事が起こってしまう」という信仰だ。 本来、言葉は単なる情報伝達手段にすぎない。 しかし、日本では言霊信仰のため、もし、不安な事があっても 不安が的中する事を忌み嫌い、口に出さないという発想につながる。 「なるほど」と、うなづける面がある。 身近な例では、悪い事象について「起こるかも」と言うと、 「縁起でもないからやめてくれ」という例だ。 確率的にしか起こらないのに、口に出すと、あたかも現実に 事が起こってしまうと思ってしまう発想だ。 もっと大きな話では、核保有の是非を巡る議論が良い例だ。 本来なら「持つべきか、持たざるべきか」を議論する必要があるのに 「核」と聞いただけで、左寄りの連中らが、核保有の議論する事で あたかも「核保有国」になってしまうと思い込み、議論する事自体に、 反対する発想だ。 悪い事象が起こるのを恐れ、それについて議論する事を忌み嫌って 何もしなければ、発展はない。危機管理なんぞできるわけがない。 その点、欧米では言葉は、情報伝達の道具にすぎないと考えるので 良い事、悪い事は、確率的に起こり得るという科学的な見地で見ている。 そのため、悪い事象が起こり得る事を想定し、関係者同士が議論しながら 危機管理を行おうとしている。 いい加減、日本人は言霊呪縛を自ら解放し、どんな事象であれ、 確率的に起こり得る物であり、それに対して備えるという発想が必要だ。
本当は科学「非」立国・日本
日本は科学立国という割には、非科学が蔓延る奇妙な国だ。
言霊信仰もオカルトの一種だし、以心伝心もテレパシー信仰という
オカルトの一種だ。

科学的根拠が全くない血液型占い、星座占いが流行ったりする。
江原啓之、細木数子といった連中らがテレビで、もてはやされるのは
いかに日本人が非科学的かを物語っている証拠だと思う。

もし、私が非科学を信じ、しかも、地獄の存在があると信じるなら
「地獄に落ちる」と言って人を罵倒するクソババの細木数子に対して
「てめーこそ地獄に落ちろ!」と言いたくなる。

 危機管理といえば、イスラムに学ぶ所がある。
 それはイスラムの結婚制度なのだ。

イスラム教における危機管理「結婚」
イスラム教では「結婚」は契約として考える。
そのため、結婚の際に、離婚した場合の財産分配などを決める。

日本の場合、結婚の際に「離婚」という話をするだけでも
「縁起でもない」と一蹴されるのだが、現実問題、
離婚は確率的に発生する。
  離婚の場合、財産や親権などで揉め事が起こり裁判になったり
裁判所で判決が出ても、強制力がないため、
お互いが納得(?)できる清算が行われないのが実態だ。

新婚カップルに、将来、確率的に起こり得る離婚に対しても
円滑に清算ができるように取り決めをするイスラムの発想は
危機管理の基本だと思ったりする今日この頃。


まとめ セキュリティーについて取り上げてみました。 どうしても技術面ばかりに目がいってしまいそうですが、 立ち止まって考えてみますと「情報資産をどうやって守るか」が命題なので 技術面ばかりではなく、情報資産を守るための社内での枠組作り、 そして法律への対応が挙げられます。 今回は、入門なので深くは踏み込みませんでした。 というより踏み込むだけの知識や行動は起こしていないため (^^;; 今後は、セキュリティーについて踏み込んだ話を取り上げたいと思います。 「マネージメント」という言葉が出てきても、決して、ヒラリーマンでも 無縁ではありませんので (^^)

次章:「北京旅行記」を読む
前章:「日本初のWebファイルマネージャー axlope」を読む

目次:Linux、オープンソースで「システム奮闘記」に戻る

Tweet