Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008 第1回「サイバーノーガード戦法 3つの魅力」
サイバーノーガード戦法という言葉を筆者が使ってから、すでに4年の歳月が過ぎている。
特集
特集
サーバ管理者、経営者に朗報!
安価で安全な新方法論 サイバーノーガード戦法!(2004.2.5)
https://www.netsecurity.ne.jp/1_459.html
カカクコム続報
実はサイバーノーガード戦法? 最大の問題は無知の脆弱性(2005.5.17)
https://www.netsecurity.ne.jp/1_2777.html
大手サイトの「4つのやりません宣言」
サイバーノーガード戦法を超えた必殺のサイバークロスカウンター!
(2005年5.26)
https://www.netsecurity.ne.jp/1_2937.html
この間、我が国のネットサービスの平均的なセキュリティのレベルが上がったかといえば、おそらく答えはNOだろう。自分のメールアドレスを検索したら、大量のアドレスが放置されているページがヒットして、えらく驚いた。いまでも当たり前のように、こういうことがあるのである。
確かに、セキュリティについてさまざま啓発活動がなされ、さまざまな対策および商品が作られてきた。実効性はともかくとして、さまざまな認証や規格も登場してきた。
しかし、こうしたセキュリティ向上への取り組みにもかかわらず、依然としてサイバーノーガード戦法は有効であるという信念をもつサイト運営者は少なくないようである。
理由は単純でインシデントが起きた際の企業責任と被害者保護についての状況が変化していないためである。くわしくは後述するが、言葉を換えれば、企業から見た場合、サイバーノーガード戦法を採用するメリットは以前として少なくないといえる。この点が解決されない限り、サイバーノーガード戦法の優位性はゆるがないと思われる。
4年たってもいまだに通用するサイバーノーガード戦法についてのおさらいと今後の可能性を整理してみたいと思う。
●そもそもサイバーノーガード戦法とはなにか?
サイバーノーガード戦法とは Scan Security Wire 誌と ScanNetsecurity 上に掲載されたコラムで筆者が使った言葉で、下記のような企業のセキュリティ対策を指している。
ようするに、セキュリティ対策をちゃんと行っておらず、インシデントが起きてもお詫びだけですませようと考えているサイト運営者とそんなサイト運営者をかばうような制度を皮肉ったものだった。
・セキュリティ対策は行わない。
・インシデント(主として顧客情報の漏えい)が発生したら、とりあえず謝罪する。
・自分たちはあくまで被害者であると主張する。悪いのはインシデントを引き起こした連中だと強く主張する。必要に応じて、攻撃者を告訴する。
・被害者には基本的にはお詫びですませる。
・よほどうるさい場合には、金一封くらいを送る。
インシデントにならなくても、脆弱性を発見したという連絡があることもある。そういう時には、その内容によっては連絡してきた本人を不正アクセス禁止法で訴えるという強い姿勢も大事である。
筆者の考えでは、脆弱性が深刻な被害につながることを憶測ではなく、ちゃんと証明するためには、不正アクセス禁止法に抵触する行為が必要である。抵触しない範囲では、脆弱性を利用した攻撃でなにを取り出せるかは、あくまでも可能性=外部から想像あるい憶測したものでしかない。いちいち部外者の憶測につきあっていたら、商売などやっていられない。まともに対応しなくても問題ないであろう。
このサイバーノーガード戦法のメリットは下記のように少なくない。
【効果 その1 コスト削減】
なにしろセキュリティ対策をしないのでよいのである。損害賠償が怖い?あなたが数万件の莫大な個人情報を扱っている業者でなければ、そんな心配はいらないのである。ここが一番気になるところなので、くわしく後述しよう。
【効果 その2 運営者側の安全確保】
個人情報を盗むやつが悪人なのである。自分は常に被害者なのである。こういう姿勢こそが運営企業の安全確保につながる。
【効果 その3 攻撃者への威嚇】
御親切に脆弱性があると連絡してくるやつも悪人の仲間である。脆弱性を公開するやつなどは、不正アクセス禁止法違反で訴える。
驚いたことに、いまだにこのメリットは有効なのである。これがサイバーノーガード戦法が生き延びている大きな要因といえる。(つづく)
【執筆:Prisoner Langley】
(※筆者注:本稿は、警鐘をならすための啓発記事であって、サイバーノーガード戦法を推奨しているわけでありません。)
【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》