Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008 第1回「サイバーノーガード戦法 3つの魅力」 | ScanNetSecurity
2024.05.09(木)

Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008 第1回「サイバーノーガード戦法 3つの魅力」

 サイバーノーガード戦法という言葉を筆者が使ってから、すでに4年の歳月が過ぎている。

特集 特集
facebookLINE
 サイバーノーガード戦法という言葉を筆者が使ってから、すでに4年の歳月が過ぎている。

 サーバ管理者、経営者に朗報!
 安価で安全な新方法論 サイバーノーガード戦法!(2004.2.5)
https://www.netsecurity.ne.jp/1_459.html

 カカクコム続報
 実はサイバーノーガード戦法? 最大の問題は無知の脆弱性(2005.5.17)
https://www.netsecurity.ne.jp/1_2777.html

 大手サイトの「4つのやりません宣言」
 サイバーノーガード戦法を超えた必殺のサイバークロスカウンター!
 (2005年5.26)
https://www.netsecurity.ne.jp/1_2937.html

 この間、我が国のネットサービスの平均的なセキュリティのレベルが上がったかといえば、おそらく答えはNOだろう。自分のメールアドレスを検索したら、大量のアドレスが放置されているページがヒットして、えらく驚いた。いまでも当たり前のように、こういうことがあるのである。

 確かに、セキュリティについてさまざま啓発活動がなされ、さまざまな対策および商品が作られてきた。実効性はともかくとして、さまざまな認証や規格も登場してきた。

 しかし、こうしたセキュリティ向上への取り組みにもかかわらず、依然としてサイバーノーガード戦法は有効であるという信念をもつサイト運営者は少なくないようである。

 理由は単純でインシデントが起きた際の企業責任と被害者保護についての状況が変化していないためである。くわしくは後述するが、言葉を換えれば、企業から見た場合、サイバーノーガード戦法を採用するメリットは以前として少なくないといえる。この点が解決されない限り、サイバーノーガード戦法の優位性はゆるがないと思われる。

 4年たってもいまだに通用するサイバーノーガード戦法についてのおさらいと今後の可能性を整理してみたいと思う。

●そもそもサイバーノーガード戦法とはなにか?

 サイバーノーガード戦法とは Scan Security Wire 誌と ScanNetsecurity 上に掲載されたコラムで筆者が使った言葉で、下記のような企業のセキュリティ対策を指している。

 ようするに、セキュリティ対策をちゃんと行っておらず、インシデントが起きてもお詫びだけですませようと考えているサイト運営者とそんなサイト運営者をかばうような制度を皮肉ったものだった。

・セキュリティ対策は行わない。
・インシデント(主として顧客情報の漏えい)が発生したら、とりあえず謝罪する。
・自分たちはあくまで被害者であると主張する。悪いのはインシデントを引き起こした連中だと強く主張する。必要に応じて、攻撃者を告訴する。
・被害者には基本的にはお詫びですませる。
・よほどうるさい場合には、金一封くらいを送る。

 インシデントにならなくても、脆弱性を発見したという連絡があることもある。そういう時には、その内容によっては連絡してきた本人を不正アクセス禁止法で訴えるという強い姿勢も大事である。

 筆者の考えでは、脆弱性が深刻な被害につながることを憶測ではなく、ちゃんと証明するためには、不正アクセス禁止法に抵触する行為が必要である。抵触しない範囲では、脆弱性を利用した攻撃でなにを取り出せるかは、あくまでも可能性=外部から想像あるい憶測したものでしかない。いちいち部外者の憶測につきあっていたら、商売などやっていられない。まともに対応しなくても問題ないであろう。

 このサイバーノーガード戦法のメリットは下記のように少なくない。

【効果 その1 コスト削減】

 なにしろセキュリティ対策をしないのでよいのである。損害賠償が怖い?あなたが数万件の莫大な個人情報を扱っている業者でなければ、そんな心配はいらないのである。ここが一番気になるところなので、くわしく後述しよう。

【効果 その2 運営者側の安全確保】

 個人情報を盗むやつが悪人なのである。自分は常に被害者なのである。こういう姿勢こそが運営企業の安全確保につながる。

【効果 その3 攻撃者への威嚇】

 御親切に脆弱性があると連絡してくるやつも悪人の仲間である。脆弱性を公開するやつなどは、不正アクセス禁止法違反で訴える。

 驚いたことに、いまだにこのメリットは有効なのである。これがサイバーノーガード戦法が生き延びている大きな要因といえる。(つづく)

【執筆:Prisoner Langley】

(※筆者注:本稿は、警鐘をならすための啓発記事であって、サイバーノーガード戦法を推奨しているわけでありません。)

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. 社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

    社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

  5. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  8. Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

    Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

  9. セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

    セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

  10. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

ランキングをもっと見る
ホーム 特集 特集 記事
TOP