特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (5) そろそろ発想を変えた対策を考えよう

5．そろそろ発想を変えた対策を考えよう

今回の事例はアプリケーションサーバに侵入されていると報道されており、事実であれば、アプリケーション自体を全て収集されていることを前提とした対策は必須だと考えます。ソースコード（設計図）が渡ったということは、さらなる脆弱性の分析を容易にさせます。また、内部への侵入も前提とした対策が肝要です。つまり、まだ、被害にあっていない組織でも、攻撃はインターネットからだけではなく、安全だと考えている内部ネットワークからもあることを前提としたくみ上げが必須となります。

その為には、セキュリティ対策方針の転換が必要な時期に来ていると考えます。それは、侵入を前提と考えることです。昨今のサイバー産業スパイなどのような標的型攻撃は日増しに狡猾になっており、侵入そのものを100％防ぐことは困難になっています。極端なことを言えばコンピュータウイルスが跋扈するところでも安全に仕事ができることを考えるということです。

例えば、良く見かける例として「ウイルス感染したら始末書」というものがあります。ウイルス感染などの「異変に気が付いたときに言われている行動をしなければ始末書」が本来です。ウイルス感染で始末書だったら、みんな感染に対して気が付かない努力をします。それでは本末転倒です。このように、組織でのセキュリティ対策のやり方を変えて行く時期に来ていると考えます。

今回の事件以降、私は数多くの取材を受け、報道がおこなわれるたびに、報道を見た方から以下のような質問を受けます。「今回の攻撃はどうすれば防げたのでしょうか？」この答えに、私はこう答えています。「セキュリティ対策には、特効薬はありません。やるべきことをやるしかないのです。」

それでは、何をやるべきなのかを考えてみたいと思います。

第一に、報道されている内容と同じような手口で被害にあわないかを大至急点検しましょう。今回であれば、アプリケーションサーバの既知の脆弱性を通じて不正アクセスとあるのですから、最低限それは無いことを確認しましょう。一般的なセキュリティ会社であれば、既知のアプリケーションサーバの脆弱性と言えば、どういったものがあるかは見当をつけていることと思います。

次に、出来るだけ早く異変に気付けるようにしましょう。例えば、文章のチェックでもそうですが、間違いはないだろうと思ってチェックするのと、必ず間違いがあるはずだと思ってチェックするのでは結果は異なります。同じように、既に異変は発生しているという前提で日々意識を高めて行きましょう。その為、社員の方のセキュリティ意識を高めることは大変重要です。以前、Webサイト乗っ取り事件が多発した際には、Webコンテンツの開発をしている方のパスワードが盗まれてしまったことが原因でした。社員の情報セキュリティへの意識が高ければ、企画の段階、実装の段階、運用の段階で、何かしらの対策を進められた可能性があります。

同様に事件や事故に対し、的確に対応できるような仕組みが必要です。具体的には、セキュリティ事故対応チーム（CSIRT：コンピュータセキュリティインシデントレスポンスチーム）を組織し、社内で発生するセキュリティ事故を可能な限り早期に把握、対応を行うものです。小さな事故や異変のうちに対応することができれば、被害も小さくできます。早期発見早期対応はどの分野の事でも合理的で一番費用対効果の高い策です。重要なことは、何度も繰り返しますが「事故発生が前提」として考えておくということです。

当然の事ながら、守るものは明確にしましょう。重要な情報はデータベースに格納されています。そこで何が行われているか把握できていますか？最低限、データベースでの記録をどうするかということは、そろそろ逃げられない時代になってきています。

グローバルに大量な個人情報を抱える企業は、契約のあり様、各国ローカルな法律に関して把握して、対応できるようになっていなければならないことも、今回の事件から学べることだと思います。

また、攻撃者の標的にならないように心がけましょう。D-Typeの犯罪者の場合、流しの犯行か狙いを付けた犯行かになります。前者は、検索サイトで、ある種キーワードで検索されるコマースサイトに対して絨毯爆撃のような攻撃で、被害にあわないためには、例えば、検索サイトの登録内容に脆弱性が無いようにしておくことです。後者はサイバー産業スパイのようなものなので、それなりの組織には必ず来てしまうことになりますので、技術情報を持っている企業やサプライチェーン上においてそういう情報を利用する企業、また、投資情報を取り扱うような企業や部門は注意を怠らないようにしましょう。

　※編集部註　ハッカー5類型一覧
　A-type：パイオニア
　B-Type：開発者
　C-type：ネット市民運動
　D-type：犯罪者
　E-type：セキュリティ関係者
　詳しくは連載(1)参照

C-type（ネット市民運動）の攻撃者の標的にならないようにするためには、事件の発生やセキュリティが破られることを前提で考え、普段から自分たちの意思を社内外含め対話を行っておくことがまずは重要です。企業は事業継続できなければ元も子もありません、自然災害だけが事業継続上の大きなインパクトになるものではありません。大量情報流出や武闘派C-type（ネット市民運動）との戦いは明らかに事業継続上のインパクトになりますし、一社のことだけでは済まない問題に発生する危険性も考えられます。その為にはやられたことを証明できる証拠を確保するようにしておきましょう。戦いに臨み、相手にやられたことを証明できないというのは情けない話です。

今回のコラムでは、世界最大の個人情報流出事故が発生したことを受けて執筆をしたものです。事件の真実や詳細はこれから順次公表されることと思いますが、私たちがやるべきことは、これまでとは何も変わりません。逆に、やるべきことをやっていない、もしくは最新の状況に対応ができていない、そんな状況が発生しないよう、身の回りのチェックを欠かさないようにお願いします。

（株式会社ラック最高技術責任者西本逸郎）

※本稿は2011年5月17日に公表されたレポートに執筆者が一部加筆を行った

【関連リンク】
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (1) 事件の背景にある様々なハッカーの存在
http://scan.netsecurity.ne.jp/archives/51981695.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (2) 金銭目的ではない犯行、犯行動機の脅威と変化
http://scan.netsecurity.ne.jp/archives/51981701.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (3) 「閉鎖環境だから安全」に疑問符がつく、攻撃手法の考察
http://scan.netsecurity.ne.jp/archives/51981958.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (4) 情報開示や対策が的確だったのかを考察
http://scan.netsecurity.ne.jp/archives/51981961.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (5) そろそろ発想を変えた対策を考えよう
http://scan.netsecurity.ne.jp/archives/51981965.html

株式会社ラック
http://www.lac.co.jp/
情報流出緊急対策セミナー流出背景と企業が今すぐ実施すべき対策（株式会社ラック）
http://www.lac.co.jp/event/20110602.html
西本逸郎氏 Twitter 公式アカウント
https://twitter.com/dry2
対談：サイバーセキュリティ探偵とサイバーミステリー作家第1回「企業の生命は事業継続」
http://scan.netsecurity.ne.jp/archives/51947983.html
対談：サイバーセキュリティ探偵とサイバーミステリー作家第2回「内部犯行の犯人特定」
http://scan.netsecurity.ne.jp/archives/51947984.html