セキュリティとは
殆どのコンピュータがネットワークに接続されて利用されています。ネットワークに接続すると、いろいろのところから、コンピュータを危険に陥れる可能性のあるものがやってきます。それはいったいどんなものでしょうか。個人情報を漏えいさせるようなものかもしれません。PCを攻撃して、PCを動かなくしてしまったり、データを盗んだり、あるいはデータを改ざんしてしまうようなものかもしれません。ネットワークを動かなくしてしまうようなものかもしれません。これらが実際はどんなもので、どのようにそれを防いだらいいのでしょうか?
これらのことは一般にセキュリティという言葉を使って表現されます。PCのセキュリティを守ったり、ネットワークのセキュリティを守ったりするにはどうしたらいいかという文脈で使用されます。セキュリティという言葉はよく利用されますが、使用する人によって微妙に意味が違っていたりすることがあります。曖昧な言葉といっていいと思います。JISでは、情報セキュリティを「情報の機密性、完全性および可用性を維持すること。更に真正性、責任追及性、否認防止および信頼性のような特性を維持することを含めてもよい」(JIS Q27002)と定義しています。一つひとつ調べてみましょう。
機密性(confidentiality)、完全性(integrity)、可用性(availability)は情報セキュリティの三大要素といわれます。頭文字をとって、情報の「CIA」などと呼ばれることもあります。
機密性の維持とは、権限を持たない人やプログラムに対して、情報を利用できないようにすることです。機密性が維持できないと、情報が漏えいしてしまいます。
完全性の維持とは、情報が権限を持たない人によって書き換えられたリ、消されたりしないようにすることで、完全性が維持できないと、「情報の改ざん」などが発生します。
可用性の維持とは、情報や情報機器(PCなど)、情報システム等を利用したいときに利用できるようにすることです。可用性が維持できていないと、「システム停止」などに陥ります。
機密性と完全性、可用性が維持できれば、情報セキュリティは「いちおう」保たれた状態といっていいかもしれません。しかし、これだけでは十分でない場合もあります。
機密性の維持は権限を持っている人(以下しばらく人を対象に説明しますが、プログラム等でも同じです)に対して情報を利用できるようにすることです。そのためには、アカウント、認証システムなどがかかわってきます。認証システムが騙されてしまうこともあります。その場合には本人確認が重要になってきます。その際に関係するのが本人性、あるいは真正性(Authenticity)です。それから、責任追及性(accountability)、否認の防止(non-repudiation)なども重要になってきます。これ以外にも、信頼性(reliability)、匿名性なども重要になってきます。
1.1 機密性と情報システム
機密性の維持は、権限を持つ人と持たない人を区別し、持つ人には情報を利用できるようにし、持たない人には利用できないようにすることです。権限を持つ人と持たない人を区別するのがアカウントです。皆さんが大学や企業に入ると電子メールのアカウント(account)をもらいます。これは電子メールシステムを使う権限です。アカウントをもらった印として、皆さんにはIDとパスワードが渡されます。これが、皆さんがアカウントを持っている証拠となります。皆さんがサービスを利用しようとすると、システムは皆さんがアカウントを持っているかどうか確認しようとします。皆さんがアカウントを持っているかどうかを確認するシステムを認証(Authentication)システムといいます。
認証システムはサービス毎に持っている場合もあります。ネットワーク上にあるファイル共有システムとか、電子メールシステムとか、データベースシステムとか、個々のシステムが認証システムを持っている場合があります。しかし、企業や大学などでは種々雑多なサービスがネットワーク上で稼働しています。これらについて個々の認証システムを持っていると管理がなかなか大変です。システム毎にIDとパスワードを保管していなくてはならないとなるとセキュリティ上の問題が出てくる可能性もあります。そこで、いろいろのシステムの認証を統一して一つにまとめてしまおうということになります。これを統一認証などと呼びます。何を利用するにしても、とりあえず統一認証システムに伺いを立てて、この人にシステムを利用させていいですかと聞きます。
今までの説明は情報システムやPCを利用する際に、そのユーザに利用権限があるかどうかを確認する仕掛けでしたが、ネットワークを利用する際にこれを利用することもあります。外部ネットワークから、内部ネットワークに入って内部ネットワーク内のシステムを利用する権限があるかかどうかを判断します。フィルタリングや、ファイアウォールなどでもこの仕掛けを利用しています。ただし、フィルタリングやファイアウォールは個々の利用者単位ではなく、「どのネットワークにいる人」のように抽象的に権限を与えることもあります。
認証システムがうまく機能するためには、権限を持っている人を予め登録しておき、IDとパスワードでその人本人かどうかを確認したうえで情報を利用させるということになります。統一認証システムの場合には、独立の統一認証サーバのような形で稼働させます。統一認証システムは一般的にはディレクトリサービスという形式で提供されます。そして、ディレクトリサービスにアクセスするためのプロトコルとしてLDAP(lightweight
directory access protocol)などが利用されます。
認証システムを使うことで機密性をある程度は維持できるのですが、認証システムが破られてしまうこともあります。例えば、アカウントが盗まれてしまう場合です。IDは学生番号や、職員番号(社員番号)などを元にして決められていますので、半ば公然たる情報です。これに対して、パスワードは秘密の情報です。従って、アカウントを奪われるということはパスワードを奪われることと同じ意味になります。
情報交換をする相手が本当に本人なのかと心配になる場合もあるでしょう。例えば、アリスとメッセージのやり取りをしているボブは、交換しているメッセージが重要になればなるほど、本当に相手はアリスなんだろうかと心配になってしまうことがあると思います。このような場合には、本人確認が重要になってきます。本人性(真正性)は、英語ではAuthenticityといいます。認証はAuthenticationですから、認証と、本人性、真正性が極めて近い言葉だということが分かると思います。実際生活では実印などが大いに力を発揮するところですが、ネットワーク経由ではこれができません。ここで登場するのが電子署名(デジタル署名)というシステムです。電子署名は本人にしかできないような仕組みになっています。電子署名を使えば、ボブも相手がアリスなんだと納得することができるはずです。
ネットワーク経由でメッセージをやり取りする場合に、権限のある人にだけ読めるようにするのが暗号化です。権限のある人はメッセージを送る相手だけですので、この人にだけ読めるようにします。方法としては、共通鍵暗号システムや公開鍵暗号システムなどの方法があります。あるいは、通信そのものを暗号化してしまう方法もあります。IPSecなどのように通信そのものを暗号化してしまう方法と、アプリケーション、つまりWeb、あるいは電子メールなどのように個々のアプリケーション毎に暗号化を導入する方法もあります。
1.2 完全性と情報システム
完全性の維持とは、情報が権限を持たない人によって書き換えられたリ、消されたりしないようにすることです。完全性は権限のないものを近づけない(機密性の維持)ことで守ることができる場合もあります。例えば、ファイルサーバにアクセス権限を掛けて権限のあるものにしか近づけないようにします。あるいは、ファイルそのものにアクセス制限をすることもできます。特定の人、あるいは特定の階層(例えば部長以上)の人にしか読めないように設定したり、書き換えができないように設定することもあります。文書を暗号化をして、特定の人にしか解錠できないようにするという方法もあります。
しかし、機密性も完全ではありませんので、機密性が破られることもあります。このような場合には改ざんされたことを見抜ける手立てが必要となります。電子的なやり取りを行った事実を証明する何かを残すことが重要です。何時誰が何をしたかを証明できるようにします。「何時、何を」証明するのが、タイムスタンプです。「誰が、何を」を証明するのが「電子署名」です。また、改竄そのものを見破るのがメッセージ認証です。
1.3 可用性と情報システム
可用性の維持とは、情報や情報機器(PCなど)、情報システム等が利用したいときに利用できるようしておくことです。利用したいときに利用できるようにしておくためには障害が発生しにくいようにしておくこと、それから障害が発生しても情報利用の面で問題がないように備えておくこと、障害から短時間で復旧できるように準備しておくこと、などが必要です。
ネットワークや情報システム、PCなどが過負荷に陥ると、利用できなくなってしまいますので、ネットワークや、CPU、メモリなどのリソースを確保しておくことが大切です。システムがなかなか復旧しないという場合もあります。データに損傷を受けることもあります。また、システムそのものの復旧が無理という場合もあるでしょう。このような場合に備えて、データのバックアップをこまめにしておくこと、機器・電源・ネットワークなどを冗長化しておくなどの対策も非常に重要になります。
DoS攻撃やDDoS攻撃などでネットワークが過負荷に陥る場合もありますので、DoS攻撃や、DDoS攻撃などにも備えておくことが重要です(一口に言っても難しいですが・・・)。
1.4 三要素の独立性
3つの要素は互いに独立しています。機密性が破られたために完全性が損なわれ、可用性が破られることはあります。だからといって、機密性を維持すれば、完全性が維持され、可用性も維持されるとは限りません。3つの概念は互いに独立した概念で、1つの要素から他の要素を導くことはできません。3つの要素をバランスよく保持することで初めて情報セキュリティは確保できるといっていいでしょう。
1.4 真正性・責任追及性・否認防止・信頼性など
機密性は認証と極めて密接に関係しています。また、認証と真正性、本人性は極めて近い概念です。これについては既に説明しました。
また、責任追及性も極めて重要な概念です。インターネットでは顔の見えない状態で取引したり、情報の交換をしますので、相手が誰だかよく分からない場合もあります。分かっているのは相手のIPアドレスだけという場合も少なくありません。IPアドレスだけで相手に責任を負わせることができるのかということが問題になることがあります。何かあったときに責任を追及できることを確実にすることを責任追及性といいます。
※責任追及をするためには、責任追及をすべき本人(例えばインターネット上で取引した人)が特定できればいいので、その意味では本人の身元が不明でも構いません。その一例として、RIAA(全米レコード協会)がIPアドレスのみを特定して、著作権違反者を相手取り訴訟を起こしたことがあります(John
Doe提訴)。
※相手のネットワークが、プライベートアドレスを使って、更にDHCPでIPアドレスを管理している場合には、IPアドレスといっても相手を特定することは難しいでしょう。このような場合には、まずプロバイダ責任制限法に従って、プロバイダから相手のネットワークの情報を入手し、相手が所属する組織のCIOと掛け合って、情報を入手するということになると思います。相手が協力してくれそうもない場合は、情報を集めて、例えば詐欺罪として告訴して、証拠保全として相手のDHCPサーバを抑えてもらい、DHCPサーバのログから実際に詐欺行為に利用したPCを特定して、特定の時間にそのPCを使っていた人を割り出すという作業が必要になりますので、かなり大変な作業となると思います。DHCPサーバのログをどの位の期間保管しているかも会社ごとに違っていますので、ログが残っているうちに証拠を押さえなくてはなりません。
責任追及性と似たようなものですが、電子メールで取引をしたような場合には、申し込みをしたか、しなかったのか、契約が成立しているのか、まだ成立していないのか、などが確実でないことがあります。電子メールは必ず相手方に届くかどうかは分かりません。もしかしたら、届いていないかもしれません。電子メールを使った契約は不確実要素が多すぎます。例えば、アリスが、ボブに金の先物取引の申し込みをしたとします。金の相場が変動すれば、アリスは後でこの申し込みを取り消したくなるような場合もあるでしょう。ボブとしてはアリスが先物取引の申し込みをしたことを、何か確実な方法で証拠として残しておく必要があります。この例の場合は、電子署名などを使うことになると思います。このように、ある活動あるいは事象が起きた時に、後になって否認をされないように証明する能力を否認防止といいます。
その他、信頼性や匿名性などがあげられることもあります。信頼性は意図した動作および結果に一致する特性です。例えば、アンチウィルスアプリケーションが意図した通りに動作すれば、信頼性が確保されていることになります。意図した通りに機能しない場合は、信頼性に欠けるということになります。匿名性(anonymity)は、誰がそれをしたか追及できないようにすることです。今後はインターネットを使った選挙なども導入されるかもしれません。このような場合には匿名性の確保が非常に大切です。匿名性が確保されない状態でインターネット選挙などを導入してしまうと、民主主義が根幹から崩れてしまうことになります。
個人レベルでセキュリティに注意する場合に、特に気を付けてほしいのが、ソフトウェアの更新と、ウィルスチェッカーのインストール、IDとパスワードの適切な管理です。その他クレジット決済、Cookie、SNSへの書き込みなどには注意が必要です。
① ソフトウェアの更新
ソフトウェアにはバグがつきものです。そのバグがセキュリティ上の脆弱性の原因となることがあります。それ以外にもソフトウェアの不具合やシステム上の盲点などが脆弱性の原因となります。通常このような脆弱性はセキュリティホールなどと呼ばれます。セキュリティホールが見つかると、直ぐにそのセキュリティホールは公表されます。セキュリティホールを修復するためのプログラムがまだ出来ていないにもかかわらずです。これがキリスト教の商業道徳というものでしょう。このときヨーイドンで、修復プログラムの開発と、セキュリティホールを攻撃するプログラムの開発競争が始まります。ウィルスが先にできると悲劇です。運よく修正プログラムの方が先にできたという場合でも、インストールしなくては何にもなりません。修正プログラムが発表されると同時に、インターネットからダウンロードできる状態になりますが、それを直ぐにインストールせずにほっておくと、しばらくしてできてくるウィルスの餌食になります。このような例は今までにいくらでもありますので、注意してください。企業や組織では様々なサーバ類が立ち上がっていると思いますので、特に注意が必要です。
Microsoft社のWindowsやOffice製品はサポート切れになると、セキュリティホールはそのまま放置されますので、サポート切れのOSやOffice製品は使用しないようにしなくてはなりません。
② ウィルスチェッカーのインストール
怖いのはウィルスです。ウィルスの侵入経路はいろいろありますが、特に多いのが電子メールの添付ファイルです。では電子メールをファイアウォールでブロックしましょうか?しかし、これはできません。インターネットをやっているのは電子メールを使いたいからという場合が殆どだと思います。電子メールをブロックしたのでは、何のためにインターネットを始めたのが訳が分かりません。実際、家庭の中の個人も、企業や組織の中の職員も電子メールに頼り切っています。
電子メールの本文は基本的にはテキストですので、プログラムを記述することはできません。しかし、添付ファイルにはプログラムを記述することが可能です。ここにウィルスを埋め込むことができます。HTMLメールの場合は、本文中にプログラムを記述することが可能です。HTMLメールはできれば使わないようにしたいものです。
ウィルス対策として最も有効なのが、ウィルスチェッカの導入です。企業や組織ではほとんど導入されていると思いますが、個人ではまだまだ導入していない場合もありそうですので、必ず導入してください。
ウィルスチェッカは企業等で導入する場合には専用のサーバを立て、そこにソフトウェアをおいて、職員一人一人がそこからダウンロードして、インストールする形式をとっているところもあるでしょう。このようなシステムを取っている場合は、ウィルスチェッカーをダウンロードするかしないかは、個人に委ねられることになります。多数の職員がいる企業や組織では、うっかりしてダウンロードしていなかったというような人が必ずいますので、教育と広報を徹底しなくてはなりません。また、CDを購入して、個々のPCにインストールする場合もあるでしょう。この場合は、著作権法に十分注意してインストールしてください。
個人の場合は、CDからインストールする場合だけでなく、プロバイダのウィルス対策サービスを使う場合もあるでしょう。
最近は、総合セキュリティ対策ソフトということで(セキュリティスイートなどという名称?)、不正アクセス、フィッシング詐欺サイトへのアクセス防止、Web上のウィルス検知などの機能を持つものも登場しています。
電子メールでは、ウィルスチェッカーで捕捉できないような攻撃もありますので、注意してください。最近よく言われるのが、標的型メールです。標的型の場合、ウィルスチェッカーが判断基準としている定義ファイルで捕捉できないように、カスタマイズされている場合が殆どですので、他の手立てが必要になります。
電子メールから他の不正行為につながることもあります。スパムメールでフィッシングサイトに誘導され、そこでウィルス感染をさせられたリ、ID・パスワードを詐取されることも珍しいことではありません。ウィルス感染は企業内、組織内全体に感染してしまう可能性もあります。それから、特定の職員のID・パスワードが盗まれたことを契機として、もっと重大な事件に発展してしまうこともあります。
③ IDとパスワードの適切な管理
IDとパスワードはあなたがあなたであることを証明するための手立てです。IDは職員番号や学籍番号などを元にして作られていますので、公開情報といっていいと思います。となると、あなたの真正性を証明するためのキーはパスワードということになります。従って、パスワードを秘匿することは極めて大切です。あなたのパスワードを手に入れた人は、あなたになり替わることができます。あなたになり替わった人は、あなたのパスワードを変更することができます。パスワードを変えられるとあなたはシステムにログインできなくなります。それから、あなたの振りをしてシステムに侵入し、データを書き換えることができます。更に、あなた宛てのメールを読むことができます。これによってあなたの行動は全部丸裸になってしまいます。オンラインショッピングであなたになり替わって買い物をすることができます(後で膨大や請求書を受け取ることになります)。オンラインバンキングをしている場合なら、あなたの預金を他の口座に移すことができます(気が付いたときには、預金残高ゼロなんていうこともあります)。
パスワードは慎重に決めてください。他人に類推されにくく、自分では覚えやすいパスワードがベストです。長ければ長いほどいいと思います。ただし、メモしないとダメというのではいけません。記憶できなくてはだめです。
パスワードをパソコンに保存している場合は、情報漏えいの際にパスワードも一緒に漏れてしまいます。パスワードはパソコンに保存しないようにしてください。フィッシング詐欺にも注意が必要です。ソーシャルエンジニアリングにも注意が必要です。
④ クレジットカード決済、Cookie、SNSへの書き込みなど
クレジットカード使った買い物をする場合も増えています。最近では、個人だけでなく、企業等でもクレジット決済の買い物をしなくてはならない場合があります。企業としては、クレジット決済は余り使い勝手が良くないようですが、最近のソフトウェアの販売方法として、どうしてもクレジットカードで決済をしなくてなならない場合があります。インターネットでクレジット決済をした場合、そのままですと、クレジットカードのID等の情報が担当者のPC上の残ってしまいますので、クロスサイトスプリプティング等で、情報が盗まれてしまう場合もあります。
あるいは、Webでオンラインショッピングした場合に使用したCookieがクロスサイトスプリプティング等で盗まれるという事件も多発しています。Webでのオンラインショッピングは個人レベルだけの話だと思うかもしれませんが、企業等でも事務用品や少額家電などでは、オンラインショッピングする場合が多くなっているようです。
家庭内の個人という範囲では、スマートフォンを使ったブログやSNSへの書き込みで個人情報が漏れてしまったり、ネットオークションでなどで詐欺にあうなどのことが考えられます。
企業や組織には多くの情報が保管されています。営業情報や研究情報、社員の個人情報などです。多数の顧客情報を管理している場合もあるでしょう。これらが外部に漏れてしまうと大変です。プライバシ事件、損害賠償事件に発展する場合もあり得ますし、更なる事件の引き金になることもあります。顧客の情報が洩れれば、その企業、組織の評判を著しく損なうことにもなるでしょう。
企業、組織によっては社会に対してサービスを提供しているところもあります。このサービスが停止すると、社会的に大きな影響を与えてしまう場合も少なくないでしょう。
また、攻撃者の立場から見ると、企業や組織のシステムは標的として魅力的なはずです。事件を引き起こし、社会に対して衝撃を与えたいという攻撃者の思いを実現することができるかもしれません。また、攻撃の成功によって、多くの経済的な利益を得ようとしているのかも知れません。また、たくさんの顧客情報は、攻撃者には宝の山になります。
企業や組織の情報システムは、適切に管理されていなくてはならないし、そうするのが社会的な責務です。企業や組織がセキュリティ事件に巻き込まれると、同情されるよりも、非難されることの方が多くなります。被害にあった場合は、「我々は単なる被害者であり、何も悪いことをしていないのに」、何でこんなに社会から糾弾されなくてはならないんだと思うかもしれませんが、十分な対策をしていないことは、十分非難に値することだということを肝に銘じていなくてはなりません。
企業や組織では仕事は分担して行われます。情報システムを担当する部署、そこに所属する職員はこのようなことを十分に理解しているはずです。そして、会社の上層部もそれを理解して、情報セキュリティのために経費を割り当てているかも知れません。ファイアウォール、侵入検知システム、あるいは免疫システムなどの導入も進んでいるところもあるでしょう。
しかし、何処を、何を契機として、攻撃・情報漏えいなどが始まるか分かりません。一人の職員の知識不足、あるいは配慮不足、怠慢が原因となる場合もあるでしょう。
企業、組織の情報セキュリティは、そこに属する職員全員で守っていくしかありません。専門の部署に所属する職員、あるいは各部署ごとにいる担当職員だけでなく、単に情報システムを利用するだけの職員も同様に情報セキュリティに対する意識を高めていく必要があります。そのためには情報セキュリティをマネジメントすることが必要となります。情報セキュリティマネジメントをシステムとして行うことをISMS(Information
Security Management System)といいます。ISMSでは、守るべきことを文書化し、それを広報し、全員で守っていくことが大切です。文書はセキュリティポリシーなどと呼ばれます。このポリシーは企業・組織の在り方、社会の変化などに従って適宜見直しをしていく必要もあります。また、情報セキュリティ機器の配置などもポリシーに沿って行います。職員に対する教育もポリシーに沿って行います。それでも、不正侵入などに見舞われる可能性はあります。そのような場合は、ポリシーのどこに問題があったか精査し、それに沿ってポリシーを修正しなくてはなりません。プラン(plan)を立て、それに従って実行し(do)、実施したことがプランにマッチしていたか、当初の目標通りにいったかを、チェックし(check)、チェック結果を元にして、更なる改善を行う(Ack)ということを、繰り返し行うことで情報セキュリティマネジメントを効率的に行うことができるとされています。これをPDCAサイクルと回すといいます。
更新履歴
2016/7/5 作成
|
