情報漏えいとその対策について
こんにちは、丸山満彦です。情報漏えい事件がいろいろと話題になっておりますが、情報漏えいについて、あらためて基本的なことを考えてみましょう。
1.ルールが悪いのか運用が悪いのか
内部統制でいうところの整備状況の不備と運用状況の不備という問題です。リスクを完全に0にすることはできませんので、残余リスクが残るのは仕方がないことです。ただ、その残余リスクというのは組織が許容できると判断したレベルに抑える必要があります。情報漏えい等が生じた場合は、整備状況、つまり設計と導入の問題なのか、運用上の問題なのかを峻別して考えることが必要です。
残余リスクの見誤り、対策強度の設計上の見誤りで完全に運用できていたとしても残余リスクが想定しているレベルよりも実際は高くなっていたのであれば、それは整備状況の問題ですから、ルールを改訂することが必要になります。
一方、整備状況は正しくても、正しく運用がされていないために情報漏えい等がおこったのであれば、それは運用の問題ですから、正しく運用ができるようにする対策が必要となります(運用が正しくできるようにルールを変えることも含みます)。自己点検等の現場での運用状況の確認が重要となります。平時には自己点検なんて面倒なことと考えられがちですが、日ごろの積み重ねの一つ一つが重要であることは危機になって初めてわかることだと思います。
2.ミスが原因か不正が原因か
ミスが原因の場合は、そのミスが生じた理由を考える必要があります。ルールが誤っていたのか、ルールが守れない状況になっていたのかを分析する必要があります。これには、いわゆる失敗学でいわれているような分析が有効でしょう。ミスを減らすためには、ミスに向き合って、ひとつひとつミスの原因を分析し、再発防止策を検討する必要があります。多くの場合は、予防的な対策が有効となります。地道な作業ですが、これを繰り返しやっていくしかありません。本当に地道な作業で、あまりにも地道なので、途中でくじけてしまいそうになってしまうでしょうが、やっていくしか方法はありません。
不正については、予防的な対策だけでは防ぎきれません。予防的な対策で不正ができない環境をつくることが重要ではありますが、不正を発見し、発見できることを周知させることによる抑止効果も合わせて検討する必要があります。ログの分析は必要です。そのためには、ログをとっていること、分析できる環境を整備しておく必要があります。コンピュータ上の不正を発見するためには、なりすましのリスクも考慮する必要があり、IDの登録、認証がシステム全体でできるような仕組が必要となります。
3.監査はどこまで有効か
不正がおこったら必ず「監査はどうなっていたのか」と文句をいったり、「監査を強化します。」という外部向けのコメントを発表する場合が多いですが、監査の効果はないとは言いませんが、限定的です。特に外部者の人による監査の有効性はそれほど高くはありません(相当なコストをかければそれなりに有効ですが。)
まず、「監査ほうどうなっていたのか」という文句がでる場合が多いのですが、監査は内部統制の有効性を評価するものであり、通常は直接不正を発見するものではありません。もちろん、重要な不正が行われていないことを確認する必要がありますが、平時には単なるコストとみられてしまうために十分なリソース(人、カネ、モノ)が割かれていないのが現実ですから、形だけ監査をやっているというケースも多いのではないでしょうか?
次に「監査を強化します」というコメントについてです。監査を強化するよりも、まずはそれ以前の統制活動等の強化が重要となります。まずは、自己点検をして、運用状況の課題、整備状況の課題をあぶり出して、課題の整理をすることが必要です。
書きたいことはいろいろとありますが、このくらいで。。。
Comments
丸山 様
夏井です。
下記の場合にはご指摘のいかなる方策も全て無意味です。
1:企業トップ,幹部従業員,監査人等がスパイである場合
2:PC,USBメモリ等のチップ内に製造段階でスパイウエアが組み込まれている場合
1に対する方策としては,スパイがいないかどうかをチェックすべき立場の者が既にスパイであるので,どうにもなりません。私が常に主張しているとおり,現在のマネジメントシステムの考え方(内部統制を含む。)は,マネジメントの主体が「悪」である場合には,全く機能しないばかりか,逆に悪を貫徹するための仕組みとして機能してしまいます。このことは,企業だけではなく政治のトップが既にスパイである場合でも同じです。
2に対する方策としては,チップの設計図を手に入れることができれば検出できないわけではないと思われますし,情報を外部流出するための通信を完全に監視できていればどうにかなりそうなものなのですが,CPUにスパイ機能が組み込まれている場合,セキュリティソフトによる監視を一時的に無効化することもできますので,通信の監視による検出が機能しない可能性が高いです。
これらいずれの場合でも,監査人には全くお手上げの問題ですので,セキュリティ監査は機能しないし,何らの信頼性も与え得るものではないと理解すべきだと思います。
なお,今回の尖閣ビデオの事件に関して,某大臣は刑事告発を考えているらしいですが,いったいどのような罪で告発するつもりなのでしょうか?
だから駄目だということはこれまで何度も私のサイバー法ブログで書いてきたとおりなんですが,私の言うとおりにしないから,結局,こういうことが起きてしまいましたね。
もう手遅れかもしれませんが,全面的に夏井説をうけいれ,必要な手当てをすべきだと思っています。でも,きっとそうならないでしょう。そして,「更にひどいことが起きる」と私は明確に予見できています。
Posted by: 夏井高人 | 2010.11.06 19:21
夏井先生、コメントありがとうございます。
1の問題の場合、本当にトップがスパイというのは、あきらめるしかないです。真面目な会社と思って入ったら、実は犯罪組織だったということですからね。。。やめるかその中で生きるかという問題かと思います。
いろいろな事件があるのですが、「人を信じるべきだ」というのは一般論としてある意味正しいのですが、「誰でも信じるべきだ」というのは現実世界で生きていく上では難しいことだと思います。
重要なことは、時点時点で、「信じられる人やこと」と「信じられない人やこと」を見極める能力を養うことだとおもいます。
ミスと不正は根本的に対策を変えていかないとだめです。性善説や性悪説の話を何度もしていますが、そんな単純な理屈でセキュリティ事件の原因を語りつくせるものでもありませんよね。
Posted by: 丸山満彦 | 2010.11.08 08:36
丸山 様
夏井です。
1の場合についてですが,スパイとはいうべきじゃないのでしょうけど,特定の外国,特定の外国組織,特定の外国企業,特定の人種,特定の宗教団体等の利益のみを考え,そのようなグループに所属している者がトップである企業は数え切れないほどたくさんありますね。これらをすべて日本の普通の企業と一緒に考えると間違いが生じます。アウトソースや事務委託の際には,そのことを常に念頭に置いておくべきでしょう。Aという組織が情報システムの運用をすべてBに委託しているといった場合に,実はBがAに対して敵対的な組織の一員であったということが起きると,笑い話では済まされません。現実に多数の実例が存在しますけど・・・
2の場合についてですが,これは架空の話ではなく,現実にそうだということを丸山様ならよくご存知のはずですね。政府組織で使っているPCその他のデバイスの中にも数多く存在しているだろうと推定されます。なにせ予算が乏しいので安いものを買うしかない。また,安いものを調達すると,意味なく「コスト削減に成功した」と言って喜ぶ愚かな人々が大勢います。何でもかんでも競争入札によって安いものを調達することが正しいと考えるのは基本的に間違っています。本来必要な予算を盲目的にどんどん削ってしまうとこういうことが頻発することは必定だろうと思います。その意味では,人災の一種だと評価すべきでしょう。
Posted by: 夏井高人 | 2010.11.08 09:26
夏井先生、コメントありがとうございます。
1の場合についてですが、取引先の調査というのは普通するんですが、完全に知ることはできないし、取引をしてから途中で変わる場合もありますね。。。●●●教事件の時に、そういうことはありましたよね。。。多くの会社が既に忘れているかもしれませんが。。。
2の場合についてですが、当然ありますよね。。。某A国は米国企業が使ったソフトというのは、肝の部分で使っていないでしょうね。。。特注になると当然高くなるのですが、安ければいいというわけではない世界というのも当然ありますよね。。。
着物なんて、基本的には一人ひとりの体型に合わせて誂えます。昔はみんなそういうものを来てたんですね。いつでもつるしのカジュアルウェアというわけにはいかないんですからね。。。
Posted by: 丸山満彦 | 2010.11.10 00:01
丸山 様
夏井です。
以前メールでちょっと書いたこともあるんですけど,現在の世界経済の行き詰まりの原因は,低価格品の大量生産による供給過剰にあると考えています。
このような状況を打開するには,嗜好の変化が必須です。
中国の人民服のようにどれをみても基本的には同じような服を着るのではなく,個々の人に合わせた服を提供する。高額であっても長くもつしっかりとした服を提供する。安易に大量生産品の大量消費を誘導するような意図的な流行の生成をやめる。こうしたことをやらないと,結局は経済界全体が自滅してしまいます。
要するに,カスタムメイドを基本とした社会に構造改革をしないと駄目です。
そうすれば,街の商店街の洋服屋さんひとりひとりが誇りをもって社長として生きることができるわけだし,大量の顧客をかかえることがないので個人情報取扱事業者としての面倒な処理をしなくてもすみます。フランチャイズでもチェーン店でもなければ,POSに支配されることもありません。要するに,小規模事業者を中心とする社会に変革する必要があります。
モールは場所提供ビジネスだけに制限し,その中に入る店舗をモール所有者が経営してはならないといった法律を制定することも必要でしょう。大規模なアウトレットでも同じです。
更に,独占禁止の考え方を一部修正し,ギルドのようなカルテルを基本的に肯定する方向で考えるべきだと思っています。
そのようにすれば,ごく少数の者が王侯貴族のような生活をすることのできる莫大な富を手に入れることは難しくなるかもしれませんが,とんでもなく多数の人々が豊かな生活をすることが可能になります。
ベンタム流ですが,最大多数の最大幸福をめざすべきです。
というわけで,情報セキュリティの世界でも,重要なシステムについては高額でもカスタムメイドを基本とすべきでしょう。そうすれば,非常に優れたエンジニアがちゃんと飯を食っていくことができますし,良い仕事とめぐりあうことができればプライドを満たすことのできるだけの生活をすることもできるようになります。
大量生産品は安価かもしれないけど,全く同じ手口で大量にアタックされる可能性のあるものしかできないのは当たり前のことですね。
Posted by: 夏井高人 | 2010.11.10 08:41
夏井先生、コメントありがとうございます。
=====
情報セキュリティの世界でも,重要なシステムについては高額でもカスタムメイドを基本とすべきでしょう。そうすれば,非常に優れたエンジニアがちゃんと飯を食っていくことができますし,良い仕事とめぐりあうことができればプライドを満たすことのできるだけの生活をすることもできるようになります。
=====
上記の意見に反対する人はほとんどいないでしょう。では、なぜそうならないのか?
1.よほど頭の悪い人が意思決定をしているのか、
2.よほどずるがしこい人が意思決定をしているのか、
どちらかなのかもしれませんね。
Posted by: 丸山満彦 | 2010.11.12 09:40