どうもジョンです。
最近一気に暑くなってきましたが、
みなさんいかがお過ごしでしょうか。
今回は少し「情報セキュリティ」について記載してみたいと思います。
少し前に情報セキュリティをテーマとしたセミナーに参加しましたので、
簡単にエッセンスだけご紹介したいと思います。
「変化する攻撃手法と変化しない目的と標的」ということで、
今から15年ほど前は、OSやネットワークの脆弱性をついた攻撃などが多く見られ、
その後、今から10年ほど前になるとApacheなどのOSSや各種Webアプリの脆弱性を攻撃、
そして、最近5年ほどはメール、USB、Webからのダウンロードをきっかけに標的型攻撃が
流行しており、侵入後の情報搾取技術も高度化、複雑化、非可視化という変遷を見せております。
しかし、最終的に狙われている情報としては、「個人情報」、「知的財産」、「防衛機密」ということで、
「ファイル」や「DB」として保存されている情報を目的とした攻撃という点は
あまり変化していないということです。
また、変化する攻撃の種類としてサイバー攻撃に加え、
内部関係者による漏洩も課題となっているとのことです。
・内部関係者(退職者・海外側現地職員)による競合会社への機密情報持ち出し。
・2012年度、13.5%の企業が人材を通じた営業秘密の漏洩を認知。
・開発機密が漏洩したことにより、中長期で市場シェアを奪われる。
上記までの内容からしても情報保護の考え方として
・優先順位はどうすればいいのか?
・そんなに予算はないが…。
・どこから手をつければよいのか?
・非正規が多くて…。
というような課題が沢山出てきますが、
大きく以下の3ステップで対応が可能とのこと。
1 リスクを可視化する(事業への影響度)
・法的なリスク
・事業継続リスク
・サイバー攻撃のリスク
・内部不正関連リスク
2 方針を決める(ポリシーと技術)
・対策の優先順位
・対策のためのポリシー・ルール
・技術的な実装の方針
・グループ企業のガバナンス
3 設計・実装する(骨抜きにしない)
・リスクに応じた投資
・ポリシーを反映させた設計
・運用できる設計
・確実な構築・実装と監査
特に3では決定した内容を骨抜きにせず、
変えられるものは変える勇気が必要とのことでした。
また、内部不正から情報を守るという観点から、
職務環境が重要であるという点。
データベースのエンジニア1000人に聞いたアンケートによると、
「将来、データベースに格納されている情報をこっそり売却するかも知れない」という
問いに対する回答のうち34%のエンジニアが「そう思う」「ややそう思う」
「どちらとも言えない」「あまりそう思わない」という回答をしているという話は、
ここ最近起こっている情報漏洩の事件等からも想像される通りの事実として考えさせられました。
また、34%に該当するエンジニアには、
給与、処遇に不満を持っている人が多いという調査結果もあるとの事です。
どうしても「技術」的な側面に目が行きがちなのですが、
ここ最近の傾向として特に合わせ技で対応しなければ、
狙われている「情報」を守ることはできないようです。
「人」と「技術」の両方が必要だと言う点は改めて考えさせられました。
