第207号コラム:丸山 満彦 監事(デロイト トーマツ リスクサービス株式会社
パートナー、公認会計士、公認情報システム監査人)
題:「外部から侵入されている想定で情報セキュリティを考える」

デロイトではグローバルな情報セキュリティの調査を行っています。外部、内部からの攻撃に対して情報を保護している自信があると回答している企業も少なくありません。しかし、一方で外部から攻撃をされて技術情報や銀行口座番号やパスワードを盗まれた、といったニュースには事欠きません。私たちが、情報漏えいの可能性があるとして調査を依頼されることもあります。また、情報セキュリティ監査等で調査をしていると、情報が何者かによって外部に送信されている形跡を見つけることも少なくありません。そういう事実を伝えると、情報システム部門や事業部門の責任者は一様に驚きますが、多くの場合は、1年や2年、それ以上(ログが残っていないのでそれ以上のことはわからない)前に外部からITネットワークや、ヒューマンネットワークを通じて侵入されていて、ずっと気づかずにいるのです。

自分たちのセキュリティについては、それなりにできていて、外部や内部からの攻撃に対してもそれなりに対策ができていると考えるのは問題ではありません。ただし、完全に守りきれているはずと考えるのは少々問題だと思います。なぜならば、それ以上の情報セキュリティ対策をする動機がなくなってしまうからです。実際には、外部からすでに侵入されていることも多く、単に自分たちが認識されていないわけですから、外部から侵入されていないという想定で情報セキュリティのアーキテクチャーを構築するのは問題といわざるを得ません。実際には、外部から侵入されていないかもしれませんが、外部からすでに侵入されていて、内部者の一部に混じって情報を外部に送信したり、情報を改ざんされる可能性が少なくないと考えて、情報セキュリティのアーキテクチャーを構築するのが必要だと思います。わが社には他社が気にするような情報はないから大丈夫と思っている組織もありますが、その会社から情報を盗むのが目的ではなく、他社への攻撃拠点として利用することもあります。そのような場合は、自らも加害者の一部とみなされてしまうかもしれません。

今まで、外部からの侵入はなく、内部者も善良な人であるとして、つまりそういう想定で情報セキュリティのアーキテクチャーを考えていた組織は、アーキテクチャーを根本的に見直す必要があります。外部者が内部者に成りすまして、つまり外部者が内部者として情報を流出させたり、改ざんしている可能性があるからです。このアーキテクチャーの見直しは実務的には簡単なことではありません。多くの組織では情報システムの管理者がひょっとしたら外部のものが成りすましている可能性があり、ログまでもが改ざんされている可能性があるとして情報セキュリティを考えてはいないからです。情報や情報システム全体を本質的にどのようにして守るのかということを考えなければなりません。

国際標準や金融当局が要求する基準をみたしているかどうかということも重要なことですが、それは本質的ではありません。「外部から侵入されている想定で情報セキュリティを考える」というのは、情報セキュリティアーキテクチャを根本的に見直し、本質的なセキュリティを考えるという重い内容であると思っています。

【著作権は丸山氏に属します】