第323号コラム:佐藤 慶浩 理事(日本ヒューレット・パッカード株式会社 個人情報保護対策室 室長)
題:「情報セキュリティ対策の見直し:システム管理者の不正行為に対処せよ」
以前、第105号コラム「デジタルデータの改ざん防止とその保証」 の中で紹介した情報セキュリティ対策の仕組みは、データ流出防止のためにもそのまま応用することができる。
そのための応用方法を紹介する代わりに、『日経コンピュータ2003年12月29日号「直言進言」ITご意見番』に寄稿した記事を、当時のそのままに以下のとおり紹介する。
~~~~~ ここから ~~~~~
「システム管理者の不正行為に対処せよ」
波乱の中で稼働開始した自治体の住民基本台帳ネットワーク(住基ネット)。インターネットから住基ネットに侵入できるか否かが話題になったことは、まだ記憶に新しい。
住基ネットに限らず、システムへの“外部の脅威”への対処が大事なことはもちろんだが、内部に潜む脅威も見逃せない。業務上の関係者(authorized person)がシステムを不正に操作したりするなど様々なケースが考えられる。こういった問題を防ぐには、まず物理的なセキュリティ対策を施したり、アクセス制御を適切に設定する必要がある。
実はこれらの対策以外にもシステム管理者のように、システムに対して特別な権限を持っている人間(privileged person)のもたらす潜在的リスクについて考える必要がある。ほとんどの企業や組織は、システム管理者の「良き行い」を前提にシステムを運用している。結果責任への罰則を設けて、一定の抑止効果を期待しているが、「やればできてしまう」ことに変わりはない。管理者は、アクセス・ログも改ざんできる立場にあるので、やっかいだ。
企業の中には、個人の氏名や、住所、年齢、のほかの機密情報など、いったん漏れたら「カネ」ではすまされない情報も存在する。こういった情報の保護が、管理者の善意に委ねられている。仮に管理者に悪意がなくても危険は存在する。実際に、欧米では外部から脅迫を受けて、内部関係者が犯行に加担する例が報告されている。
管理者の不正行為というリスクを完全に消し去ることは困難だが、低減するための策はある。その一つが、「デュアルロック(Dual Lock)だ。新しいユーザを登録してアクセス権を付与する、機密データを引き出すなど重要な作業をするときに、最低二人の管理者が各々操作しなければ、その行為を完遂できないようにするのである。どちらか一人の管理者が不正を働いただけではセキュリティは破れない。
デュアルロックには二つの課題がある。一つは、二人の管理者が必要なため、経費が増すこと。もう一つは、二人が結託すると防げないことだ。
二つ目の欠点を補うものとして、欧米にある司法取引の考え方がある。「先に犯行を告白した者の罪は問わない」と宣言すれば、相棒が抜け駆けできるので、「やればできるが、ばれやすい」ことになり、結託を未然に抑止できる。万が一、事故が起こったら、犯人を特定できなくても、容疑者に自白させやすいという問題発生後のメリットもある。確かに日本に司法取引はないが組織内の懲罰委員会に免責の権限を与え、その仕組みを周知すれば、ある程度のことが実現できる。
行政や企業のIT化が進む中で、情報セキュリティの重要性はどんどん高まっている。従来のように、ここで述べたリスクを「損害賠償すればすむ」と考えて許される時代は終わりつつある。そのためにもまず、様々な脅威に対する備えを進める必要がある。
あなたの組織では、「やればできるが、やろうとは思わない」ようにする工夫を何かされているだろうか?
~~~~~ ここまで ~~~~~
当時の記事では、「日本に司法取引はない」としているが、それでもやり方はいろいろあると紹介した。今年になって、日本も司法取引に相当することの検討をいよいよ開始したとの報道があった。司法取引と聞くと事後対応のためのものと思われがちだが、ここで紹介したとおり不正行為の予防・抑止にもつながる側面がある。このように、技術と制度、教育を連携させた相互作用を役立てていくことが重要だ。したがって、デジタル・フォレンジックにおいても司法取引制度をどう役立てていくかを考えることは有益だ。
改めて問うてみたい。「やればできるが、やろうとは思わない」ようにする工夫を、この10年間であなたの組織は何をしただろうか?
【著作権は、佐藤氏に属します】