これは Kyash Advent Calendar 2023 の18日目の記事です。
Kyashセキュリティ・マネジメント・チームのshimoyamaです。
情報セキュリティとはこういうこと?
「カッコウはコンピュータに卵を産む」は、著者が実際に体験した事柄を書いているノンフィクションの作品です。課金システムの使用料が75セントだけ合致しないことの発見・調査により、ハッキングを受けていた事実を見つけ出し、CIAやFBIなどの組織を巻き込みつつ、攻撃元を突き止めるた物語となっています(要約が端折りすぎですね。。。)
今どきの言い方をしてみると、金額が合わないのでAccessログやをAuditログなどを調べたところ、サイバー攻撃を受けていたことが判明したので、更に様々な手法で詳細を確認・調査してみたところ、攻撃対象が広範囲に及んでいたたため、しかるべき組織に報告したのですが、あまり取り合ってもらえなかったので、徹底的に調べて攻撃元を突き止めました、というところでしょうか。
カッコウは、仮親(カッコウ以外の鳥)が巣を空けた隙に卵をひとつ外へ捨て、自分の卵をひとつ産み付けます。 カッコウのヒナは仮親の卵より早く羽化し、仮親本来の卵をすべて外へ捨て、餌をひとり占めするという仕組みですが、ある種の鳥はカッコウの卵と自分の卵が見分けられるとのことで、カッコウの卵は羽化する前に排除されるとのことです。
この作品に対してこのような作品名を付けたのは、カッコウはハッカー、カッコウの卵はウィルスやマルウェア、鳥の巣は情報システムやコンピュータ、仮親はシステム運用者、ある種の鳥はウィルス対策ツールといった対比で考えたのかなぁと勝手に想像しているのですが、皆さんはどの様にお考えでしょうか。
語られている事件は、1986年の出来事ということで、いまから37年ほど前(!)になるのですが、発見や追跡の方法、調査や連携する組織体など、当時と現在とでは技術的・環境的に違いはあるとは思いますが、情報セキュリティとしてやっていること自体は、基本的に今も昔もあまり変わらないような気が個人的にはしています。
というわけで、古い作品ではありますが再版されている様なので、情報セキュリティ的にも興味深く、物語的にも面白い作品ですので、機会があれば一読をお薦め勧めしたいですね。
Kyashでの情報セキュリティ
情報セキュリティ・マネジメント・チームでは、大枠として以下のようなことをしています。
- お客様サービスの情報システムに関する情報セキュリティ
- 社内の情報システムに関する情報セキュリティ
- その他に関する情報セキュリティ
前記三つに共通している情報セキュリティとしては、以下が該当します。
(※1) Payment Card Industry Data Security Standardの略で、国際カードブランド(Amex、Discover、JCB、Mastercard、VISA)が設立したPCI SSC(Payment Card Industry Security Standards Council)によるクレジットカードやデビッドカードの情報セキュリティ基準
(※2) Information Security Management Systemの略で、組織における情報セキュリティを管理するための枠組み、日本での規格はJIS Q 27001、世界での規格はISO/IEC 27001
特に、ISMSは管理するための枠組みなので、情報セキュリティに関するあれやこれやをこの枠組みに組み込んで管理することができるため、Kyashにおける情報セキュリティを整理し、適切な管理や運用を順次整備している段階です。主なあれやこれやは以下になります。
- FISCベースのシステム・リスクアセスメント
- 情報セキュリティのリスクアセスメント及び内部監査
- ログの分析・評価
- 情報セキュリティ教育
- 順法性の遵守状況
- 委託先・サービス提供者の管理
- 情報セキュリティに関する方針・規程・細則の制定や更新
- 情報セキュリティ・インシデント管理、脆弱性調査・評価、脅威インテリジェンス
など
これも、あれも、それも、皆々全部、情報セキュリティだよね?
とは言いつつも、「これって情報セキュリティに含まれるよね?」と問われると「絶対に違います!」とは断言できない(ここが辛い。。。)ほど、「完全に含まれる」から「カスっている」まで、情報セキュリティの守備範囲は広く、多岐に渡ります。
この原因(元凶?)が情報セキュリティの三要素や七要素といった定義になるのですが、これらを「保つ」ことが情報セキュリティの目標となります。
- 機密性 (confidentiality)
- 完全性 (integrity)
- 可用性 (availability) [ここまで三要素]
- 真正性 (Authenticity)
- 信頼性 (Reliability)
- 責任追跡性 (Accountability)
- 否認防止 (non-repudiation) [ここまで七要素]
例えば、入社・退職に取り交わす守秘義務、来社の方のアテンド、廃棄書類が正しく廃棄されているか、執務室の酸素濃度、ビルの消火設備、データセンタの立地環境、自家発電の有無など、「これって情報セキュリティに含まれるよね?」と問われると、「違います!」とは言いたいのですが、言えません。
頭の中は常に「リスクは何だ?」
様々な場面で情報セキュリティを考える必要がある場合、頭の中を駆け巡るのが、前述した三要素と「この場合の情報セキュリティリスクって何があるだろうか?」ということです。「リスクは何だ?」、「リスクは何だ?」、「リスクは何だ?」が頭の中でグルグルと。
あくまでもわたし個人としての感覚と思考としてですが、情報セキュリティは詰まるところ「リスクは何だ?」という観点で考えることで、丸っと解決できるのではないかと思っているのですが、情報セキュリティのリスクとは何を意味しているのでしょうか。
一般的には、情報セキュリティのリスク因子は、脅威と脆弱性になることから、情報セキュリティのリスクを定義すると、以下となります。
そのため、正確に言うのであれば、「脅威は何だ?」、「脆弱性は何だ?」、「被害(結果)は何だ?」ということが頭の中をグルグルと駆け巡っているということになりますが、上記の三要素も入ってくるとので、時々混乱するので、整理しながら進めることが必要になります。
余談ですが、脅威の顕在化による損害のことを情報セキュリティ・インシデントと呼びます。これは脆弱性があるから脅威が顕在化するのだと考えるので、情報セキュリティのリスク対策は脆弱性に関する対策となります。 例えば、ソフトウェアのパッチ当てやバージョンアップはこの脆弱性に対する対策に該当するので、脅威が顕在化することを抑える意味で重要になります。
仮親の巣は安全か?
仮親がカッコウの托卵を防ぐ手立てとしては、以下の二つがあるのかなぁと思われます。 仮親の巣にカッコウの卵を産ませない 仮親が不在の時にカッコウが卵を産んでいたら排除(巣の外にポイ)できる
これは、情報セキュリティのリスク対策の考え方と似ており、1は「予防的対策」、2は「発見的対策」となります。が、基本的には「予防的対策」が第一選択となるのですが、「予防的対策」が難しい場合は「発見的対策」を行うことになります。
Kyashでの情報セキュリティに関してどの様な仕事をしているのかについては、情報セキュリティとしては公開できなさそうな話しも多いので、何を書くかは迷ったのですが、何を考えて仕事しているの?を中心に、頭の中でグルグルしていることを書いてみました。また機会があればお付き合い頂ければと思います。 メーカー系の教育機関で情報セキュリティ・リスクマネジメントの講師もしているので、お会いした際は宜しくお願いします。