SNSの発展によって個人情報の取り扱いに関して興味を持つ人も多くなってきたような気がします。

セキュリティに関する質問も徐々にn次元にも寄せられるようになってきましたが、何事も本質をきちーと掴んだ上でバランスよく施策を練っていかなければ意味がありません。クライアントの相談は、親身になって聞くものですが、つい「御社の現状だと無理です」などと言ってしまいそうになることも少なくありません。

セキュリティと聞くと、ウィルス対策ソフトやファイヤーウォールなどのツールの設定や構築をイメージする人が多いような気がしますが、本当に気をつけるべきは、そういうツールではないということを今回は理解していきましょう。

情報処理推進機構(IPA)の情報セキュリティ10大脅威 2015というのがあります。今回の話題はこれを読めば終わりというものです。

セキュリティリスクの最大の原因

上記の、情報セキュリティ10大脅威を読んでいただいた皆さんは解るかもしれません。セキュリティといえば、ウイルス対策をどうしたら良いとか、ハッキングされないためにサーバのセキュリティを強化するとか外部からの攻撃に対処することを思いつきがちです。

しかし、外部からの攻撃に対処するまえにもっと対処すべきことがあります。それは、自分を律すること。相手からの攻撃の前に、必ず、まず自分の弱さがあります。弱いから狙われるという様に考えないといけません。

組織に関しても同じことがいえます。セキュリティリスクを低減しようということであれば、組織全体のセキュリティに対する意識を高め、実践していかなくては意味がないのです。

オレオレ詐欺はハッキングの一種?

オレオレ詐欺(最近では「振り込め詐欺」といいますね)は、実は、セキュリティリスクを利用した詐欺、つまり、ハッキングの一種です。人の善意を悪用した詐欺などと説明されるのですが、実は、これでは、説明不足なのです。

オレオレ詐欺の本質を掴めないどうなるか。「皆さん十分に気をつけましょう」などのお茶を濁す程度になるか、具体的な詐欺の手法に対して、一対一の対応策を教わるだけになります。すると、詐欺の手法が進化したときに、更なる対応策を考えなくてはならず、結局イタチごっこになってしまいます。

では、どうすればよいのか。

まず、僕らの次元を上げていくところから始まります。オレオレ詐欺をソーシャルエンジニアリングの一種として次元を高くもっと広い分野として考えるのです。ソーシャルエンジニアリングとは、人間の表情の変化、行動の変化、ミスといったものを利用して、人の嫌がることをしたり、通常では得られない情報を得たりするハッキング行為です。

そして、オレオレ詐欺は基本的に人間の弱いところを利用して、銀行の口座内の預金残高を盗み取るという、ソーシャルエンジニアリングということになります。そして、実は、セキュリティリスクのほとんどは、ソーシャルエンジニアリングされやすさと密接な関係を持っています。

オレオレ詐欺の対策を1つ1つするよりかは、ハッキング、特にソーシャルエンジニアリングの対応をしていくのが実は近道ということになります。

ですが、今回は、ソーシャルエンジニアリングに関する議論は少なめです。あくまで興味を持っていただくために身近な例をあげました。さらに、広いハッキングに関してざっと眺めていきます。

では、実際の例を見ながら、ソーシャルエンジニアリングを含めたハッキングの対応を見ていきます。世の中には、どのような脅威が存在するのかを確認していきましょう。

脅威1 「インターネットバンキングやクレジットカード情報の不正利用」

まず、脅威の1ですが、問題を抽象化することが大事です。問題は、不正な人や組織に、個人情報が渡ってしまったり、必要以上の情報が第三者に渡ってしまっていることが問題となります。対策方法は、ズバリ、お尻の穴をきちーっと閉める。これだけです。

漏れそうなツールを極力使わないこと。そして、漏れたときにどこから漏れたかが把握できるのがベストです。

はじめに、インターネットバンキングです。お金をやりくりするのは、基本的に各銀行のバンキングに対応したスマートフォンアプリを使用しましょう。Webブラウザではなくて、アプリにログインして利用することをおすすめします。

銀行のスマートフォンアプリには、独自の暗号方式が用いられていたり、Webブラウザに存在するセキュリティリスクが無いことから、Webブラウザよりもセキュリティリスクが遥かに低いです。

やむなくWebブラウザを利用する際は、パスワードや暗証番号などが保存されない設定にすることと、URLを必ず確認することです。左上の鍵マーク(SSL認証の有効性)が緑色になっていることもついでに確認しましょう。

さらに、OSやブラウザなどのソフトウェアは、常に最新のものを利用するようにしてください。ウィルス対策ソフトを入れるよりも先にソフトウェアのバージョンアップをしてください。未だにWindows XPなどの古いOSをドヤ顔で使っている人が5万といるようですが、有事には国家的なリスクになるので、本当にやめていただきたいです。脱線しましたが、基本的に当たり前のことをきちーっとやっているかどうかが重要になります。

次に、クレジットカード番号の漏洩防止ですが、基本的に決まったサイト以外では、買い物や決済を行わないことです。もし、海外のサイトを利用する際も、必ず、 Paypal(ペイパル) などの名の知れたクレジットカード決済会社を利用しましょう。

僕は、中小零細企業の代表なので社会的信用が異常に低いです。クレジットカードを作ることが難しいですが、皆さんは恐らく、容易に新しくクレジットカードを作ることができるでしょう。永久年会費無料の限度額10万円程度の少額のカードを一枚持っておくと、不安なサイトでの決済もリスクを最低限にした上で行なうことができるでしょう。

ですが、いずれの対策も公共Wifiや、信用のできないネットワークを利用している場合、十分に注意して行わなければいけません。公共Wifiでの通信は、基本的に盗聴されているという意識を持つことが重要です。

つねにお尻から変なものが漏れないように、きちーっと閉めていくことが大事なのです。

脅威2 「内部不正による情報漏えい」

大企業になればなるほど、これは不可避になっていくでしょう。これの対策はかなり難しいと言わざるを得ません。就業規則を厳しくするとかえって悪さをする従業員が出てきたりするのが難しいところです。組織によって、対策や対応策が異なるので、一般的な議論のみで終わらせようと思います。

まず、具体亭は、ベネッセの個人情報流出事件です。数千万件の個人情報が漏えいしたことが話題になりました。ベネッセは、補償額として200億円を用意したといわれています。本当に気をつけたいですね。

対策方法としては、基本的に組織作りから始まります。情報のやりとりのしやすさと、セキュリティリスク軽減が常にトレードオフの関係になるので、上手に組織を構築していかないといけません。

具体的には、アカウント(カードキーやサービスへのログイン情報)毎に細かく制限を掛けることや、不必要なアカウントは削除するなどの対策が必要となります。また、どこで誰がなにをしていたかに関してをできるだけ細かく記録に残せるのが好ましいです。

次に、個人として、企業の内部不正による情報漏えいを防ぐ方法はあるのでしょうか。これに関しては、ないと断言できます。近年は、大学病院などを信頼の置けそうな(?)機関を中心に情報漏えいの事件がバンバン報告されています。しかし、漏れたときにきちーっとどこから漏れたのかを把握することができないかはいつも考えておきましょう。

僕がいつもやる方法ですが、住所の一文字を業と間違えて書くというものです。例えば、住所の建物名が、「エヌジゲンハイツ」だとします。信用のおけない企業に対して個人情報を提供する際は、「エヌジゲンハーツ」などと記入しておけばよいです。もちろん、誤例集はどこかに控えておいてください。

次回に続く

長くなってしまったので、次回に続きます。