• [アーティクル]

セキュリティ ウォッチ情報セキュリティ管理の課題 (第 1 部)

Jesper M. Johansson

目次

テクノロジを一掃できるか
実際に保護する対象
防御者のジレンマ
大きな矛盾
アクセスを阻止する
情報セキュリティを軽視すると
政府による説明責任
不適切なリスクの容認
青写真
まとめ

ここ最近、私は組織の情報セキュリティ (InfoSec) 管理に関するさまざまな課題について考えています。年齢と共に、テクノロジから遠ざかっているような気がします。厳密には、年齢ではなく、テクノロジが基本的には情報セキュリティ問題の解決に役立たないことを認識するようになるにつれて、テクノロジから遠ざかっているのかもしれません。テクノロジは、さまざまな意味で問題をはらんでいます。実際、情報セキュリティ管理は、ほぼ例外なく、テクノロジを使用する際に発生する問題を回避することだと言えるでしょう。

当初は、このトピックについての書籍を執筆することを検討していましたが、最終的には、シリーズ物のエッセイとして情報を提供する方が適していると判断しました。そして、このエッセイは、セキュリティ ウォッチ コラムで連載することにしました。今後 1 ~ 2 年にわたり、セキュリティ ウォッチ コラムで情報セキュリティ管理のトピックをときどきご紹介する予定です。シリーズの第 1 回目となる今回は、情報セキュリティ管理の基本原則について説明します。

テクノロジを一掃できるか

良くも悪くも、テクノロジは避けられないものになりました。組織では、テクノロジによって、これまで以上に多くの作業をより迅速かつ効率的に行うことができます。ですが、犯罪者についても同じことが言えます。また、多くのテクノロジ プロフェッショナルは、テクノロジの存在意義は、それ自体にあると考える傾向がありますが、それは間違っています。テクノロジは、情報に変換できるデータを保存、処理、および転送するために存在しています。データ自体とデータから得た情報は、非常に有益なリソースです。

それでは、セキュリティ プロフェッショナルは自らを "データ セキュリティ" プロフェッショナルと呼ぶべきではないでしょうか。それとも、厳密にはデータの保護を行っていないのでしょうか。いろいろな意味で、これは的を射ていますが、データは単なる原料にすぎません。データ自体にも価値はありますが、実質的な価値は、データをまとめて、そこから情報を作成することによって生み出されます。そのため、セキュリティ プロフェッショナルの作業対象は、データよりも若干上位にある抽象化層ということになります。データは最終的に情報に変換するので、"情報" という表現を使用します (ただし、明示的に原料を指すときを除きます)。

一方、多くのテクノロジ プロフェッショナルの作業対象は、データより下位にある抽象化層 (ビット、バイト、電子など) です。テクノロジ プロフェッショナルは、テクノロジ自体に関心があります。そもそも、私たちがテクノロジ分野に従事するようになった理由は、「テクノロジに関心があるから」というのが一般的です。テクノロジを扱う仕事の方が、たとえば、人と接する仕事よりも気楽です。しかし、InfoSec プロフェッショナルという立場では、テクノロジだけでなく、より広範囲に目を配る必要があるので、この考え方は危険です。InfoSec プロフェッショナルは、1 つ以上のテクノロジ分野に関する専門知識が必要ですが、情報セキュリティの 4 つの柱であるテクノロジ、情報、ユーザー、およびプロセスというエコシステム全体に目を向ける必要があります。本来なら、4 つすべての柱に目を向ける必要がありますが、多くの人は 1 つ以上の柱を無視しているのが実状です。

数年前、マイクロソフトは "信頼できるコンピューティング" というイニシアチブを掲げ、セキュリティには、ユーザー、プロセス、およびテクノロジの 3 つの要素がかかわっていると公言しました。多くの人が懐疑的になり、マイクロソフトは脆弱なセキュリティ テクノロジから、制御できない要素に焦点を移しているのだと言いました。しかし、Windows XP SP2 やそれ以降のオペレーティング システムにおけるセキュリティのように、マイクロソフト ソリューションのセキュリティがかなり優れていることを考えると、これは不当な判断だったと言えるでしょう。セキュリティに関しては Windows Vista と Windows Server 2008、そして特に Windows 7 と Windows Server 2008 R2 は、ほとんどの点において模範的であり、他の競合ソリューションよりもはるかに優れています。

"ユーザー、プロセス、およびテクノロジ" という理念は、単に InfoSec プロフェッショナルがユーザーとプロセスについても考える必要があることを主張しているだけだという、もう少し好意的な見方もありました。

しかし、”ユーザー、プロセス、およびテクノロジ” という 3 つの要素では、私たちが行うすべての作業の基本的な目的を考慮していませんでした。というのも、プロセスは、ユーザーが情報に基づいた判断を下せるように、テクノロジを使用してデータを情報に変換する方法のことだからです。

実際に保護する対象

それでは、情報と情報の派生元であるデータが非常に有益なリソースであると言った理由をご説明しましょう。高度なテクノロジと適切なプロセスが導入されている企業では、そのようなテクノロジとプロセスがない企業よりも、目的を達成する能力が高いのは明らかです。これは当たり前のことだと思います。しかし、セキュリティの観点では、プロセスとテクノロジは多くの問題をはらんでいます。当然のことですが、テクノロジにより、複雑さが増長し、その複雑さが危険な状態を生み出します。システムのコンポーネントは対話する必要があり、対話の回数とコンポーネントの数の間には指数関数的な関係があります。対話ごとに、データ転送の新しいルート、データ処理の新しいメカニズム、および新しい保存場所が作成されます。このような要素はすべて、脆弱であることが予想される領域、テクノロジやテクノロジに起因する問題を特定しづらくする弱点です。テクノロジは単純であればあるほど、簡単に理解して、セキュリティを確保できます。事実、組織で使用しているテクノロジの影響範囲を簡単に特定および理解できないことは、情報セキュリティに関する問題の主な原因の 1 つです。InfoSec プロフェッショナルは、使用するテクノロジを増やすのではなく、削減することを検討する必要があります。

プロセスも複雑で漠然としており、プロセス自体が機密であることはほとんどありません。プロセスによって競争上の優位性を得られる可能性はありますが、プロセス自体をコピーすることはできません。コピーできるのは、プロセスを文書化した情報です。また、プロセスは一時的なもので消失します。プロセスをコピーするには、データに変換するしかありません。プロセスは音楽と似ています。音楽は、聴いているときに一時的に存在するものです。繰り返し音楽を聴けるようにするために、トーマス エジソンは蓄音機 (何度も音楽を聴けるように、音楽の作成プロセスをデータとして記録できる独創的なテクノロジ) を発明しました。

100 年以上たった今、寛容な倫理観と問題のある道徳意識を持った人々が、そのデータ化された音楽を盗用して、音楽の再生プロセスを供給しています。この流れを阻止できなかった音楽業界は、音楽の再作成プロセスをわかりにくくするセキュリティ テクノロジに目を向けました。その主な結果は、正規のルートで音楽を購入した人が音楽を楽しみにくくなるというものでした。デジタル著作権管理 (DRM) と呼ばれるこのテクノロジは、顧客満足度には大きなマイナスの効果をもたらしましたが、不正コピーの防止にはほとんど役立ちません。合理的に考えると、問題はプロセスではなく、情報のセキュリティ確保にあることがわかります。音楽と同様に、データは本質的に保護できないことがあり、その場合、データの所有者は単に現実を受け止めて進まざるを得ません。

この事実により、数多くの興味深い見解が出てきます。たとえば、プロセスをわかりにくくすることはできないのか、データから価値を生み出すプロセスを秘密にできないのか、秘密のアルゴリズムを作成できないのか、といった見解です。このような措置を講じることは可能ですが、通常、効果はありません。クロード シャノンは、このことを簡潔に "the enemy knows the system" (敵はシステムを知っている) と表現しました。これは、「シャノンの原理」として一般に知られています。

これはどういうことでしょうか。通常、アルゴリズム自体を秘密にしておくことはできません。プロセスはやがて明るみに出るので、競争上の優位性を得るには、プロセスの実装を難解なものにする必要があります。もう一度お伝えしておきますが、情報セキュリティでは、中核となる重要な資産として情報を保護することに重点を置く必要があります。プロセスの保護によって情報が保護される場合に限り、プロセスの保護が重要になります。

防御者のジレンマ

このため "防御者のジレンマ" が発生します。InfoSec プロフェッショナルの仕事は、攻撃者がシステムを知っていることを想定して、すべてのデータ (コンポーネント間のすべての対話でデータが公開される場合も含む) を保護することです。一方、攻撃者側で必要なことは、システムを侵害する方法を 1 つだけ見つけることです。複数のデータのコピーを取得する必要はありません。コピーは 1 つあれば十分で、コピーを取得する方法は問いません。MP3 ファイルのコピー 1 つで犯罪のエコシステム全体が増長するのと同様に、データのコピーが 1 つあれば攻撃者は目的を果たすことができます。また、どのような手段を使用して行われた盗難も取り消すことはできません。サイバースペースには、元に戻すスイッチがありません。

そのため、防御者は攻撃の可能性があるすべての箇所を保護する必要があります。休息中や飛行機での移動中でも、デバイスの所有者に関係なくすべてのデバイスで、データを適切に保護する必要があります。情報が保存、処理、および転送される場所が増えるほど、情報を保護することが難しくなります。複雑さはセキュリティの敵です。

ここでの "可能性" という言葉の使い方に注意してください。DRM テクノロジなど、多くの場合、技術的な理由から、データを保護できないことがあります。そのような場合、防御者はデータの損失を伴うシステムと共存する方法、またはデータへのアクセスをすべて阻止する方法を見つける必要があります。一般に、攻撃者となる可能性がある人物に配布するデータを保護することはできません。データを保護する必要がある場合、それを実現するには、データを配布しない以外に方法はありません。

大きな矛盾

複雑さを好む人はいないため、情報セキュリティ機能が障害とみなされることはよくあります。多くの場合、InfoSec プロフェッショナルは、データへのアクセスを阻止することが自分たちの仕事であると考えます (そして、この考えは概ね適切です)。

プロジェクトに大きなダメージを与えたい場合は、InfoSec グループに連絡すると良いでしょう。InfoSec グループの担当者は、間違いなく目的の作業を阻止しようとします。残念なことに、多くの場合、これは事実です。しかし、残念なのは、InfoSec グループの担当者が、複雑さを最小限に抑え、よからぬ考えを止めるということに取り組んでいないからではなく、会社と InfoSec グループの関係が根本的に絶たれていることが浮き彫りになるからです。

アクセスを阻止する

情報セキュリティ テストに向けて勉強をしたことがある場合は、CIA (機密性、整合性、および可用性) というセキュリティの 3 つの要素については間違いなくご存じでしょう。CIA を使用すると、情報保護の目的を説明できます。InfoSec プロフェッショナルは、アクセスすべきではないユーザーに対する情報の機密性を提供し、情報の正確性を確保するための整合性を提供して、情報へのアクセスが必要なユーザーに対する可用性を提供する必要があります。そのため、自分たちの大半の仕事が、アクセスを確保すること、つまり可用性を保証することだと考える人もいれば、間逆の方法を想定し、アクセスを阻止すること、つまり正当なニーズを持っているユーザーを含むすべのユーザーが情報にアクセスできないようにすることを自分たちの仕事だと考える人もいます。

InfoSec プロフェッショナルが会社と適切な関係を構築できていれば、CIA の 3 つの要素のうち可用性については無視できるのではないでしょうか。会社には、可用性やサービス レベル契約についてより深い専門知識を持っている人がいます。そのような人と協力して、機密性/整合性と可用性の間で適切なバランスを取るようにすれば、InfoSec グループでは可用性をそれほど重要なものとして見なす必要がなくなります。このような関係を構築すれば、セキュリティは、会社のニーズを考慮しながら、アクセスを阻止および確保することだと考えられます。会社は自分たちの裁量でアクセスを確保し、InfoSec グループは会社が適切なアクセス許可を設定するのを手助けします。そのため、InfoSec グループは、ある意味、適切なホワイト リストを提供する役目を果たしていると言うことができます。

他のセキュリティ担当者と一緒に作業するときに、最も興味深いと思うある事柄を紹介しましょう。会社役員との会議で、役員から「製品のセキュリティを確保してください」と言われたとします。これに対して、セキュリティ担当者は「わかりました。対象の製品について教えてください」と言い、役員が「ウィジェットです」と言うと、セキュリティ担当者たちは、すぐにウィジェットのセキュリティを確保する方法を説明し始めます。

この会議の会話で欠落しているのは何でしょうか。確かに、セキュリティ担当者は対象製品を確認しました。しかし、会社の目標、このウィジェットの使用目的、その目的を達成することによって会社にもたらされる価値、戦略性、重要性、目的達成のために会社が許容できるリスクの範囲、役員がウィジェットの開発を希望しているかどうか、などについては確認していません。

InfoSec グループが会社を理解していることはほとんどありません。しかし、セキュリティ担当者は会社に作業方法を伝えることができるように、知っているふりをします。他の社員に会社の経営方法を指示するのは、InfoSec プロフェッショナルの仕事ではありません。InfoSec プロフェッショナルの仕事は、会社のリスクに対する許容度とそのニーズに基づいて、適宜アクセスを確保および阻止する適切なアクセス許可を会社に知らせることだけです。InfoSec プロフェッショナルは、会社をサポートし、許容範囲内のリスクで目的を達成する方法についてアドバイスを提供しますが、それでも目的は会社のもので、InfoSec グループのものではありません。

情報セキュリティを軽視すると

ようやくリスクの説明まできました。情報セキュリティは、まさに情報リスク管理です。InfoSec プロフェッショナルは、情報資産のリスクを管理します。少なくとも、管理するのが任務です。しかし、多くの場合、InfoSec プロフェッショナルには、リスクを管理することが許可されていません。メリットが不明瞭なので、セキュリティについての提案を受け入れてもらうのは容易ではありません。そもそも、セキュリティを確保するメリットは何でしょうか。成功の証となるのは何でしょうか。今年ハッキングされなかったというだけで、セキュリティが確保されたことになるのでしょうか。ハッキングされても気付かなかっただけかもしれないので、そのような発言があったからといって、その内容が正しい保証はどこにもありません。何しろ、ハッキングされたという事実に気付かないようにしたいのであれば、情報セキュリティに十分なお金と時間を費やさないのが得策ですから。

情報セキュリティの軽視により、さまざまな影響が生じますが、場合によっては、恐ろしい結果をもたらすことがあります。分野によっては、情報セキュリティを軽視することで、職を失ったり、刑事責任を問われたりすることもあります。たとえば、子供のプライバシーを保護しないことは、米国では子供のオンライン プライバシー保護法 (COPPA) 違反となり、カナダやオーストラリアなどでは、それぞれの国で定められている法律違反となります。

顧客の信頼に基づいて成り立つビジネスで、明らかにリスクがあると顧客が感じる場合、セキュリティはビジネスを行うために必要なコストです。既にセキュリティに不安を抱えているが、環境の移行にかけられるコストがごくわずかしかない場合、1 回の攻撃がビジネスに壊滅的な被害を与えることがあります。たとえば、オンライン バンキングのシステムで、大規模かつ広く一般に影響する侵害を 1 度受けてしまうと、オンライン バンキングは何年も前の状態に後退するでしょう。

ただし、このことは、他の業界には当てはまらないようです。クレジット カードの決済処理業者である TJX Companies や Heartland の事例を紹介しましょう。セキュリティを信じられないほど軽視した結果、TJX Companies と Heartland のいずれかで処理されるカードを所有しているほぼすべての米国人のクレジット カード情報が流出するという事件を起こしたにもかかわらず、この 2 社は今日も企業として存続しています。TJX で発生した侵害の詳細は 2007 年初頭に公表されました。同年、同社の CEO である Bernard Cammarata 氏は、911,539 ドルの給与に加え、株やその他の報酬としておよそ 160 万ドルを手にしました。同社の社長である Carol Meyrowitz 氏は、前例を見ない大規模なクレジット カード情報の盗難が発生する状況を生み出し、その発生に気付かなかった組織のトップであったにもかかわらず、750 万ドルもの収入を得ました。しかし、この額は、顧客とクレジット カード会社が受けた被害総額の比ではありません。Heartland で発生した侵害の正確な被害総額は、このコラムの執筆時点では明らかになっていません。しかし、ごく基本的な情報セキュリティ対策を実装していれば完全に回避できた危機へのずさんな対応にもかかわらず、同社の経営陣が相当の報酬を受け取ることは間違いないと思います。軽視と合理化は、今でも非常に多くの会社で美徳とされています。情報セキュリティに関する説明責任が定着するまでには、まだ時間がかかることは明らかです。

政府による説明責任

説明責任については、戦略国際問題研究所 (CSIS) 発行の「Securing Cyberspace for the 44th Presidency」(第 44 代大統領任期中のサイバースペース保護) という報告書を参照することをお勧めします。2008 年 12 月に発行されたこの報告書は、マイクロソフトの "信頼できるコンピューティング" 担当責任者である Scott Charney 氏、米国空軍 (USAF) を退役した元中将 Harry Raduege 氏、米国下院議員の James R. Langevin 氏、および Michael T. McCaul 氏によって作成されました。この報告書の目的は、オバマ大統領就任に向けたサイバーセキュリティ戦略を説明することでしたが、それよりも興味深いのは、前政権下でサイバーセキュリティがどれほど軽視されたかについて批判的な評価を下している点です。報告書では、"米国において、サイバーセキュリティは、国家レベルの重要な安全保障上の問題になっています" と述べています。

興味深いことに、この報告書では、マイクロソフトを筆頭に、ソフトウェア業界で長い間反対されていた見解を支持しています。その見解とは、情報テクノロジ製品 (具体的には、ソフトウェア) で望ましい方向に導く調達ルールを使用することです。報告書では、この重要性について率直かつ詳細に説明しています。また、サイバーセキュリティが負け戦であることも明示的に指摘しています。さらに、"外国の競合他社が行う研究や開発の取り組みに助成金を支給する一方、脆弱なサイバーセキュリティによって新機軸への投資効果が希薄になっています" と述べています。この表明は、ほぼすべての組織の情報セキュリティに関する取り組みに当てはまると言っても過言ではないでしょう。

fig01.gif

図 1 クレジット カードの裏面のサインは本当に必要か

不適切なリスクの容認

多くの失敗は、不適切なリスクの容認に起因します。私たち人間は、リスクを過小評価し、メリットを過大評価する傾向があります。特に、サイバースペースなどのわかりにくいと感じる分野のリスクを過小評価しがちです。物理的なリスクはとても簡単にイメージできます。たとえば、車両盗難による被害は、500 ドルの保険免責額と、数日間不便になるということくらいですが、ほとんどの人が車に鍵をかけます。また、泥棒がめったに発生しない地域でも、自宅のドアに鍵をかけます。それにもかかわらず、銀行取引明細書をごみ箱に捨てています。これは事実上、私たちの全財産を奪うのに必要なすべての情報を犯罪者に渡していることになります。また、クレジット カードの裏面にサインし、小切手帳と一緒に保管しています。これらのものを一緒に保管していると、預金口座から全額引き出すのに必要なすべての情報が犯罪者の手に渡ることになります。そのため、私のクレジット カードの裏面は図 1 のようにしています。

情報セキュリティ管理の最も重大な側面の 1 つは、リスクを正確に認識することです。ここで InfoSec グループの出番です。会社が容認しているリスクについて理解し、そのリスクを正しく評価できるようにするのは、この中核的な諮問グループの手に委ねられています。これまで、リスクの評価方法を簡単に考えすぎていました。2008 年 5 月号のセキュリティ ウォッチ コラム「量子セキュリティの原理」では、リスク評価に使用する改定版の年次損失予測 (ALE) 式 (図 2 参照) を紹介しました。

fig02.gif

図 2 改定版の年次損失予測 (ALE) 式

しかし、情報セキュリティ管理において必要なのはリスク評価だけではありません。リスク評価以上のことをしないと、信頼されるアドバイザにはなれません。リスクについては、この情報セキュリティ管理に関するシリーズの今後のコラムでさらに詳しく説明します。

青写真

情報セキュリティ管理の真の目的に近づいてきました。最後に、次の 4 つの重要な側面があることを紹介しましょう。この 4 つの側面はすべて、情報セキュリティ管理の指針となる大原則に基づいています。

リスクを許容範囲内に抑える InfoSec プロフェッショナルは、何よりもまず、リスクを許容範囲内に抑える必要があります。これには、このコラムで説明したことが含まれます。つまり、適宜アクセスを確保または阻止して、一般的には情報を必要とする人が入手できるようにし、必要としない人は入手できないようにすることです。リスクを許容範囲内に抑える際に生じる一番の問題は、"許容範囲" を定義することにあります。許容範囲は、多くの要素に左右されることがわかっています。これについては、今後のコラムで取り上げます。

会社を運営できるようにする とにもかくにも、InfoSec グループは会社のメンバです。InfoSec プロフェッショナルの仕事は、会社の運営を停止させるのではなく、運営できるようにすることです。会社内でのセキュリティを確保することが自分たちの役割だと考えている InfoSec プロフェッショナルが長期的に成功することはほとんどありません。また、多くの会社では、とにかく InfoSec プロフェッショナルを避け、InfoSec プロフェッショナルからアドバイスを受けずに物事を進めるので、InfoSec プロフェッショナルはそれほど忙しくありません。その結果、さらに不適切なリスク管理上のトレードオフが発生することがよくあります。繰り返しになりますが、InfoSec プロフェッショナルの役割は、リスク管理を行いながら、会社を守り、会社が目標を達成することをサポートすることです。

リスクについてアドバイスする InfoSec プロフェッショナルには、ネットワーク デバイス、セキュリティ ソフトウェア、およびプロセス (パッチ管理や事故対応など) を管理するという、業務上の役割があります。この業務上の役割は、情報セキュリティ管理の最もわかりやすい側面です。ただし、最も広範な影響力がある役割はアドバイスを提供することです。InfoSec プロフェッショナルは、アドバイザとして、社内コンサルタントのような役割を果たし、ありとあらゆるプロジェクトにセキュリティの観点を提供する必要があります。会社に直接影響を与える価値を生み出すことに喜びを感じる InfoSec プロフェッショナルにとって、これは非常にやりがいのある役割になります。

リスク管理のポリシーとプロセスを確立する InfoSec プロフェッショナルは、ポリシーとプロセスによって情報のリスク状況全体を管理します。つまり、InfoSec グループでは、会社のリスクを評価し、ポリシーを策定して、プロセスを定義する必要があります。リスク評価では、主に、組織でのリスクの管理方法と好ましい状況の分析を行います。その方針に基づいて、InfoSec グループは、組織のリスク状況を体系化する一連のセキュリティ ポリシーと、ポリシーを管理するための原則を確立します。その後、組織がポリシーの設定に準拠するのをサポートするために、ポリシーを一連のプロセスに実装します。

まとめ

このコラムでは、情報セキュリティ管理の基本的な青写真を紹介しました。InfoSec グループは、会社において中核的な役割を担っており、会社の他の社員にとって信頼できるアドバイザであるべきです。InfoSec グループは、会社と対立するのではなく、会社の他部門と関係を築き、許容範囲内のリスクで、会社全体が目標を達成できるようにする必要があります。このような関係を築いて初めて、InfoSec グループは、その威力を発揮します。

このコラムは情報セキュリティ管理の第一歩にすぎません。この情報セキュリティ管理に関するシリーズには続きがありますので、今後のセキュリティ ウォッチ コラムに注目してください。

Jesper Johansson は、Fortune 200 に名を連ねる有名企業の主任セキュリティ アーキテクトで、リスクに基づくセキュリティ構想とセキュリティ戦略の開発に取り組んでいます。また、TechNet Magazine の編集にも携わっています。彼の業務は、世界で最も規模が大きく、分散度の高いシステムのセキュリティを確保することです。彼は、管理情報システムの博士号を持ち、セキュリティ分野で 20 年以上の経験があります。また、エンタープライズ セキュリティの MVP でもあります。最新の著書には、『Windows Server 2008 Security Resource Kit』(Microsoft Press、2008 年) があります。