不正アクセスで機密データを漏らさない仕組みについて
直前のエントリで上げた連載予定の話とは別。
標的型攻撃とか最近の攻撃手法の知識がないのがバレバレなねらーな人たちが無知を振りかざしてココぞとばかりに叩いてるのをみて気持ち悪いなーと思いつつ、自分も専門じゃないからそこをガチンコ説明するつもりはないので、その辺はウイルス対策ベンダーの説明サイトでも読んでくださいなと。
ただ、セキュリティというものを今一度考えるには、良いきっかけ、良い題材だと思いますよ、あの年金データの事件。ベネッセのはツールの穴をたまたま突いてしまった内部不正だけど、今回のはサイバー攻撃系の教科書のような事件だし。
ってことで、思うことつらつらと垂れ流していきます。
甘いとか辛いとか、そういう問題じゃない。
規約を作れば防げるのか?無理でしょ。
罰則を設ければ防げるのか?無理でしょ。
人に依存している部分が残っている限り、完璧なんて無理でしょ?
怪しいファイルは開かないのが常識?
常識だろうとなんだろうと、「怪しい」の判定が人に依存してて、「開く」という操作が人に依存している限り、無理っしょ。
誤判定、誤操作は0にはできないんだから。
あと「常識」って基本的に「世の中の大勢を占める価値観」であるから、「多少怪しくても開いてしまう」ような人のほうが常識側の存在なんだよね、残念ながら。
そして、常識ってのは、後天的に身につけるものであるから、たとえ前述の常識論を覆して「怪しいファイルは開かない」が常識であったとしても、人において生物的繁殖ということが行われる限り、常識未習得の人間は供給され続ける。非常識がそこにあるかぎり、同じ轍を踏む可能性は残り続ける。
そうである以上、それでも被害が発生しないような仕組みを追い求めざるをえない。
ネットワークを完全に別にしないと無理だよね。
人間だれだって誤ちを起こすもの。ならば機械的に対処するしかないじゃない。
で、どんなに不便であろうと、ネットワークを別にしなきゃ、漏洩は起こりうるよね。
だって、物理的につながっているんだもの。
それこそ「ホストでダム端末」万歳ですよ。中央集権型システム復権ですよ。手元にある箱は、中央のシステムにしか疎通してなくて、中央で処理した結果を見せる以外何もできないただの箱。
それくらいすれば、せいぜい興味本位での覗こ込み(そんな事件もあった)程度で済む。
PCに落としてきて手元で分析加工できないと仕事にならないって?
必要なら、それも含めて全部独立ネットワーク側に用意しろってことでしょう。
そうやっていくと、インターネットにつながる端末って、メールとブラウジングだけしかできなくていいんじゃね、くらいな。
結局、どんなに完璧な操作運用していても、入り込む確率はゼロではないし、一度侵入されたら、その後どんなに気をつけて規約どおりに使っていたとしても、裏側で攻撃者のやりたい放題いじられるわけで、もう物理的に隔離されてない限りどうにもならないよね。
妥協点としては、仮想デスクトップ/リモートデスクトップで手元にクリップボードコピー出来ない制限がつけば、ワリとイケる感じ?
機密情報扱うセグメントには、仮想デスクトップを提供するサーバーへのRDPしかポートが開いてない、みたいな。
「漏れる」前提でものを考える。
出て行くデータについては、出て行ったものの有用性を下げる。
- ファイルの中身がまともに見えないようにする(パスワード、暗号化、難読化)
- ファイルあたりの情報を少なくする(データの断片化、分散化)
これくらいしか、思いつかないや。
出て行ったものを早期に検出、検知する。
年金の件でも、「結局言われるまでわかんなかったのかよ」とか叩かれてるし、こういったことはよくいわれるけど、これ、どうやるんだろうね。
ログをどれだけ残していても、それを「異常」とする完璧なルールがないと検知できないし、そんな完璧なルールが作れるなら、そもそもそのトラフィック自体をブロックできそうだし。
不審なトラフィックってなんだよ。
普段アクセスしないようなサーバーへのアクセス?普段から業務で使うような外部サーバーが先に踏み台にされてたら検出できねえじゃん。
量に観点を置いたところで、バレるような目立ったデカイトラフィックにしないで、ほそぼそ送るだろうよ。
はい論破、みたいな。
漏れたものが利用されたのを誰かが気づいて報告してくるのを待つ、くらいしか、方法がないよな。
データファイルごとに固有のダミーデータ仕込んで、それが利用されたら、あのデータの塊は漏れた!くらいの検出か。それでも、利用されるまでは漏れたことがわかんない。それも、ダミーデータリストなんてものがあって上手いことデータクレンジングされるだろうからイタチごっこだよな。某大手の流出事件のデータの中にも律儀にダミーデータ入れてあったとか聞いてるし。