CS四方山話(第13話)情報漏洩を防ぐための身近な対策とは?
「四方山話」としては「より分かり易く」を忘れないように進めて行きたいと、第11話を読んでくださった方々のコメントも糧にして考えている次第です。どこまで分かり易く出来るか? は「筆者」の力量に依存していますし、その「力」の源泉は皆さまのお言葉ですので、ぜひ忌憚のないご意見を頂ければ幸いです。
前回は、猛威を振るう「ランサムウェア」に関してご説明しました。
これは、外部からの「意図した(=目的を持った)攻撃」ということになりますが、攻撃ではなく、不注意を含めて偶発的な事故によっても情報漏洩は起こります。これらの多くは、大きなコストを掛けずに回避する方法がある場合が多いので、「身近な」テーマとして取り上げたいと思います。
情報漏洩で発生する日本のコスト被害は世界5位
いわゆる日本語の「情報漏洩」は英語では「data breach」になります。直訳すると「information leakage」という感じになりますが、システム上の情報は「data」の方がしっくりきますし「breach」には「穴」「犯行」という悪いイメージがあるので「data breach」が「正解」だと思います。
ちなみに、洗濯物や髪につかうブリーチは「bleach」で別モノです。全世界での発行部数が1億2000万部を突破しているマンガ「BLEACH」は、その綴りで分かる通り「漂白」の方です (*1)。
さて、その情報漏洩の中身を見てみましょう。
調査の数値は、調査主体や調査方法によって変わりますが、直近で公表されている数値などを概観して説明します。絶対的な数値がある訳ではないことをご了承ください。
1件の情報漏洩によって発生する平均コストは400万ドルを超えるとされています。トップは米国ですが、日本もめでたく⁉ 5位にランクインしており、情報漏洩が発生すると平均で470万ドル = 約5億円のコストが発生するということになります。
どのようなデータが漏洩したかというと、「顧客の個人情報」「匿名化された顧客情報」「知的財産」「従業員の個人情報」という順序になるそうです。
どういう要因で情報漏洩が発生したのか、主なモノは下記となります。
1) 認証情報の流出
2) フィッシング
3) サーバなどの設定不備
4) サーバ上のOS、ソフトウェアの脆弱性
5) 外部からの物理的な侵入
6) 内部の故意
7) 操作・手順ミス、デバイスの紛失
情報漏洩が起きる要因と無償でも可能な対策
※ 【】内は対策コストイメージです。
1) 認証情報の流出【無償】
以下は、組織の方針や環境にも依存しますが、皆さん個人でも、低コストで対策可能な項目です。
⇒分かり易いパスワードは止めて、一定の複雑さを持ったパスワードを設定する。具体的には、自分の名前、誕生日、一般名詞などは避けて長めのパスワードにしましょう
⇒さまざまなアカウントで、同じID、同じパスワードを使い回さない
⇒パスワードは定期的に変更する
2) フィッシング【無償、それなりのコスト】
これも個人で、低コストで、対応可能な項目になります。フィッシング、つまり「釣り」に引っかからないようにすることです。怪しい(知らないアカウントから送信されて来た)メールを安易に開かない。特に添付ファイルを開くときは、本当に正当な相手なのかを確認するようにしましょう。
ヒトの注意力に頼らないとすると、組織では(お金を掛けて) 「UTM」( Unified Threat Management ) を適用するという対策になります。UTMは、LAN内とインターネット経由での外部との通信を監視します。怪しいサイトへのアクセスをブロックしたり、メール添付やダウンロードにウイルスやマルウェアが混じっていれば遮断したり、機密情報を判別するルールを与えて外部への送出を抑止したりしてくれます。
個人でUTMを導入するというのは(コスト的に)ハードルが高いと思うので、代案としては「エンドポイントセキュリティ・ソフト」を導入する方法が考えられます。
3) サーバなどの設定不備【(通常)無償、低コスト】
4) サーバ上のOS、ソフトウェアの脆弱性【(通常)無償】
これは、個人では無理ですね。組織のサーバの場合は、ご自身の組織のシステム管理者さんにお願いするというパターンになります。クラウドサービスの場合は、信頼できるクラウドサービスを利用する、あるいは必要があれば乗り替えるということになります。有償サービスに乗り替える場合は、コストが発生することになります。
5) 外部からの物理的な侵入【(通常)無償、低コスト、それなりのコスト】
個人環境の場合は、ご自身で守るしかありません。自宅で普通にインターネット接続を行っている場合(ルータの標準的な設定で接続している場合など)は、外部から自宅のネットワークに直接侵入される危険は極めて小さいです。気を付けるのは、変なモノ、つまりマルウェアやウイルスなどを持ち込まないようにすることです。 前述のフィッシングもその入口になりますし、ネットからダウンロードしたファイル(特に、アプリ)、友人などからもらったファイル(特にアプリ)は、悪いモノを呼び込む原因になる場合があるので、開く前に「本当に大丈夫?」と自問することを習慣づけましょう。また、コストが発生しますが、ウイルス対策ソフト、エンドポイントセキュリティ・ソフトを導入するという方法もあります。
6) 内部の故意【それなりのコスト】
要するに、組織の内部の誰かが「悪いことをしようと考えて、悪いことをする」というパターンです。たとえば、会社の機密情報をノートPCやUSBメモリに入れて持ち出す、外部のネットワークドライブに送り出すなどです。何らかの目的(金銭、あるいは仕返し?)で、機密情報を外部に流出させるということです。
これに対する防御は、3つの方法が考えられます。
- 入退出管理を、生体認証などを用いて人の出入りを厳密に行う。持ち物検査を徹底する
- UTM ( Unified Threat Management ) を適用して、機密情報を含む
- システム上の通信、操作に関するログを確保する(直接的な抑止効果はありませんが、精神的抑止効果と、情報漏洩が発生した場合の原因解析に貢献します)
7) 操作・手順ミス、デバイスの紛失【(通常)無償、低コスト、それなりのコスト】
これは「悪意が無い」という点で異なりますが、直前の 6) と経路的には同様です。ということで、対策方法も 6) と同様ということになります。異なる点としては「うっかり」で情報漏洩を起こしてしまうというパターンです。
具体例で説明! 情報漏洩の事例と対策
【オンラインストレージ】
データの受け渡しにオンラインストレージを使ってデータの受け渡しを行う状況を想定しましょう。暗号化したデータをメールで送るという「PPAPは止めよう」という時代の流れの中で、オンラインストレージを利用する機会は増えていると思います。その中で下記のような場面が考えられます。
➡ 特定の相手(アカウント)でしかアクセスできないようにしていたつもりだが、誰でもアクセスできる設定だった。さらに、そのまま長期間置いたままにしていた
➡ オンラインストレージのアカウントが分かり易い内容で、そもそもアカウントを盗まれていた
➡ 暗号化してファイルをアップロードしたつもりだったが、そのままアップしていた
組織でファイルの授受を行う場合は、適用するオンラインストレージのサービスを適切に選択することで防げる場合もありますが、個人の場合には上記のリスクすべてに注意した方が良いでしょう。対策は下記です。どれも「気を付ける」ことなので「無償」でできる対策です。
➡ 1)に注意する(認証情報の流出)
➡ 公開したくない情報は必ず暗号化してアップする
➡ 長期間放置せず、受け渡しが完了したら、あるいは一定時間経過したら、消去する
【データの持ち出し】
大切な情報を、持ち出す(持ち出さなければならない)場面もあると思います。たとえば社外でプレゼンを行う、出張に行く、カフェや自宅で作業する。そういう時にノートPCやタブレットを持ち出しますよね。その中には機密情報が入っている(こともある)と思います。そして、ヒトはミスを犯します。どこかに置き忘れた場合、ノートPCやタブレットも大事ですが、その中にある情報の方がより大事です。確実な対策方法は1つです。
➡情報を格納しているストレージ(ハードディスクやSSDなど)を暗号化する
ログイン・アカウントが分かれば、ストレージ上の情報をアプローチできます。しかし、ストレージを取り出して別のPCに接続して情報を取り出すことも可能です。これを防ぐ方法としては、ストレージ自体を暗号化することです。Android(6.0以降)、iOSでは、標準でデータの暗号化が適用されています(念のために、確認してください)。 Windows、MacOS、UbuntuなどのLinuxでは、(通常は)標準ではストレージの暗号化は適用されていませんので、持ち歩くデバイスに関しては設定することを「強く」お薦めします。各OS、標準対応しています(Linuxの場合はパッケージのインストールが必要な場合があります)ので、コストは掛かりません (*2)。デメリットとしては、データへのアクセスが遅くなりますが、その影響は(ストレージの種類にも依りますが)最近のSSDやHDDではそれほど大きくないので(10-20%程度)、データを守ることを優先すべきだと思います。
【ストレージの処分】
PCなどのデバイスやHDDなどのストレージを処分する場合にも注意しなければなりません。近年で大きなニュースになったのは「2019年神奈川県HDD転売・情報流出事件」です。これは「故意」も絡んだ事件でもあります。サーバなどのリース契約先リース会社が、HDDの処分を外部に委託しました。その委託先企業の社員がHDDをオークションサイトで転売したことで、個人や企業の納税情報や県職員の名簿などが流出しました。最大で54TB分のデータが流出した可能性があるということです。転売を行った社員には、懲役2年執行猶予5年の判決が下りました。
「故意」が介在した事件の例も上げておきます。ある会社の社員が、会社の規定に反して機密情報を個人所有のPCに保存していました。そして、そのHDDを売りました。HDDは私物なので売ったこと自体には問題がありませが、その中に会社の機密情報が含まれていたことが問題で、その結果として情報漏洩が発生しました。
この2つのケースは、HDDを購入したヒトが、残存していた機密情報に気が付き通報したことによって顕在化しました。こういうケースの方が少ないと思います。悪意の第三者が情報を得ることもあるでしょうし、マルウェアによってHDDの情報がネットに流れることもあるでしょう。
ということで、これらの対策です。
➡ ストレージは、物理的な破壊してしまうのが最も確実です。
データを完全に消去して再利用(=転売など)できれば、その方が良いでしょう。モノは大切にしなければなりません。しかし、ストレージは消耗品ですし、情報漏洩のリスクを考えれば、再利用は諦めるのが正解だと思います。HDDもSSDも一定の寿命があるデバイスです。寿命に到達する前に新しいデバイスに移行して、移行前のデバイスは諦めましょう。 HDDはデリケートな精密機械です。外気との接触も避け、堅牢な筐体で中のディスクは保護されています。また、ディスクヘッドとディスクは数nm(ナノメートル)という小さい距離で、100km超という速度で動いています。よくこんなモノを作ったなというレベルです。それ故に、ケースを開けて、ディスクを曲げてしまえば、そこに記録された情報を復元することは不可能です。技術の結晶のような装置を壊すのは心苦しいですが、ここは思い切って再生不能にしましょう。
私は、私はケースを開けて、貫通ドライバを使ってディスクを割るか曲げるという方法を採っています(貫通ドライバが手元にあるので)。ペンチやプライヤで曲げるという方法もありますし、金属用のドリルがあれば、それでディスクに穴を開けるという方法もあります。ケースを開けるためにはトルクスドライバ (*3) が必要になるので、持っていない場合にはその購入コストが掛かります。ハードディスク・クラッシャという専用の工具もありますが少しお値段が張ります。 SSDはHDDよりも低容量で高コストですが、速度(特にランダムアクセス速度)が高く、衝撃に強いので、タブレットやPCの起動ドライブなどに多用されるようになってきています。NAND (Not AND)メモリを使って、データを恒久的に保持できるのでHDDの代替になります。高密度化が進んでおり、10nm台のプロセス密度で100以上の積層構造という、これまた精緻なデバイスです。HDDよりも華奢なデバイスなので、物理的に破壊するが手っ取り早いです。ペンチで基板ごとチップ自体を割ることが肝要です。
まとめ
組織での対策になると、いろいろとややこしいので、個人でコストゼロできる対策を再整理して「まとめ」にします。
- 分かり易いパスワードは止めて、一定の複雑さを持ったパスワードを設定する。具体的には、自分の名前、誕生日、一般名詞などは避けた長めのパスワードにしましょう
- さまざまなアカウントで、同じID、同じパスワードを使い回さない
- パスワードは定期的に変更する
- 怪しい(知らないアカウントから送信されて来た)メールを安易に開かない。特に添付ファイルを開くときは、本当に正当な相手なのかを確認する
- ダウンロードは信頼できるサイトからに限定する
- ヒトからデータを貰う場合は、信頼できる相手からだけにする
- オンラインストレージ・サービスを利用する場合は、公開したくない情報は必ず暗号化してアップする。長期間放置せず、受け渡しが完了したら、あるいは一定時間経過したら消去する
- 持ち歩くデバイスのストレージ(ハードディスクやSSDなど)は暗号化する
- ストレージは転売しない。廃棄する場合は、物理的に破壊する
余談
この原稿を書いているのは2月13日です。国土交通省と気象庁は「大雪に対する緊急発表を行いました。東京は2月10日の夜にも雪が降りましたが、今回はそれよりも沢山降るそうです。大きな事故が無ければ良いなと思いつつ、つくづく東京は雪に弱いなと、札幌にも住んだことがある私は思ったりします。
東京は(少なくとも、他の都道府県よりは)財政的には豊かなので、雪国レベルの対策も可能ではあると思います。しかし、そうなっていないのは、費用対効果の問題でしょう。東京の公共交通機関は過密です。数十もの路線があり、数分ピッチで運行している。その巨大なインフラを、1シーズンに数回(3,4回?)という頻度の積雪から守るコストは半端ないだろうな……と思うと、対処療法でも仕方がないかなとも思います。
情報漏洩対策も同じような捉え方になるのかな? とも思います。ただ、東京での積雪は、地震、津波、火災などの大規模災害とは違って、人名を奪うことに繋がりにくい面がありますが、情報漏洩は組織を死に至らしめる可能性もあります。そこで、どう考えるかは皆さん次第ですが、「まとめ」にも書いた「個人でコストゼロできる対策」は、みなさんにも実施してもらえればと思っています。
ホントに分かり易くなるのか? と自問しつつ、どうせ余談なのでと割り切って、セキュリティ対策と(東京での)積雪時の対策を(やや強引に)関連付けてみます。
- アカウントは大事にする
➡電話番号やLINEアカウントを交換する相手を選ぶ、みだりに名刺を配らない、知らない相手については「捨てアカ」を教える - ウイルスやマルウェアを取り込まないようにする
➡マスクをし、手袋も履いて(*4)、暖かい格好で、感染症を予防する - セキュリティリスクのある方法(PPAPなど)は使わない
➡クルマを使わない(スタッドレスタイヤを装備していて雪道に慣れていれば別) - セキュリティソフト、UTMなどの導入
➡これは個人のみでは無理ですが、組織との合意が得られれば(そういう組織に帰属しましょう)、テレワークをおこなったり、出社&退社を(混まない時間帯に)調整するという事も可能でしょう。 - フィッシングに引っかからない
➡客引きには引っかからない(信頼できる客引きさんは別です。客引きさんと仲良くなるといろいろと御利益もありますが、ここに相応しい内容ではないため、説明は止めておきます。客引き行為は条例によって禁止されている自治体もありますし。これは積雪時に限りませんが、積雪時にも当てはまります、という強引な説明) - 怪しいサイトにアクセスしない
➡怪しい店には独りで行かない、信頼できる仲間に紹介してもらった店で飲む(これも積雪時には限りませんが、大人の心得として雪の日にも必要です)
(*1) BLEACH
マンガ「BLEACH」をご存知の方は、この題名に疑問を抱いたことがあると思います。死神・朽木ルキアは「黒」装束。ルキアと出会って死神となった主人公・黑﨑一護も「黒」。なのに題名は「BLEACH」?! その理由は……「黒」を引き立てるモノが「白」。そして「白」を引き立てる作用が「漂白」ということで「BLEACH」という題名になったとの作者の久保先生のコメントです。
(*2) ストレージの暗号化
Windowsの場合は「BitLocker」(https://docs.microsoft.com/ja-jp/windows/security/information-protection/bitlocker/bitlocker-overview)というツールを使います。Homeエディションでも暗号化したディスクの読み書きは可能ですが、暗号化はできないので注意してください。MacOSの場合は「FileVault」(https://support.apple.com/ja-jp/guide/deployment/dep82064ec40/1/web/1.0)という標準機能で暗号化が可能です。Apple T2 セキュリティチップを搭載したコンピュータの SSD は(何もしなくても)暗号化されますが、そのストレージを別の(Apple T2を搭載した)Macに接続すると読めてしまうので、FileVaultでの暗号化が必要です。Linuxの場合は「dm-crypt」がメジャーなようです( https://github.com/topics/dm-crypt )。
(*3) トルクスドライバ、トルクスネジ
先端の形状が「+」「−」ではなく星形のドライバです。トルクス=TORX®はAcument intellectual properities,LLC.の商標登録です。六角形の星形の形状です(正六角形で、六角レンチが合うものとは異なります)。「6」なので「ヘックスローブ」「ヘクサロビュラ」呼ばれます(こちらが一般名詞です)。五角形の星形のモノも存在し、こちらは「ペンタローブ」と呼ばれます。「+」形状よりも「星形」の方がネジの頭を舐め難いという利点があります(トルクを掛けたときにネジの長手方向の分力が発生しないので)。普通のドライバで開けられない(特にヘクサロビュラはまだレアなので)という点で採用される場合もあります。HDDもケースを開けると、埃や湿気でデリケートなディスクがダメージを受けるので「開けないで!」という意志表示の意味が強いような気もします。
(*4) 手袋を履く 手袋を装着することを北海道では「履く(はく)」と表現します。自分で「手袋を履く」と書いて、自分も道産子文化に染まっていることを再認識した次第です。関西人だった私には「手袋をはめる」が標準だったので、札幌に住み始めた当初は違和感があったのですが、いつの間にか染みついていたということになります。ちなみに関東では「手袋を付ける」「手袋をする」というのが一般形のようです。
中村 健 (Ken Nakamura)
株式会社SYNCHRO 取締役 CTO
機械屋だったはずだが、いつの間にかソフト屋になっていた。
以前は計測制御、知識工学が専門分野で、日本版スペースシャトルの
飛行実験に関わったり、アクアラインを掘ったりしていた。
VoIPに関わったことで通信も専門分野に加わり、最近はネットワーク
セキュリティに注力している。
https://www.udc-synchro.co.jp/
サイバーセキュリティ四方山話の公開は、メールマガジンにてご案内致しています。是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします。
