セキュリティの新しい風 ~Birds of a feather~
第二回 "教育"は最大の防御通達を社員は読んで心に留めているのだろうか?

特集記事

セキュリティ・ファースト

古い情報だが、2002年7月1日の米国ガバメントテクノロジーのウェブに「Security First」と題した情報が掲載された。米国重要インフラ保護委員会副委員長ハワード・シュミット(Howard Schmidt)が、質問に答えている。

「What kinds of technology will be needed to stave off electronic attacks? Do we need bigger anti-virus programs?」
電子的な攻撃を阻止するためには、どの様な技術が必要か? より強力なウイルス対策ソフトが必要か?

「The common misconception is this is a technology issue. But it's not a technology issue. For example, the DOD did an analysis last year and it's somewhere in the high 90s, like 97 [percent] to 98 percent of things that have hit the DOD systems have been the result not of some new piece of technology but exploitation of people that have not had processes in place to install patches or to configure their systems properly.」
技術的な問題と考えることは誤解で、これは技術の問題ではない。実際、昨年(2001年)の米国国防総省(DoD)の調査では、DoD攻撃の90%の後半、97~98%は新しい技術での攻撃でなく、導入済みのソフトウェアのパッチ適用がなかったか、設定ミスである。

と述べている。 サーバの設定や管理・運用をやっているのは人間であり、高度なハッカーによる攻撃より、サーバを守る側の問題があると指摘している。
最近は、サーバに対するセキュリティ対策が十分に行われるようになったが、利用者が増大してきたため、攻撃目標が次第に利用者になってきた。 利用者がもつ「ユーザID/パスワード」を盗取できれば、正規の利用者としてシステムにアクセスできる。このため、サーバのセキュリティ対策だけを考えれば良い時代ではなくなってきた。
例えば、図表1に示した国内調査では、

①ヒューマンエラーが全体の50%あり、
②人的な事件・事故(赤枠部分)が65.5%ある、
③赤枠部分の対応には、技術だけでなく、関係者への「教育・訓練」が必要であろう。

引用:Security First: http://www.govtech.com/security/Security-First.html
引用:重要インフラ保護委員会: Critical Infrastructure Protection Board

今回の不正アクセスでは、以下の3つの要因が大きく影響している。

図表1 NRIセキュアテクノロジー 『過去1年間で発生した事件・事故』 を筆者が編集した企業における情報セキュリティ実態調査 2015 第2版 より

グローバルな調査では、ベライゾンビジネスが毎年調査している「データ漏洩/侵害調査報告書」があるが、2016年度の資料(図表2)では、人間が関係したものが、約71%以上あった。

表2 ベライゾンビジネス「2016年度 データ漏洩/侵害調査報告書」を筆者が編集した