インターネット詐欺、サイバー犯罪対策情報サイト オンラインセキュリティ

Online Security

特集記事 セキュリティの新しい風 ~Birds of a feather~

第二回 “教育”は最大の防御
~通達を社員は読んで心に留めているのだろうか?~

セキュリティ・ファースト

古い情報だが、2002年7月1日の米国ガバメントテクノロジーのウェブに「Security First」と題した情報が掲載された。米国重要インフラ保護委員会副委員長ハワード・シュミット(Howard Schmidt)が、質問に答えている。

「What kinds of technology will be needed to stave off electronic attacks? Do we need bigger anti-virus programs?」
電子的な攻撃を阻止するためには、どの様な技術が必要か? より強力なウイルス対策ソフトが必要か?

「The common misconception is this is a technology issue. But it's not a technology issue. For example, the DOD did an analysis last year and it's somewhere in the high 90s, like 97 [percent] to 98 percent of things that have hit the DOD systems have been the result not of some new piece of technology but exploitation of people that have not had processes in place to install patches or to configure their systems properly.」
技術的な問題と考えることは誤解で、これは技術の問題ではない。実際、昨年(2001年)の米国国防総省(DoD)の調査では、DoD攻撃の90%の後半、97~98%は新しい技術での攻撃でなく、導入済みのソフトウェアのパッチ適用がなかったか、設定ミスである。

と述べている。 サーバの設定や管理・運用をやっているのは人間であり、高度なハッカーによる攻撃より、サーバを守る側の問題があると指摘している。
最近は、サーバに対するセキュリティ対策が十分に行われるようになったが、利用者が増大してきたため、攻撃目標が次第に利用者になってきた。 利用者がもつ「ユーザID/パスワード」を盗取できれば、正規の利用者としてシステムにアクセスできる。このため、サーバのセキュリティ対策だけを考えれば良い時代ではなくなってきた。
例えば、図表1に示した国内調査では、

①ヒューマンエラーが全体の50%あり、
②人的な事件・事故(赤枠部分)が65.5%ある、
③赤枠部分の対応には、技術だけでなく、関係者への「教育・訓練」が必要であろう。

引用:Security First: http://www.govtech.com/security/Security-First.html
引用:重要インフラ保護委員会: Critical Infrastructure Protection Board

今回の不正アクセスでは、以下の3つの要因が大きく影響している。

図表1 NRIセキュアテクノロジー 『過去1年間で発生した事件・事故』 を筆者が編集した 企業における情報セキュリティ実態調査 2015 第2版 より

グローバルな調査では、ベライゾンビジネスが毎年調査している「データ漏洩/侵害調査報告書」があるが、2016年度の資料(図表2)では、人間が関係したものが、約71%以上あった。

表2 ベライゾンビジネス「2016年度 データ漏洩/侵害調査報告書」を筆者が編集した

次ページ:敵を知り・・己を知れば・・

執筆者プロフィール

内田 勝也 情報セキュリティ大学院大学 名誉教授

内田 勝也 Katsuya Uchida, Ph.D.
情報セキュリティ大学院大学 名誉教授

・電気通信主任技術者/工事担任者 試験 セキュリティ検討委員
・ISMS/ITSMS 審査判定委員会 委員長(~現在)
・フィッシング対策協議会 ガイドライン策定ワーキンググループ主査(~現在)
・総務省「ICTビジョン懇談会」構成員
・事業仕分け人/行政事業レビュー構成員
・佐賀県学校教育ネットワークセキュリティ対策検討委員会 委員長(2016年7月)