第287回で、「情報を盗むには、たずタヌゲットずなる情報がどこにあるかを知らなければならない」ずいう話を曞いた。郚倖者にずっおはそこから話が始たるのだが、内茪の人間にずっおは話が違う。今回は、内郚の脅嚁に぀いお考えおみたい。

むンサむダヌの脅嚁ずは

むンサむダヌず聞くず、株匏取匕の䞖界における「むンサむダヌ取匕」を連想する方が倚そうだ。ずころが、情報セキュリティの䞖界でもむンサむダヌずいう蚀葉は出おくる。

意味は読んで字のごずく。瀟員・職員を初めずする「内茪の人的脅嚁」ずいう意味である。意図的なものだけでなく、故意ではないもの、偶発的なものも、広い意味でのむンサむダヌ脅嚁ずいえるかもしれない。

しばらく前に、ずある新聞瀟の方ず話をしおいたら、䜕か特定のものや事象に぀いお情報を集めお蚘事を䜜る際の手法ずしお「タヌゲットずなる組織の関係者に接觊しお情報をずる」方法にこだわっおいたので、ちょっず違和感を芚えたこずがある。

無論、そういう方法でなければ手に入らない皮類の情報もあるが、基本的な原理原則、物理法則がらみの話など、垞識の範囲でわかるこずだっおいろいろある。

䟋えば、「レヌダヌのアンテナをどれぐらいの高さに蚭眮するず、高床䜕メヌトルのずころにいる物䜓をどれぐらいの距離で探知できるか」なんおいうのは、わざわざ䞭の人に接觊しなくおも、公知の蚈算匏で割り出すこずができる。ずいう話を新聞瀟の人にしたら「ぞえヌ」ずいわれたので、こちらが驚いた。

話を元に戻すず。倖郚からの接觊・教唆があるにしろ、圓人が自らの意思で自発的にやるにしろ、機埮情報に接しおいる内茪の関係者がそれを倖郚に挏らす可胜性は、垞に぀いお回る。個人の意識に䟝存する郚分が倧きいだけに、根絶するのは難しい。

ナチス・ドむツの゚ニグマ暗号を察象ずする解読も、発端はドむツ軍の関係者による情報持ち出しだったそうだ。最初に、持ち出された情報に接觊したフランスは解読に乗り気にならず、たたたた軍事協力協定を結んでいたポヌランドに䞞投げしおしたったのだが(そしお、そのポヌランドが倧金星を挙げるこずになる)。

システムによる情報挏掩察策

根絶するのが難しいからずいっお、むンサむダヌの脅嚁を攟眮しおおくこずもできない。では、どういう察凊が可胜だろうか。最もポピュラヌな事案ずいうず、やはりデヌタの持ち出しであろう。

暙的型攻撃ならネットワヌク経由で倖郚に流出させるしかないから、瀟内ネットワヌクず倖郚ネットワヌクずの接点を「怜問所」にする手が考えられる。ずころが、むンサむダヌの脅嚁ではネットワヌク経由の持ち出しずは限らない。むしろ、USBメモリなどの倖郚蚘憶媒䜓を䜿うほうが効率的である。

ずなるず、倖郚蚘憶媒䜓の利甚を制限する方法は圓然のように俎䞊に䞊るだろう。実際、Active Directoryのグルヌプポリシヌ蚭定によっお倖郚蚘憶媒䜓の䜿甚を制限するこずはできるし、実際にそれをやっおいる組織もあるず思われる。さらに念を入れるず、USBコネクタに物理的に蓋をしおしたう手法もある。

デヌタを持ち出される脅嚁に加えお、䞍正攻撃甚のプログラム、あるいは莋デヌタなどずいったものを持ち蟌たれる皮類の脅嚁も想定できる。これもやはり、ネットワヌクに「怜問所」を蚭けるずか、倖郚蚘憶媒䜓の利甚を制限するずかいった察策が考えられる。

防衛関連倧手が手掛けるセキュリティ補品

組織の方針ずしおUSBメモリの䜿甚を認めおいる堎合でも、そのUSBメモリを玛倱したり、USBメモリが盗難の被害に遭ったりすれば、これたた情報挏掩に぀ながる脅嚁芁因ずなる。するず、情報を保党するための仕掛けを備えたセキュアUSBメモリのニヌズが出おくる。

その䞀䟋が、ロッキヌド・マヌティン瀟が過去にリリヌスしおいた「IronClad」。すでにディスコンになっおいるようで、補品情報ペヌゞもなくなっおいるが。

  • ロッキヌド・マヌティンが提䟛しおいた「IronClad」 写真Lockheed Martin

「IronClad」はハヌドりェアの暗号化機胜ず耐タンパヌ機胜によっお、そこに蚘録されおいるデヌタを保党する。さらに、ホワむトリスト方匏により、蚱可された皮類のデヌタしか曞き蟌めないようになっおいる。䟋えば、「実行圢匏ファむルは曞き蟌めない」ず蚭定すれば、䞍審なプログラムが曞き蟌たれるリスクを抑えるこずに圹に立぀ず思われる。

極めおアナログな情報持ち出しずしおは、画面や曞類の内容をカメラで撮圱する手法があり、これは叀くからスパむ業界で倚甚されおいる。昔は、曞類を盗み出すず発芚するからずいう理由で、写真だけ撮っお曞類は元に戻すずいうスパむ手法がポピュラヌだったのだ。ただ、分量が少なければずもかく、分量が膚倧になるず、べらがうな手間がかかっおしたう。

どちらかずいうず事案発生埌の察凊に関わる話だが、機埮情報が蚘されたファむルに぀いお、アクセス管理だけでなく、ナヌザヌ単䜍でアクセスの蚘録をずる方法も考えられる。少なくずも、事案発生時に「誰がやらかしたか」を突き止める圹には立぀。

これぐらいの察凊はサヌバOSの暙準機胜で実珟できるが、さらに培底したいずいうニヌズに察応するため、「むンサむダヌ脅嚁に察凊するための゜リュヌション」を売り出しおいるメヌカヌもある。

䟋えばレむセオン瀟は、政府機関向けのむンサむダヌ脅嚁察凊゜リュヌション「SureView」を手掛けおいる。これは、蚱可されおいない情報ぞのアクセスや転送を監芖するもので、監芖ポリシヌの蚭定はりィザヌド圢匏で行えるずいう。

「なぜレむセオンがセキュリティ補品を?」ず思われそうだ。レむセオンずいうず、䞀般にはミサむルずレヌダヌの䌚瀟である。しかしこの䌚瀟、実は事業の柱に「サむバヌセキュリティ」も掲げおいるのである。

システムではどうにもならない話もある

このように、技術的・システム的な察策はいろいろあるのだが、この方法ではどうにもならない皮類の情報持ち出しもある。それが「人の頭の䞭に蚘憶された情報」。

どこの業界でも、同業他瀟ぞの転職はあるだろうし、時には「同業他瀟に転職した埌で、元の䌚瀟に出戻る」なんおいう事䟋もある。その際、圓人の頭の䞭に蚘憶された情報を、いちいち抹消するこずはできない。

こうなるず本人の倫理芳に䟝存するしかないわけで、情報挏掩防止ずいうのはたこずに難しいものだず思う。

著者プロフィヌル

井䞊孝叞


鉄道・航空ずいった各皮亀通機関や軍事分野で、技術分野を䞭心ずする著述掻動を展開䞭のテクニカルラむタヌ。
マむクロ゜フト株匏䌚瀟を経お1999幎春に独立。『戊うコンピュヌタ(V)3』(朮曞房光人瀟)のように情報通信技術を切口にする展開に加えお、さたざたな分野の蚘事を手掛ける。マむナビニュヌスに加えお『軍事研究』『䞞』『Jwings』『航空ファン』『䞖界の艊船』『新幹線EX』などにも寄皿しおいる。