頻発するネット情報流出、あなたは大丈夫? 2014年は臨界点を超えた年だった
この騒ぎでパスワードを変更した方もいると思うが、結局は程度問題で、パスワードによるセキュリティ管理は、ここでも限界に来ているのかもしれない。複雑かつ多種のパスワードを使い分けていくしか、リスクを減じる方法はない。
筆者の場合、セキュリティが甘そうな、あるいは流出の危険を感じられるようなサービスを使う場合(そもそも怪しいサービスには手を出さない方がいいのだが)と、それ以外のサービス……特に登録先の信頼度の高い場合など、情報を預ける相手によって使うパスワードを分けるようにしている。最低限、仕事とプライベートではパスワード分けるなどはしておきたい。
ベネッセの個人情報流出は情報を管理する“人”を介したものであり、LINEのID流出はパスワードの扱いが杜撰な一部サービスから流出したリストを用いたものだ。いずれも自分でコントロールできるものではない。その上、ソニー・ピクチャーズの事件にもあるように、本気のサイバー攻撃が行われたとき、システムが突破されない保証はどこにもない。
コンピュータの能力は向上を続け、ネットワークの接続帯域は拡大を続けている。そこで扱われる情報の量、質、種類ともに増大の一途だ。それまでの常識は常識ではなくなり、SF映画に登場したようなサイバー犯罪も決して夢物語ではなくなってきている。
防衛庁のセキュリティコンサルタントも務めるセキュリティ会社代表は「侵入や盗難に対して完璧な防御力を持つシステムを作ることは不可能だ」と断言していた。安全確保は、クラッキングを行うためのコスト(時間やコンピューティング能力、ネットワーク帯域など)を、入手する情報を上回るように工夫することが主だという。
しかし、それもソニー・ピクチャーズの事例のように、国家レベルでの威信を懸けたサイバー攻撃となると“費用対効果”という言葉そのものに意味がなくなってしまう。ソニー・ピクチャーズは事件で大きな被害を受けたが、おそらく犯人はその攻撃によって1セントも得をしていない。費用対効果を無視したアタックに対しては、費用対効果でクラッキングを無効化するテクニックはナンセンスとなる。
北朝鮮が犯人だとFBIが断定した(が、確認はされておらず証拠も弱い)後、何者かが北朝鮮に向けたDDoS(大規模サービス拒否攻撃)が加えられ、21日から22日までの約9時間半に渡って、国全体のインターネット接続が遮断されたとの報道(外部リンク)もあった。
北朝鮮の攻撃に対して義憤の念に駆られたハッカーによるものと考えられているが、このことは費用対効果などというビジネスワードを無視すれば、“国家”へのインターネット接続そのものをダウンさせる力をサイバー犯罪者たちが持ちえることを示している。
根本的な対策方法はない?
「コストを度外視した攻撃には、どんなシステムも耐えられない」という仮説が正しいとするならば、ソニー・ピクチャーズのような事件は防げないことになる。いや、そもそも”人間”が関与する限り、組織のどこかにセキュリティホールが生まれることは、どんなに頑張っても排除できない。
家族だけで構成される内輪の会社ならばともかく、正社員もいれば契約社員もいる。もちろん、アルバイトや一時雇用のエンジニアもいる。常駐している外注先社員もいる。可能性だけで言うならば、情報流出は常に“可能性として存在する”ことを前提にした、情報共有(メールのやり取りや文書の保管、記述、それにメッセージ内容のモラル徹底など)を行っておくほかないのかもしれない。
たとえば、情報はつねに漏れる可能性がある。盗まれる可能性はゼロではないという認識をスタート地点に、すべてのコミュニケーション手段を見直してみるのはどうだろう。組織全体にカルチャーと言えるまで浸透させることは簡単ではないが、だからこそ早めに取り組むべきだろう。
そんな間抜けな対策しかできないのが現実なのである。それは現実の社会と同じだ。現実社会でも、サイバー社会と同様のリスクは存在する。しかし、現実社会では、場所や時間などの制約がある。サイバー犯罪を防ぐ難しさは、現実社会では存在している制約が一部分とはいえ、極めて小さくなることだ。
あるいはセキュリティレベルを大きく引き上げる画期的な方法が、将来は発明されるのかもしれない。しかしながらそれまでの間、われわれは毎年、少しずつ、情報を扱うためにより不便なシステム運用を強いられていくのかもしれない。
記事をマイページに保存
できます。
無料会員登録はこちら
ログインはこちら
印刷ページの表示はログインが必要です。
無料会員登録はこちら
ログインはこちら
無料会員登録はこちら
ログインはこちら