これまでインターネットのサーバで取られていたログは、「結局は犯人は捕まらない」という理由から、それほどの信ぴょう性は求められていませんでした。例えばECサイトの場合ですと、被害にあった場合の被害範囲の特定、攻撃方法の特定などに焦点が当てられてきており、ログそのものが正しいかどうかは議論の対象外でした。
たとえ「残されていたログから被害人数は○万○千人でした」と公表されれば「そうだったんだ」と素直を納得しているのです。「そのログはそれで本当に全部なのか」「ログが消されていたり改ざんされていないという証明はあるのか」と詰め寄る人もいません。
それは「ログは正しい、正しく取られているはずだ」という思い込みがあるからなのです。「ログがないのは許せないが、ログがあればそれでいい」という考えに基づいているからで、技術的に考えれば「侵入されたサーバのログをそのまま信じてどうする」ということは容易に想像できることです。
このような「否認」に関する問題はBtoBやBtoCのクラウドサービスにおいても考えられます。サービス事業者から情報漏えいがあったと十分に推測できる状況であっても、事業者が否認することが考えられます。例えば、ある特定の期間にある特定の顧客情報をクラウドサービスに保存していたとして、その顧客情報が後日漏えいしたことが分かった場合に、当然、そのクラウド事業者は疑われることになります。
事実がどうあれ、お互いに「こちらで漏えいしたのではない」といい張ることになるでしょう。その場合の拠り所は状況証拠や思い込みだけではダメで、信用できるログで議論すべきです。BtoBであればこのような取り決めなどは可能かもしれませんが、BtoCになると利用者は泣き寝入りせざるを得ないことも考えられます。
これはクラウドに限らず、現在のASPサービス全般に、いざというときの利用者保護が万全でないといえるかもしれません。情報漏えいしないような努力としてのセキュリティ対策は行うものの、いざ漏えいした場合の被害者への情報開示のため、ログの保全と公開について、顧客との契約や義務化まで踏み込むような動きが必要なのかもしれません。
身近な例としては、「メールが消えた」「スケジュールが消えた」と騒いでも、相手にされないことが考えられます。ある事業者では自分のアクセスログが見れるようになっていますが、そのような取り組みをクラウドサービス利用時にも操作ログの公開として取り入れてほしいものです。
個人としても、企業としても、重要な情報を自分のPCや会社のサーバから外の業者のサーバに移すようになったいまこそ、ログに関してさらにレベルを上げた議論が必要なのではないでしょうか。
今回ホラー話をしてみたのは、現実に起こっていること、これから起こりそうな予感が強くしているためで、それに関連する法整備や人材確保、技術者やサービスの提供などが追い付いていないのでは、と危惧(きぐ)しているからです。
事件が起きてからでは遅い、とはいいますが、そろそろ内部犯行についての本格的な議論や法整備、技術者の育成などに着手してもいいころだと思います。
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。
そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。
また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。
上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。
Copyright © ITmedia, Inc. All Rights Reserved.