情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第51列車は「本末転倒」です。※このマンガはフィクションです。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。
その情報システム(鉄道システムを除く)の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。
「こうしす!」制作参加スタッフが、@IT読者にお届けするセキュリティ啓発4コマ漫画。
マンガのテーマは「本末転倒」です。
セキュリティ対策として、クラウドの利用制限は昔からよく使われてきた手法です。古くは社内プロキシ、近年はSASE(セキュアアクセスサービスエッジ)、CASB(クラウドアクセスセキュリティブローカー)などのソリューションを用いて利用を制限してきました。
しかしマンガのように、結局クラウドとして認識されていないサービスを使ってすり抜けることになるのであれば、そのセキュリティ対策は逆効果といえるでしょう。
手軽にファイルをやりとりする手段として、シンプルなファイル共有サービスを使うことはよくあります。しかし2020年、多くのユーザーに活用されていた「宅ふぁいる便」が不正アクセスにより情報を漏えいし、サービスが終了するという事態が発生しました。
この事例ではパスワードをハッシュ化して保存していなかったことが大きな話題となりましたが、リスクはそれだけに限りません。
ランダムなURLだからとパスワードを設定せずに共有することには一定のリスクがあることは、以前解説した通りです。
また、ZIPファイルを暗号化してアップロードしたとしても、広く使用されているZipCrypto方式での暗号化は、強度が低いことが知られています。
このように、万が一のことを考えるのであれば、会社内で公式に利用されているクラウドの機能でファイルを共有することが正しい方法です。
シャドーIT、シャドーSaaSを招くのは、往々にして現実に合わない制限です。
例えば、PPAP(P:パスワード付きZIP暗号化ファイルを送ります、P:パスワードを送ります、A:暗号化、P:プロトコル)の問題が広く知られた今、クラウドサービスを用いたファイル共有を採用する事例が増えてきました。
セキュリティ的に意味なし “旧ノーマル”な職場にはびこる習慣、その名も「PPAP」を知っていますか(ITmedia エンタープライズ)
21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?(こうしす!)
クラウドサービスを用いてファイルを共有し、その際にパスワード認証を用いた場合、パスワードが入手できなければファイル自体が入手不可能であることや、万が一パスワードが漏えいしても、アクセスログあるいは監査ログで実際に漏えいしたのかどうかを事後的に確認できるという利点があります。
しかしクラウドサービスは複数あり、使用サービスは企業によって異なります。ある会社では「Box Drive」を使用しているが、ある会社では「Microsoft 365」(OneDrive)、ある会社では「Dropbox」、ある会社では「Google Drive」、ある会社ではマイナーなクラウドサービスといった具合です。
そのため、自社で利用していないクラウドサービスでも、利用を許可しなければファイルを共有できず、シャドーIT/SaaSやPPAPなど、公式外の方法でファイル共有することになってしまうのです。
社内SEや情シスに求められることは、現状に合わない禁止ではありません。
社外とのファイルのやりとりは止められないのですから、取引先の利用しているクラウドサービスを知り、「ひとまず禁止」ではなく、ログの取得によって利用を可視化することが先決です。
そのためには、どのようなセキュリティソリューションを使っていても、継続的なモニタリングの実施とポリシーの見直しが欠かせません。
この機会に、硬直的な運用になっていないかどうか、いま一度見直してみましょう。
Copyright 2012-2024 OPAP-JP contributors.
本作品は特に注記がない限りCC-BY 4.0の下にご利用いただけます
アニメ「こうしす!」監督、脚本。情報処理安全確保支援士。プログラマーの本業の傍ら、セキュリティ普及啓発活動を行う。
著書:「こうしす!社内SE 祝園アカネの情報セキュリティ事件簿」(翔泳社)、「ハックしないで監査役!! 小説こうしす!EEシリーズ 元社内SE祝園アカネ 監査役編 [1]」(京姫鉄道出版)
映画:「こうしす!EE 総集編映画版」
「物語の力でIT、セキュリティをもっと面白く」をモットーに、作品制作を行っています。
オープンソースなアニメを作ろうというプロジェクト。現在はアニメ「こうしす!」を制作中。
Copyright © ITmedia, Inc. All Rights Reserved.