PPAPの次に無用なルールこうしす! こちら京姫鉄道 広報部システム課 @IT支線(51)

情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第51列車は「本末転倒」です。※このマンガはフィクションです。

» 2024年12月11日 05時00分 公開

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

こうしす!」とは

ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。

その情報システム(鉄道システムを除く)の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。

こうしす!@IT支線」とは

「こうしす!」制作参加スタッフが、@IT読者にお届けするセキュリティ啓発4コマ漫画。


今回の登場人物

akane

祝園アカネ(HOSONO Akane)

広報部システム課 係員。情報処理安全確保支援士。計画的怠惰主義者で、有休取得率は100%。しかし、困っている人を放っておけない性格が災いし、いつもシステムトラブルに巻き込まれる

mei

女鹿 梨(MEGA Rin)

蔵王電鉄の広報&DX担当。何事も猪突(ちょとつ)猛進。高校時代の成績は情報以外の科目はオール2。人事交流で京姫鉄道とつながりがある




第51列車:結局それ















※Live2Dモデル:Live2D 高嶋るみあ、背景3D:OPAP-JP contributors


井二かけるの追い解説

 マンガのテーマは「本末転倒」です。

 セキュリティ対策として、クラウドの利用制限は昔からよく使われてきた手法です。古くは社内プロキシ、近年はSASE(セキュアアクセスサービスエッジ)、CASB(クラウドアクセスセキュリティブローカー)などのソリューションを用いて利用を制限してきました。

 しかしマンガのように、結局クラウドとして認識されていないサービスを使ってすり抜けることになるのであれば、そのセキュリティ対策は逆効果といえるでしょう。

便利なファイル共有サービス、しかし――

 手軽にファイルをやりとりする手段として、シンプルなファイル共有サービスを使うことはよくあります。しかし2020年、多くのユーザーに活用されていた「宅ふぁいる便」が不正アクセスにより情報を漏えいし、サービスが終了するという事態が発生しました。

 この事例ではパスワードをハッシュ化して保存していなかったことが大きな話題となりましたが、リスクはそれだけに限りません。

 ランダムなURLだからとパスワードを設定せずに共有することには一定のリスクがあることは、以前解説した通りです。

 また、ZIPファイルを暗号化してアップロードしたとしても、広く使用されているZipCrypto方式での暗号化は、強度が低いことが知られています。

 このように、万が一のことを考えるのであれば、会社内で公式に利用されているクラウドの機能でファイルを共有することが正しい方法です。

現実に合わない制限

 シャドーIT、シャドーSaaSを招くのは、往々にして現実に合わない制限です。

 例えば、PPAP(P:パスワード付きZIP暗号化ファイルを送ります、P:パスワードを送ります、A:暗号化、P:プロトコル)の問題が広く知られた今、クラウドサービスを用いたファイル共有を採用する事例が増えてきました。

 クラウドサービスを用いてファイルを共有し、その際にパスワード認証を用いた場合、パスワードが入手できなければファイル自体が入手不可能であることや、万が一パスワードが漏えいしても、アクセスログあるいは監査ログで実際に漏えいしたのかどうかを事後的に確認できるという利点があります。

 しかしクラウドサービスは複数あり、使用サービスは企業によって異なります。ある会社では「Box Drive」を使用しているが、ある会社では「Microsoft 365」(OneDrive)、ある会社では「Dropbox」、ある会社では「Google Drive」、ある会社ではマイナーなクラウドサービスといった具合です。

 そのため、自社で利用していないクラウドサービスでも、利用を許可しなければファイルを共有できず、シャドーIT/SaaSやPPAPなど、公式外の方法でファイル共有することになってしまうのです。

情シスに求められることとは

 社内SEや情シスに求められることは、現状に合わない禁止ではありません。

 社外とのファイルのやりとりは止められないのですから、取引先の利用しているクラウドサービスを知り、「ひとまず禁止」ではなく、ログの取得によって利用を可視化することが先決です。

 そのためには、どのようなセキュリティソリューションを使っていても、継続的なモニタリングの実施とポリシーの見直しが欠かせません。

 この機会に、硬直的な運用になっていないかどうか、いま一度見直してみましょう。

Copyright 2012-2024 OPAP-JP contributors.
本作品は特に注記がない限りCC-BY 4.0の下にご利用いただけます


筆者プロフィール

原作:井二かける

アニメ「こうしす!」監督、脚本。情報処理安全確保支援士。プログラマーの本業の傍ら、セキュリティ普及啓発活動を行う。

著書:「こうしす!社内SE 祝園アカネの情報セキュリティ事件簿」(翔泳社)、「ハックしないで監査役!! 小説こうしす!EEシリーズ 元社内SE祝園アカネ 監査役編 [1]」(京姫鉄道出版)

映画:「こうしす!EE 総集編映画版


解説:京姫鉄道

「物語の力でIT、セキュリティをもっと面白く」をモットーに、作品制作を行っています。


原作:OPAP-JP contributors

オープンソースなアニメを作ろうというプロジェクト。現在はアニメ「こうしす!」を制作中。


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。