検索
連載

犯罪者の「否認」に対応するにはセキュリティ、そろそろ本音で語らないか(11)(3/3 ページ)

決して人ごとではないサイバー犯罪。犯罪者に対しても“性善説”で考えていいのでしょうか? プロの犯行に対抗するために、私たちができることを考えます(編集部)

Share
Tweet
LINE
Hatena
前のページへ |       

クラウド時代にどうやって「否認問題」を扱うべきか

 これまでインターネットのサーバで取られていたログは、「結局は犯人は捕まらない」という理由から、それほどの信ぴょう性は求められていませんでした。例えばECサイトの場合ですと、被害にあった場合の被害範囲の特定、攻撃方法の特定などに焦点が当てられてきており、ログそのものが正しいかどうかは議論の対象外でした。

 たとえ「残されていたログから被害人数は○万○千人でした」と公表されれば「そうだったんだ」と素直を納得しているのです。「そのログはそれで本当に全部なのか」「ログが消されていたり改ざんされていないという証明はあるのか」と詰め寄る人もいません。

 それは「ログは正しい、正しく取られているはずだ」という思い込みがあるからなのです。「ログがないのは許せないが、ログがあればそれでいい」という考えに基づいているからで、技術的に考えれば「侵入されたサーバのログをそのまま信じてどうする」ということは容易に想像できることです。

 このような「否認」に関する問題はBtoBやBtoCのクラウドサービスにおいても考えられます。サービス事業者から情報漏えいがあったと十分に推測できる状況であっても、事業者が否認することが考えられます。例えば、ある特定の期間にある特定の顧客情報をクラウドサービスに保存していたとして、その顧客情報が後日漏えいしたことが分かった場合に、当然、そのクラウド事業者は疑われることになります。

 事実がどうあれ、お互いに「こちらで漏えいしたのではない」といい張ることになるでしょう。その場合の拠り所は状況証拠や思い込みだけではダメで、信用できるログで議論すべきです。BtoBであればこのような取り決めなどは可能かもしれませんが、BtoCになると利用者は泣き寝入りせざるを得ないことも考えられます。

 これはクラウドに限らず、現在のASPサービス全般に、いざというときの利用者保護が万全でないといえるかもしれません。情報漏えいしないような努力としてのセキュリティ対策は行うものの、いざ漏えいした場合の被害者への情報開示のため、ログの保全と公開について、顧客との契約や義務化まで踏み込むような動きが必要なのかもしれません。

 身近な例としては、「メールが消えた」「スケジュールが消えた」と騒いでも、相手にされないことが考えられます。ある事業者では自分のアクセスログが見れるようになっていますが、そのような取り組みをクラウドサービス利用時にも操作ログの公開として取り入れてほしいものです。

 個人としても、企業としても、重要な情報を自分のPCや会社のサーバから外の業者のサーバに移すようになったいまこそ、ログに関してさらにレベルを上げた議論が必要なのではないでしょうか。


 今回ホラー話をしてみたのは、現実に起こっていること、これから起こりそうな予感が強くしているためで、それに関連する法整備や人材確保、技術者やサービスの提供などが追い付いていないのでは、と危惧(きぐ)しているからです。

 事件が起きてからでは遅い、とはいいますが、そろそろ内部犯行についての本格的な議論や法整備、技術者の育成などに着手してもいいころだと思います。

Index

犯罪者の「否認」に対応するには

Page1
今回はあえて、あおります。
不況と犯罪
裏社会と簡単につながるインターネット

Page2
デジタル社会での「プロによる犯行」の恐怖
ログねつ造の可能性を考える

Page3
クラウド時代にどうやって「否認問題」を扱うべきか


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

三輪 信雄(みわ のぶお)

S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント

1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。

そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。

また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。

上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  4. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  5. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  6. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  7. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る