Security&Trust
第8回 読者調査結果発表
〜ファイアウォール内部の脅威“内部セキュリティ”対策の実態は?〜
小柴 豊
アットマーク・アイティ
マーケティングサービス担当
2004/1/9
情報システムとインターネットの融合が進むにつれ、企業はセキュリティ対策の強化を迫られてきた。その結果ファイアウォールやウイルス対策ソフトウェアはネットワークにおける“コモディティ製品”となったが、ワーム感染/情報漏えいなどの事件は、相変わらず後を絶たない。
そこで注目されるのが、“内部セキュリティ”だ。いままでのセキュリティ対策が「外部からの攻撃に備えて守りを固める」ことに神経を集中していたのに対し、内部セキュリティ対策では「社内からの脅威」に焦点を当てている。情報セキュリティの真の脅威は、どこに存在するのか?
@IT Security&Trustフォーラムが実施した第8回読者調査から、内部セキュリティ対策の意識と実態をレポートしよう。
■90%が内部セキュリティ対策の必要性を認識
今回の調査では、内部セキュリティを“正社員/契約・派遣社員/パート・バイトなどの内部関係者による、意図的/非意図的なセキュリティ上の脅威”と定義した。
そこでまず読者のかかわるシステムで、内部セキュリティ対策の必要性がどの程度意識されているのか聞いた結果、「事件は発生していないが、内部セキュリティ対策は行っている」「対策は特に行っていないが、その必要性は感じている」との回答が多数を占め、全体の90%がその必要性を認識していることが分った(図1)。社内の信頼関係は、共同体としての企業の精神的基盤であったが、セキュリティ担当者にとっては、もはや幻想にすぎないようだ。
 |
| 図1 内部セキュリティ対策の必要性認識(N=486) |
■対策が必要な内部セキュリティ課題とは?
では現在の社内には、具体的にどのようなセキュリティ課題があるのだろうか? 読者のかかわるシステムで対策が必要と思われるものを尋ねたところ、全体の70%近くが「関係者が外部から持ち込んだPCによるウイルス/ワーム感染」および「関係者による社外秘情報の持ち出し/漏えい」の2点を挙げている(図2)。
 |
| 図2 対策が必要な内部セキュリティ課題(複数回答 N=486) |
持ち込みPCによる感染例としては、2003年夏に話題となった“Blaster”騒動が記憶に新しい。IPAが発表した調査結果によると、当該ワームの感染は盆休み明けの月曜日に最も多く、感染源の25%が持ち込みPCによるものと想定されている。エンドユーザーのPCはゲートウェイを通過せず直接LANに影響を与えるため、新たに“クライアントマシンへのセキュリティ対策の必要性”を印象付けた事件となった。
社外秘情報の漏えいについても、2003年は大手メーカー/銀行/流通チェーン/システム・インテグレータなどによる事件が相次いだ。2003年5月に「個人情報保護法」が成立したこともあり、今後は刑事訴訟や損害賠償の可能性も念頭に入れたリスク管理が、強く求められそうだ。
| 関連リンク/記事 |
| ・W32/MSBlaster及びW32/Welchiウイルス被害に関する企業アンケート調査 (IPA) |
| ・個人情報流出で倒産するシステム・インテグレータ (NewsInsight) |
■内部セキュリティ対策の実施状況は?
次に上記のような内部セキュリティ課題への対策状況を尋ねたところ、現在は「ログイン時のID/パスワードによる認証」(ベーシック認証)の実施率が82%で突出しており、「部門/役職などのユーザー属性によるアクセス制御」がそれに続く結果となった(図3
桃色棒)。
一方、読者が今後実施を予定/検討している対策を見ると、「情報セキュリティポリシーの策定」「ファイルの暗号化」など幅広い選択肢にポイントが分散しており、ベーシック認証以降の内部セキュリティ対策の本命は、まだ不確定であるようだ(図3
黄色棒)。
 |
| 図3 内部セキュリティ対策の実施状況/実施予定(複数回答 N=486) |
■パスワード・ルールの設定/管理状況は?
ところで現在最も利用されているベーシック認証は、どの程度確かな内部セキュリティ対策といえるのだろうか? この方法ではパスワードを他者に知られた時点で効力がなくなるため、“記号や数字などを織り交ぜて規定数以上の文字列にする/定期的に変更する” などのルールにのっとった運用が欠かせない。
そこでベーシック認証を実施している読者に、パスワード・ルールの設定/管理状況を聞いたところ、「ルールを設定し、違反するとログインできないなどの管理を徹底している」のは、該当者の20%にとどまった(図4)。残りの大多数は「ルールは設定しているが、実行状況の管理は十分にできていない」「特にルールは設定していないが、その必要性は感じている」という段階にあり、セキュリティ対策としては事実上形骸化している模様だ。
 |
| 図4 パスワード・ルールの設定/管理状況 (ベーシック認証実施者 n=398) |
| 関連リンク/記事 |
| ・パスワードの管理と運用を考える (Linux Squareフォーラム) |
| ・Windows 2000 Serverシステムの基本セキュリティ設定(Windows Server Insiderフォーラム) |
| ・安全性の高いパスワードを作るコツ(Windows Tips) |
■社外秘情報の持ち出し実態は?
仮にパスワード・ルールの設定/管理を厳密に行ったとしても、“なりすまし”による不正アクセスを防ぐ効果は期待できるが、登録ユーザー本人が意図的に情報を持ち出すケースには対応できない。しかしそもそも社外秘である情報が、個人判断で簡単に持ち出せるのだろうか?
そこで読者のかかわるシステムにおける、社外秘情報の持ち出し可能な形態(「持ち帰り残業」などを含む)を尋ねたところ、「社外秘情報は個人判断で持ち出せない」との回答は11%にとどまった(図5)。この結果を見ると、現在多くの企業が、情報漏えいの危険性を潜在的に抱えているようだ。
 |
| 図5 社外秘情報の持ち出し可能形態(複数回答 N=486) |
また上図のとおり、社外秘情報の持ち出し形態は伝統的な「プリンタ/コピー機から出力された紙書類」に加えて「電子メールの添付ファイル」「FD/CD-Rなどのメディアへのコピー」「ノートPC本体の持ち運び」など多様化しており、従来の単純なアクセス制御だけで対処することが難しい状況になっている。
ドキュメントの電子化が進む今日、機密情報のセキュリティを確保するためには、ファイルの利用権利(閲覧/変更/印刷/転送など)をポリシーベースで管理する「ライツ・マネジメント(Rights
Management)」のような技術の発展/普及が望まれるだろう。
| 関連リンク/記事 |
| ・情報漏れのうっかりミス防ぐRights Managementとは(NewsInsight) |
| ・企業の機密情報管理に新時代をもたらすWindows Server 2003のRMテクノロジ(Windows Server Insiderフォーラム) |
■内部セキュリティ対策推進上の課題とは?
最後に、読者のかかわるシステムで今後内部セキュリティ対策を推進する際の課題を尋ねたところ、回答者のおよそ70%が「従業員へのセキュリティ・リテラシー教育/啓蒙」を挙げている(図6)。読者からは、
- セキュリティシステムの完全性を追い求めても、結局はシステムを使うのは人間だから、個人の意識を高めるための教育を徹底することが重要
- いくら教育しても実際に身近で問題が生じていないと真剣に受け止めてもらえない。どのように教育/啓蒙活動を進めていけばいいのか
といった、“人間系”の課題に関するコメントが多数寄せられた。考えてみれば内部セキュリティ問題は、関係者のモラルと直結したヒューマンリソース課題であるともいえる。そうした意味でも、情報セキュリティポリシーと同期した教育/啓蒙こそが、内部セキュリティ対策の第一歩となるべきだろう。
 |
| 図6 内部セキュリティ対策推進上の課題(複数回答 N=486) |
| 関連リンク/記事 |
| ・社内ネットワークにおけるクライアントの対策 |
| ・経営層にセキュリティの重要性を納得させる |
| ・事例で見る 内部情報漏えいと不正アクセス対策の実践セミナーレポート(@IT FYI) |
■調査概要
- 調査方法:Security&TrustフォーラムからリンクしたWebアンケート
- 調査期間:2003年11月4日〜11月28日
- 回答数:486件
| 関連記事&リンク |
| 個人情報流出で倒産するシステム・インテグレータ (NewsInsight) |
| パスワードの管理と運用を考える (Linux Squareフォーラム) |
| Windows 2000 Serverシステムの基本セキュリティ設定(Windows Server Insiderフォーラム) |
| 安全性の高いパスワードを作るコツ(Windows Tips) |
| 情報漏れのうっかりミス防ぐRights Managementとは(NewsInsight) |
| 企業の機密情報管理に新時代をもたらすWindows Server 2003のRMテクノロジ(Windows Server Insiderフォーラム) |
| 社内ネットワークにおけるクライアントの対策 |
| 経営層にセキュリティの重要性を納得させる |
| 事例で見る 内部情報漏えいと不正アクセス対策の実践セミナーレポート(@IT FYI) |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
