アーカイブ

Security

CNet Japanに、「カカクコム事件に見るセキュリティの本質とは」 という記事を寄稿しました。クラックされた他社の被害の手口に関する詳細情報は、セキュリティ維持の観点で不可欠だとはいえない。2ページ目では、EBサイトの攻撃から被害の拡散に至る情勢からすると、被害を想定した対応方針が必要で、そのポイントは「スピード感」 であることを示しました。最後に、WEBサイトの運営者の企業のCSR(社会的責任)に言及しました。

ご覧いただければ幸いです。

広告

8月23日の日経産業新聞7面、「情報技術の死角 安全対策を問う(上)オンライン銀行 – フィッシング詐欺に注意」という記事。少々協力させていただきました。主旨は、ご覧いただけるとわかるとおり、対策方法すべてに言及することにあるのではなく、そのうちのいくつかのわかりやすい指標をもって、特定のサービス分野にフォーカスすることにより、より具体的な対応状況について示すことにあります。

今週も、高木さん門林さんWASF関係でテレコンしていたときにもふと出た話。「WEBサイトの特定の危険性に関する具体的な数字情報って出てこないよねぇ。」 自分たちが調べた中で何パーセントが脆弱だった、とかそういう数字は特に出しにくい。

実はWASFの第0回カンファレンスでは、三井物産の新井さんがずばっと数字を出したので、非常に注目されました。その後も、情報セキュリティEXPOなどでわたしがぽろっと数字を出すと、あとで何社の記者に、「あの数字は?」と。それほど出ていない。出しにくいんだけど、出していくことの意味は大きい。そういうことなのでしょう。危険というものは、犯罪被害と同じで、あるかないかなんですけど、なにか数字がないと真剣に考えない。そういうものなのでしょう。

扱いにくい情報をもう一つ。フィッシング対策のように、かなりの程度ソーシャルセキュリティに関係している場合、つまり「マナー違反」「詐称されやすい」などの軽めのルール違反による危険が存在しているものの、それも先刻承知で採用しているものは扱い方が難しい。脆弱性通報機関では、実際問題この種類の取扱は難しいでしょうね。もちろん、策がないわけではないですが。

その点、この記事は大変大胆で、それゆえに大変わかりやすい。提示したいくつかの指標をもとに、金融機関のサイトを調べてくれて、しかも一覧表にしてばっさり斬っています。自分のメイン銀行だけチェックして、「よし」と思うだけでも、これでお腹一杯になられてもナニなんですが、まずはご一読を。(^-^;)

先日の情報セキュリティEXPOの専門セミナーで、「WEBセキュリティ」のテーマを担当しました。その講演の報道として、日経BPにて「“フィッシング”に利用されないようなサイト作りを」 – テックスタイル岡田氏 という記事が掲載されました。

実は、フィッシングの話に終始したわけではなく、むしろこの話題はWEBのセキュリティの考え方をどのように反映させるか、それによってどんなリスクが軽減できるか、という話の一環で補足的、例証的に取り上げたにすぎません。この機会に、そのあたりを少し説明したいと思います。

前提として、セキュリティは、技術的な要素に加え、社会的な要素があります。ビジネスの観点からすれば、WEBサイトで行なうどんなことも、その企業の社会的な責任が強調されてしかるべきです。ですから、企画段階において、WEBセキュリティは技術の話より先に、社会的な責任のほうを検討しなければなりません。

技術的な要素が、機密性(Confidentiality)、保全性(Integrity)、可用性(Availability)の3つであるのに対し、社会的な要素とは、説明能力(Accountability)、信ぴょう性(Authenticity)、信頼性(Reliability)の3つが挙げられます。

技術的要素と社会的要素の関係

技術的なセキュリティ要素の優先順位は、社会的な要素によって判断され、強弱がつけられることになります。

たとえば、顧客の情報資産がクリティカルな脅威にさらされていることがわかった場合、可用性のためにサイトをそのままにしておくのはよくありません。むしろ可用性は犠牲にし、機密性を守るためにWEBサイトを止める、という判断があることでしょう。これは、信頼性という社会的なセキュリティを守るというミッションによって優先順位が判断されるわけです。

そうすると、セキュリティを守る「技術」の位置付けが明確になってきます。これは、社会的な責任を果たすという目的のもとに、生じ得る難しい問題を極力減らすための道具なのだ、ということです。それをどう操るか、ということは経営的な問題だからです。 社会的な責任からはじめ、そして技術的な手法にブレイクダウンしていくのです。

そこで、例えば、昨今流行の「フィッシング(phishing)」 – なりすましサイトにユーザが「釣られる」被害 – を軽減するためにできることを、どのように整理できるか考えるとしましょう。 下記の例は詳細な点を網羅していませんし、一概に○×はつけられないでしょうが、検討の進め方を示しています。

まずは、「説明責任」。すると、企業が説明を意図的に怠ることにつながる手法(たとえばアドレスバーを隠す、フレーム表示する、など)をどうするか考えられます。「信ぴょう性」を確保するために、紛らわしい、容易に誤用される手法(似たドメインの許容、フレーム表示)を考えます。最後に、「信頼性」を確保するためには、「こういう方法はとらない」ということの明示や、オンライン・オフラインを問わず顧客とのコミュニケーションの中で企業のサービスの姿勢(プライバシ保護、本人確認のポリシー、他の業者によるクッキーの有無など)を示していくことができます。

あらゆる種類の詐欺、詐称はなくならないでしょう。だからこそ、企業としては、ユーザがそれを信じてよいのかどうか判断できるほど、最善を尽くしているかどうかを考えなければなりません。その点で「社会的なセキュリティ」の3要素は、思考ツールとして非常に有用です。起こり得るあらゆる脅威に関して、それに対応する技術を評価するところから始めると泥沼に陥ることがよくあります。セキュリティ手法の検討に疲れ果てると、セキュリティぼろぼろのサイトになってしまいかねません。

そういうときにこそ思い出して欲しいことがあります。つまるところ、セキュリティ問題は特定の手法の善し悪しの問題というより、「しつけ」の問題だということです。「セキュリティは結局、人だ」と言われますが、人のしつけという意味は当然のことながら、ひいては、採用する方策にそれは反映されてきます。レベルが上がってくると、そのガイドラインは「ドレスコード」にも例えられるのでしょうね。

落ち着いて、その企業のあるべき姿勢を原点に、もう少し上の角度から見て整理すると良いのでしょう。企業のWEBサイトは、その企業の「しつけ」について良くも悪くも雄弁に語っているんですね。自戒の意味をこめて、精進したいと思います。

遅ればせながら、気晴らしに後追い日記を少々。

先々週のお話。「スカパーのフジテレビ721チャンネルで放送される、平井堅のライブを録画したい」というリクエストが発生。そういえば、スカパーのレッドパックだっけか、加入していたっけ。調べると、721chは視聴できる契約。しかし、写らない。このマンションの共同アンテナのおかげで、アンテナなしで全チャンネルのおよそ半分を見ることができる(もちろんチューナーは必要)が、残りは、アンテナのスペックのせいだろう、受信できないのだ。

スカパーのチューナーセットには、外付け用の大きなアンテナが付属している。いや、付属していないパッケージもあるにはあるようだが、販売店は価格を同じかそれ以下にして、事実上、アンテナなしという選択肢を残していなかった。私としては、スカパーをゆっくり見るのはゆっくり休みのあるときくらいだったため、アンテナを立てなければ見ることのできないチャンネルはあきらめていた。しかし、この機会に収納から出してきて、設置してみようと重い腰を上げることになってしまった。

アンテナの梱包を解いて驚いた。アンテナって超軽量。ま、だからどうだということはないんだが。アンテナの偏向補正、取り付け角度などは、誰でもできるようにマニュアライズされていたし、ケーブルの取り付けからアンテナの固定時のミス防止対策まで非常にわかりやすい説明があり、実にあっさりと取り付け完了。この業界、マニュアル嫌いが多いのは、不出来なマニュアルのせいだなとつくづく実感。日本マニュアルコンテストのガイドラインでも見て勉強するか。

チューナーの設定もアンテナにあわせ、無事、契約全チャンネルを見ることができるようになった。すると、なんとこんなにあったのかと思うほど、初めて見るチャンネルが多かった。もちろん、平井堅のライブが放送されるチャンネルもばっちりOK。チューナーの赤外線「マウス」と呼ばれる発光体から、各社ビデオデッキを操作できる仕組みが装備されている。これにより、スカパーチューナーによる、ビデオの予約録画が可能になっている。平井堅のライブが始まる時刻には不在の予定だったので、この機能を利用することができた。

この平井堅のライブ、全国ツアーの最終日の福岡の映像だったが、なんと本当に生中継だったのには録画をみて驚いた。観客がだらだらと入り、あの、ライブの始まる前の、じらされ感もそのままライブ。その部分はかつてないほどだらけた映像だったのだ(笑 しかし、ライブ本番のカメラワーク、バックバンドの演奏風景など、臨場感あふれながら完成度の高い映像を見ることができた。ぶっつけ本番であのクオリティが出せるという、そのチームフォーメーションはすばらしい。(平井堅の歌の音程が不安定な部分があったところもライブの良さだ!と言わせしめてしまうわけで(笑))

デジタル世界と比し、リアルの世界においては、物品のパッケージにしろ、サービスにしろ、本当によくできているなあと感服させられることがあるものだ。ユーザ不在のセオリー、ロジック、企画、技術開発が多い中、そのひとつひとつを云々するつもりはないが、やはりユーザありきのロジックを忘れてはいけないと肝に銘じたい。

なお、同テープは、神戸の某所の室温を何度か、何デシベルかの歓声とともに上げただろうと予想される。

(add your comments!!)