2011年10月26日

◇ ウイルスで情報漏れ

 衆院でウイルスによる情報漏れがあった。これはフェイル・セーフの発想がなかったという点で、原発事故と似ている。 ──
 
 衆院でウイルスによる情報漏れがあった。管理者のパスワードが漏れていたために、システム内を自由に見ることができて、情報がダダ漏れだったそうだ。
 このような問題をどう解決するか? 「こうすればいい」と私が思った案があるが、新聞を読んでみたら、すでに専門家の間では周知であるそうだ。それは、
 「情報漏れを防ぐのではなく、情報漏れがあったらすぐに検知する」

 という方法だ。

 これまでは「情報漏れを徹底的に防ぐ」という方針が取られてきた。そのために「ウイルスソフトなどの多重の防護システムを構築する」という方法がなされてきた。しかし、いくら防護システムを構築しても、それを巧妙にすり抜けてしまうウイルスが出てくる。
 そこで、発想の転換をする。
 「情報漏れを防ごうとしても、しょせんは防ぎきれない。それなら、情報漏れがあることを前提に、情報漏れがあっても被害を最小化する方針を取る。それは、情報漏れがあったらすぐに検知するということだ」

 ──

 具体的には、次のシステムだ。
  ・ 外部からの操作を限定する
  ・ 外部への情報送信を記録する

 後者はすでになされていると思う。
 前者は、ほとんどなされていないと思う。だが、こちらが大事だ。具体的には、管理者としての操作をきわめて限定した形にするといい。
  ・ IP ポイントを限定する (原則として同じビル内に限定する。戸外は不可。)
  ・ ハードを限定する    (あらかじめ登録したハードのみ許容される。)
  ・ パスワードを二重化する (下記)


 ──

 以上のようにして、「パスワードが漏れたらそれを検知する」というシステムを構築できる。これはフェイル・セーフに基づく。
 そして、その発想がなかったという点で、今回の情報漏れの事件は、原発事故と似ている。



 [ 付記 ]

 最後の「パスワードを二重化する」というのは、次のことだ。
  ・ パスワードは頻繁に変更されなくてはならない。
  ・ ユーザー(人間)が使うパスワードは同じでいい。
  ・ この二つのパスワードを変更するパスワードソフトを駆動させる。


 似たものはある。LastPass というソフトだ。これは、あらゆるパスワードを管理する。これを使いながら、それぞれのパスワードは頻繁に変更できる。いっぽう、LastPass のパスワードは、マスターパスワードとして、同じものを使っていい。ただしそのパスワードは、どこにも記述しておかないで、頭のなかだけに入れておく。そうすれば、流出の危険もない。

 例。マスターパスワードは  98752987529397852938 である。
      (何でもいいが語呂合わせで覚えられるものにする。)
   現実のそれぞれのパスワードは、頻繁に変更する。
      (覚えにくいパスワードでいい。LastPass が記憶してくれる。)

 このようにして、「パスワードを二重化する」ことができる。ただしこれは、フェイルセーフというよりは、防護を厳重化することに相当する。



 [ 参考 ]
 参考情報として、次の記事がある。
 《 サイバー防衛に三権分立の壁…情報共有せず 》
 日本の在外公館や衆議院へのサイバー攻撃が相次いで発覚する中、公的機関の情報共有のあり方に疑問の声が出ている。
 外務省からは攻撃の事実が報道される直前まで内閣官房情報セキュリティセンター(NISC)に報告はなく、衆議院の場合、そもそも政府の進める情報共有の枠組みから外れていた。三菱重工業へのサイバー攻撃事件を機に、政府は「官民連携」を合言葉に企業から被害情報を集めようとしているが、企業側からは「まず国から情報を出すべきでは?」との声が上がっている。
 「うちは立法府。行政府の情報を集めるNISCに情報を出す立場ではない」。衆院事務局の担当者はこう話す。公務用パソコン3台に標的型メールが送りつけられていた衆院。担当者は8月下旬には、サーバーの管理業者から「不正アクセスの痕跡がある」と指摘を受けていたという。しかし、対策は業者任せで、情報も抱え込んだまま。
 外務省へのサイバー攻撃でも、一部の在外公館では夏頃から感染が始まっていたが、NISCに報告があったのは報道前日の25日夜だった。
( → 2011年10月26日 読売新聞)
 つまり、情報漏洩があっても、それを一元的に管理する部局がない。記事ではNISC(内閣官房情報セキュリティセンター)が担当であるように記されているが、これはただの「情報受付係」にすぎない。活動内容からして、本格的な技術者もいないようだ。
 ウイルスを担当する部局は IPA(情報処理推進機構)である。ここが日本のウイルスを集中的に扱う。なのに、NISCの方が大きな顔をして、新聞記事に出るところからして、日本のウイルス管理態勢がデタラメだということがわかる。
 また、三菱重工は、ウイルス感染に一年も気づかずにいたそうだ。
  → 朝日新聞 「三菱重、1年前から軍事情報流出か」

 官も民もひどい状況だ。こんな状態では、危なっかしくて、貴重な軍事情報は任せられないだろう。米国が F-35 のライセンス生産を日本に認める可能性は、これで限りなくゼロに近づいただろう。もし認めるとしたら、せいぜい、タイヤと風防ぐらいか。


posted by 管理人 at 19:18| Comment(0) | その他 | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。