ACTA、SEPA、PIPA、Stuxnet、Googleの共通点は何だろう。皆、情報セキュリティ関連で先月メディアを賑わせたが、共通するのは企業情報の諜報や詐取に関する組織内部の脅威を忘れているの点だ。CMU SEI (カーネギーメロン大学ソフトウエア工学研究所)のDawn Cappelli氏、Andrew Moore氏、Randall Trzeciak氏はこの問題を詳細に論じている。
Addison-Wesley Professionalから出版されたこの3名の著書、The CERT Guide to Insider Threats: How to Prevent, Detect, and Respond to Information Technology Crimes (Theft, Sabotage, Fraud) では一般的な脅威と対処法、ガイドラインが扱われている。
SEIによれば、この本が解説しているのは、
-
組織内部犯によるITを用いた破壊活動や機密情報の詐取、詐欺行為などの徴候を見つける方法
-
ソフトウエア開発ライフサイクルを通じて内部的な脅威を特定する方法
-
技術者、非技術者による攻撃に対抗するための先進的な脅威制御方法
-
インターネットのアンダーグラウンド勢力や組織犯罪と関わりのある内部犯行に対する準備
ソフトウエアアーキテクトや開発者はこの種のセキュリティに関する必要な知識をほとんど持っていないのが一般的だ。
著者の一人であるDawn Capelli氏はこれらのリスクに対処する10の秘訣を示しており、bankinfosecurityのニュースで確認できる。
- 再犯者と繰り返される攻撃。過去の事件から学ぶこと。ほとんどの組織がヒントを得ることができる。
- 最も重要な部分を守る。すべてを守ることはできないので、最も重要な情報を特定し、その情報を保護し安全にすることに注力する。
- 既存の技術を使う。慌てて新しいシステムを購入しない。既存の技術の違った使い方を学ぶ。外部からの攻撃を防ぐことができる不正検出システムであれば、内部の監視にも使えるはずだ。
- ビジネスパートナーからの脅威を軽減する。 システムやデータベースにアクセスできる人ならどんな人でもリスクをもたらす。
- 怪しい振る舞いやパターンを検知する。事件は単独で起こるわけではない。徴候に注意を払っていれば回避できる可能性がある。
- 従業員。内部的脅威をもたらすのは、組織に馴染んでいる従業員の場合も、不満を持っている従業員の場合も、不正を働くために入社した従業員の場合もある。
- 退職や解雇の時の振る舞い。どのくらいの情報を持っているか。どのくらい情報にアクセスしているか。情報を守るには何ができるか。
- 従業員のプライバシーに配慮する。 弁護士に相談すること。従業員を監視したいだろうが、従業員のプライバシーや法律を侵害したくはないだろう。
- 部門の垣根を取り払う。 内部犯による不正には組織的に対抗する。"内部不正対策を策定するのです。"とCapelli氏は 言う。"これはとても複雑な問題です。マネジメントや人事を巻き込み、場合によっては用務員も巻き込む問題かもしれません。用務員が悪意のあるコードをネットワークに流したのかもしれないからです。"
- トップの支援を取り付ける。 経営幹部はこの種の脅威を理解していなければならないので、リスク低減を支援してくれるはずだ。
言うまでもなく、ソフトウエア開発者は開発したシステムのセキュリティに対して責任を負う。これはマネジメントだけの問題ではない。SEP (だれか他の人の問題 - Somebody Else’s Problem)ではないのだ。