従業員はハッカーと同じ脅威？―多層防御の重要性

多層防御とは、IT 業界でこのごろよく耳にする言葉だが、原語である「Defence in depth」は軍事用語であり、Wikipedia によると、前線を複数用意し、敵の攻撃に少しずつ陣地を譲りながら中枢部へ攻撃が及ぶ時間を稼ぎ、敵の兵力が衰えて反撃できる機会をうかがう戦略、とある。広い陣地を未熟な兵力で効率的に防衛できるらしい。

「多層防御」という完璧の匂いがする言葉とは裏腹の譲歩戦略だが、頷ける部分としては IT の世界でも防衛する箇所は広範囲におよぶのに、兵力を入手する予算はたいてい不足していること。しかしコンピューター犯罪の脅威は衰えを知らず、それは外から侵入するだけでなく中からも発生することもあるので、IT の世界の方が状況は厳しいと言える。

多層防御の「層」は OSI レイヤに似ているが、ネットワークの層にはインターネットとイントラネットの境界、研究開発などのハイ セキュリティ部門のネットワークというように、社外から情報の中枢部分までの構成を等高線のように線引きした層という横の広がりがある。

1）ネットワークの層
・インターネットとの接続部分…ファイヤウォール、侵入検知装置
・イントラネット内部…LAN 接続の認証
・ハイ セキュリティ部門のネットワーク…LAN 接続の認証、通信の暗号化、IP アドレスによるアクセス制御

上位レイヤであるアプリケーションの層では、オペレーティング システム、アプリケーション プログラム、データといったコンポーネントが挙げられる。

2）アプリケーションの層
・コンピューターシステム…OSの設定や更新プログラムの適用、ログイン管理、管理者権限
・アプリケーション プログラム…安全なコーディング、ウィルス対策、ユーザー認証
・データ…アクセス権限、暗号化

上記のそれぞれの層にできる限りの防衛手段を散りばめるのが一般的な多層防御だが、最近ではそれに「ヒューマン（人）」というコンポーネントを更に上に加えることが注目されている。その「ヒューマン」とはクラッカーのような悪意をもった人のことではなく、情報システムのユーザー、企業でいえば従業員である。

多層防御の「層」

イギリスで運営されている Management Issues というホームページではコンサルタント会社が企業のIT部門に行った調査結果のサマリーが掲載されている。その中に、以下のような過激なタイトルの記事が並んでいる。

2006年9月：Your staff - not hackers - are the biggest IT security threat
「ハッカーではなくあなたの部下がセキュリティの最大の脅威」
2007年9：Employees as big risk as hackers
「従業員はハッカーと同じリスクである」
2008年3月：Employees the weakest link in IT security
「ITセキュリティの一番の弱点は従業員」

これらの記事では、企業の IT 担当者に身近な内容が数値をもって説明されている。上記の3つの記事では、強固なセキュリティ システムを導入しても、従業員の意識や行動が変わらなければ全く意味がないという主張が直接的、間接的に含まれており、非常に興味深い。

ノートパソコンの置き忘れや自宅作業中のウィルス感染など、個人情報や機密情報が破られる事故は後を絶たない。従業員の「自分に限って」「まず、ないだろう」という怠慢さで、簡単にセキュリティは破られてしまうのである。多層防御の最後の仕上げとして大切なのは、従業員の意識、そして行動である。

人間はソーシャル エンジニアリングのターゲットとなり情報を騙し取られることや、仕事を早く済ませるために、ついルールを破ってしまうようなことがある。セキュリティ意識を高めることと、懲罰規定を明文化することをセットにしたレールを敷き、従業員が道をそれないような管理が必要である。


（AT＆T ジャパン株式会社 サービス企画部部長 渕上うつみ）