情報「断・捨・離」のススメ

情報シナジー機構 折内新司

1 はじめに

 近年,サイバー攻撃の手口はますます巧妙化しており,情報セキュリティに対する脅威も増大しています。
 被害に遭わないように対策を取るのはもちろんですが,被害のリスク(損害を受ける可能性・影響度)を軽減する策を考えてみます。

2 現状の分析

 2017 年1 月末に,独立行政法人情報処理推進機構(IPA) が「情報セキュリティ10 大脅威2017」を発表しました。これは,2016 年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から,約100 名の選考メンバーによって,「個人」と「組織」という異なる視点で10 大脅威を選出しているものです。

■「情報セキュリティ10 大脅威2017」 (IPA 情報セキュリティ10 大脅威2017 [1] より)
昨年順位個人順位組織昨年順位
1位インターネットバンキングやクレジットカード情報の不正利用1位標的型攻撃による情報流出1位
2位ランサムウェアによる被害2位ランサムウェアによる被害7位
3位スマートフォンやスマートフォンアプリを狙った攻撃3位ウェブサービスからの個人情報の窃取3位
5位ウェブサービスへの不正ログイン4位サービス妨害攻撃によるサービスの停止4位
4位ワンクリック請求などの不当請求5位内部不正による情報漏えいとそれに伴う業務停止2位
7位ウェブサービスからの個人情報の窃取6位ウェブサイトの改ざん5位
6位匿名によるネット上の 誹謗 ひぼう ・中傷7位ウェブサービスへの不正ログイン9位
8位情報モラル不足に伴う犯罪の低年齢化8位IoT 機器の 脆弱 ぜいじゃく 性の顕在化ランク外
10位インターネット上のサービスを悪用した攻撃9位攻撃のビジネス化(アンダーグラウンドサービス)ランク外
ランク外IoT 機器の不適切管理10位インターネットバンキングやクレジットカード情報の不正利用8位

 これらの脅威に関しては,本学においても被害を受けるおそれがあり,日々の対策が欠かせない状況となっています。システムの 脆弱性 ぜいじゃく に対する修正ソフトの速やかな適用や,不適切なパスワードの運用を改めることは,被害を未然に防ぐためには非常に重要です。またコンピュータウィルスなどのマルウェアに感染をしない・ネットワークやシステムに侵入させないという「入口対策」と共に,情報を外に漏らさない「出口対策」も重要となります。TAINS でも,セキュリティ対策ソフトの配布や,全学ファイアウォールでの侵入防御,既知のマルウェア感染による通信先を遮断するなど,情報漏えいを防ぐための取り組みを順次行っています。
 しかし,10 大脅威として2016 年に続いて高い順位となっている標的型攻撃やランサムウェアによる被害, 新たな 脆弱性 ぜいじゃく の露見によるゼロデイ攻撃など,マルウェアの感染や侵入を完全に防ぐのは難しくなっています。先日教職員を対象に行われた「標的型攻撃メール訓練」でも,何割かの方が訓練メールに添付された疑似ウィルスファイルを開いてしまいました。普段から注意はしていても,ちょっとした隙をつかれて感染被害に至ってしまう危険があることを示しています。これらのことからも,感染しないための対策と共に,万が一の感染の場合に被害を最小限にする対策も必要であることがわかります。
 被害規模が拡大する要因のひとつとしては,「不要な情報を大量に保有していること」が挙げられます。不要な情報を大量に持ち続けることは,セキュリティ事故に対するリスクであると認識しなければなりません。
 本部事務機構を対象に行ったリスクアセスメントでは,課のファイルサーバに数十万ファイルの業務データが保存されている事例がいくつかありました。また,保管期限が明確でないファイルや,無期限保存のファイルも数多く存在しています。ハードディスクの大容量化などで保存しておくことの障壁が小さくなり,とりあえず残しておくという場面が増えたことも一因と考えられます。
 日々多くやり取りする電子メールに関しても,整理が追い付かずどんどん まっていく傾向があります。Cc で受信したメールなどは自分が当事者ではない場面も多く,機密性の高い情報が紛れ込んでも管理が不十分になりがちです。パソコンに保存している大量の過去メールや添付ファイルは,マルウェア感染などが起こった場合に漏えいの大きなリスクとなります。
 これらの大量に蓄積された情報に対してセキュリティ事故が起きると,大規模な情報漏えいにつながるのはもちろんのこと,漏えいしたものの把握・影響範囲を特定することも非常に困難な作業となります。被害を最少に抑えると共に,被害範囲を明確にすることは事故処理の迅速化にも重要ですが,数十万ファイルの中身を把握することは大変難しい作業となります。

3 リスクを低減するために

 前述のように,情報セキュリティ上のリスクとなる不要な情報は,できるだけ め込まないように削減していくことが,被害を抑えることにつながります。
 以下に対策の一例を記します。

 これらは,情報資産をスリム化するために「断・捨・離」(*1)すること,と言えるかもしれません。不要なものを取り込まない・ めない「断」と,不要なものを捨てる「捨」で,保有する情報資産を削減することがリスク低減につながり,また本当に守るべきものを明確化することにつながります。「離」には「物への執着やこだわりから離れる」という意味があるそうです。「今までこうやって来たから」というこだわりを捨てて, 業務のやり方(情報の集め方や保管ルール)の見直しを進めていくことと共通点があります。

4 おわりに

ビッグデータ時代を迎えて,蓄積された大量の情報が新たな価値を生むという事例も増えています。しかし,情報セキュリティに関する領域では,情報の め込みはリスクを増大させる要因の一つです。
 情報資産を「断・捨・離」して,スリム化によるリスク低減を進めましょう。

参考文献

[1]独立行政法人情報処理推進機構(IPA), 情報セキュリティ10 大脅威2017, (http://www.ipa.go.jp/security/vuln/10threats2017.html)

(*1)「断捨離」は,やましたひでこ氏の登録商標です。(http://yamashitahideko.com/)