【ネット時評 : 内田勝也(情報セキュリティ大学院大学)】
総合科学として情報セキュリティを考える

uchida02.jpg
 
 情報セキュリティというと、いかにも高度なコンピューター技術を駆使する犯罪者との攻防、というイメージがある。しかし、実際にはそうとも限らない。

 所属する企業・組織の従業員からユーザーIDやワードを聞き出すことができれば高度な技術を利用することなく、その企業・組織へネットワーク経由で侵入することができる。あるいは、ゴミ箱を調べ、ユーザーIDやパスワードが印刷された資料やCD-ROM等を収集できれば更に多くの情報を収集できる可能性もある。また、清掃のアルバイトになりすますことで、対象企業・組織のオフィスに直接出入りもできる。
 
 このような方法は、90年代の中ごろ、いわゆる「ソーシャルエンジニアリング」と呼ばれる攻撃方法として伝えられた。人間の心理的な弱さを利用して必要とする情報を取得し、対象とする企業や組織に正面から侵入を図る方法である。ちなみに、いわゆる「振込め詐欺」なども、このこのソーシャルエンジニアリングの一種だ。
 
 ただ情報セキュリティの分野において、ソーシャルエンジニアリングは必ずしも攻撃側だけの問題にとどまらない。最近のコンピューターやインターネットの利用者の増大を考えると、企業・組織における教育・周知などに活用していくことも考えられるだろう。


人間の「6つの脆弱性」

 ソーシャルエンジニアリングでは右にでる者がいないと言われたケビン・ミトニックは、かつてその著書「The Art of Deception(欺術)」(注1)で、人間の弱さについて記述した代表的な書籍にロバート・チャルディーニの「INFLUENCE(影響力の武器)」(注2)を挙げている。この書によれば、人間には6つの脆弱(ぜいじゃく)性があり、それらが巧みに商品販売、依頼、勧誘等で利用されているケースについて、事例を紹介しながら解説している。
 
ninngenn.gif


人間の弱さを強みに

 筆者の研究室では、この人間の弱さを攻撃者だけに利用させるのではなく、情報セキュリティ教育などへ適用できないか、調査・研究を行っている。人間の脆弱性という視点から、教育を通して従業員に情報セキュリティについての周知を行うのだ。80年代や90年代前半のようにごく限られた人達が限定的にコンピューターを利用していた時代には問題が顕在化しなかったが、正社員に限らず、組織に属するほとんどの人がコンピューターを利用する時代を迎えた今、その環境にあった教育・周知は不可欠だ。人間の弱さを、逆に強みに変えるような対応が必要なのではないだろうか。
 
 単純に注意や警告を通達しても、従業員からの情報漏えいは止まらない。どんなに罰則を強化しても、飲酒運転がゼロにならないことを考えれば自明の理である。


故意と過失

 2006年に世界各国で起きた情報流出事件のうち、1回でもメディアで取り上げられたケース145件の調査を行ったInfoWatch社(ロシア)によると、流出原因の77%が過失で、23%が故意となっている。業種や地域による偏りは見られず、大企業や中小企業、政府機関、軍などから流出している。(注3)
 また、内閣府国民生活局が2007年3月に実施した「個人情報の保護に関する事業者の取組実態調査」(回答数4,060件、回収率 20.3%)(注4)でも、

(1)従業員の置忘れ、施錠忘れなどの過失が21.3%
(2)従業員のインターネット利用上の過失(メール誤送信、HPへの誤掲載等)が8.6%
(3)従業員(退職者含む)が盗難(車上荒らし含む)にあったケースが14.2%
(4)サーバー、PCへの攻撃(ハッキング・ウイルス感染等)が2.8%
(5)従業者の個人情報持出し、売却・譲渡・漏えい等が3.6%

となっており、圧倒的に過失が個人情報漏えいの原因になっている。

 情報セキュリティ対策の中心は、外部からの侵入やコンピューターウイルスへの対策が中心と考えられてきたが、これらの調査をみる限り、過失への対応も重要な情報セキュリティ対策の1つであると考えられる。
 
 個人情報保護法施行以来、パソコンの持ち出しは厳しく制限される傾向にあるが、そもそもパソコンを電車内に置き忘れるのはどのような人だろう。推測と何人かの人達との意見交換の結果であるが、
 
(1)普段、何も持ち歩かない
(2)電車に乗ると、網棚に荷物を置き、座席に座れても、網棚から荷物を下ろさない
(3)パソコン等を持ち出しているにもかかわらず、お酒を飲みに行こうと言う
(4)荷物を2つ以上に分けて、持つ

 どうもこうした状況で置き忘れが発生する可能性が高いようだ。もちろん、これ以外の人でも忘れることがあるので、重要な情報は暗号化しておくことが望ましい。
 
 情報セキュリティ大学院大学は、このほど文部科学省「先導的ITスペシャリスト育成プログラム」(注5)拠点として採択された。これを機に、10月26日に本学にて開催した「情報セキュリティと心理学ワークショップ」(注6)にて基調講演を行ったカーネギーメロン大学のMs. Dawn M. Cappelliらは、FBI(米国連邦捜査局)やシークレットサービスから、内部犯行者の情報を長い間収集しており、組織の問題を含め調査・分析をした結果を報告した(注7)。

 情報セキュリティ分野の広がりと共に、その対応は単にコンピューター技術の問題にとどまらなくなってきた。心理学や社会学、人間工学など、情報セキュリティの問題を解決するためにも、他の学問分野の知見を活用する時代になったのではないだろうか。


(注1)ケビン・ミトニック他著, The Art of Deception(邦訳「欺術」ソフトバンクパブリッシング)
(注2)ロバート・チャルディーニ著, Influence(邦訳「影響力の武器」誠信書房)
(注3)「内部情報流出の8割は過失が原因――InfoWatchの実態調査」
    ITmediaの報道:http://www.itmedia.co.jp/news/articles/0702/17/news011.html
    原文: http://www.infowatch.com/threats?chapter=162971949&id=207784626
(注4)内閣府国民生活審議会 個人情報保護部会 個人情報の保護に関する事業者の取組実態調査(概要)
http://www5.cao.go.jp/seikatsu/shingikai/kojin/20th/20070425kojin2.pdf
(注5)文部科学省「先導的ITスペシャリスト育成プログラム」
http://www.mext.go.jp/a_menu/koutou/it/h19.htm
(注6)「情報セキュリティと心理学 ワークショップ」            http://www.iisec.ac.jp/news_events/events2007/ws_071026/ws071026.html
(注7)カーネギーメロン大学 内部犯罪調査研究ウェブサイト:             http://www.cert.org/insider_threat/


<筆者紹介>内田勝也(うちだ・かつや)情報セキュリティ大学院大学教授
電気通信大学経営工学科卒。中央大学理工学研究科博士課程修了。博士(工学)。オフコンディーラーにてシステム開発、ユーザー支援等を担当。在日外国銀行でシステム監査、ファームバンキング技術支援などを担当。大手損害保険会社にてコンピュータ包括保険導入プロジェクト、情報セキュリティー調査研究等に従事。中央大学
にて、「ネットワークセキュリティ」(修士課程)講師、情報セキュリティ人材育成プロジェクト推進、21世紀COEにて事業推進担当等。情報セキュリティ大学院大学にて、情報セキュリティマネジメントシステム、リスクマネジメント、セキュアシステム実習を講義。Computer Security Institute(CSI、本部:米国)会員、情報処理学会会員、ISMS審査登録機関 審査判定委員会委員長。2007年より、横浜市CIO補佐監を務める。

<関連リンク>
内田氏のホームページ
http://www2.gol.com/users/uchidak/
 

トラックバック

このエントリーのトラックバックURL
http://www.nikkeidigitalcore.jp/cgi-bin/mt/mt-tb.cgi/215

コメント一覧

メニュー