見出し画像

第74話 「はずトラスト」 〜情報漏洩を防ぐ3つの法則

吉田 晋 情報処理安全確保支援士(登録025036号)

今回から数回にわたり「はずトラストの法則」について解説する。

はずトラストとは「多分大丈夫なはずだ」という暗黙の思い込みによる信頼を指す。私の造語である。

なぜこの言葉を作ったかというと、この概念が情報漏洩の原因および対策を効果的に実施するために有用であることがわかったからです。
特にこのはずトラストという概念は次の3つの法則から成る。

第1法則
 情報漏洩は「はずトラスト」から発生する。
第2法則
 「はずトラスト」は「高リスク・対策困難」領域。
第3法則
 人が一度思い込んだ「はずトラスト」は外すのは困難だ。


第1法則:情報漏洩は「はずトラスト」から発生する。

情報漏洩は、想定外の「まさかこんなところから漏れるとは」で発生するという点については、多くの方が思い当たることであろう。
「ここから漏洩が発生するだろう」ときちんと対策が行われているところでは漏洩は起きない。

たとえば、はずトラストの具体例は次のようなものだ。

  • 管理者が想定していない端末はネットワークに存在しないはずだ。

  • 適切なセキュリティパッチが適切に適用されているはずだ。

  • 社員は運用ルールをきちんと守るはずだ。

  • 社員はうっかりミスはしないはずだ。

  • 今まで大丈夫だったからこれからも大丈夫なはずだ。

これらのような「多分大丈夫なはず(はずトラスト)」から情報漏洩が発生する。
そして問題な点は、この「はずトラスト」はリスクが高いにも関わらず、放置される傾向があるという点だ。

第2法則:「はずトラスト」は「高リスク・対策困難」領域。

脆弱性リスクは「リスクの大きさ」と「対策のしやすさ」という軸により、4つの領域に分けることが出来る。

高リスクで対策がしやすい:対策済

この領域はすでに多くの企業が対策済みの領域である。
アンチウイルスソフトの導入やファイアーウォールなどが代表的なものである。

低リスクで対策がしやすい:お金の無駄?

発生するリスクは低いのに、敷居が低いので導入してしまうパターンだ。本当は対策するべき深刻な脆弱性はあるのに、お金の無駄のケースも少なくないだろう。
たとえば今はほとんど使われない古い攻撃しか対応していない製品。(攻撃がSSL暗号化されていると無力になってしまう製品など)
あるいは統計データの発生率でも、普通の企業ではまず発生した事例を聞かないレアなリスクを守る製品。(セキュリティ製品を導入する前には、その製品が防ぐリスクはどのくらいの発生率の脆弱性なのかを確認して頂きたい)

高リスクで対策が難しい:はずトラスト

対策が難しいために、リスクは高いにも関わらず「多分大丈夫なはずだろう」と取り残されてしまう領域だ。

この「はずトラスト領域」は世界中多くの企業が同じ様に脆弱なまま放置されているケースが多い。このため攻撃者はこの「はずトラスト」を狙うという傾向があるのだ。

第3法則:人が一度思い込んだ「はずトラスト」は外すのは困難だ。

この第3法則を理解しないと、対策は表面的なものになってしまう。それは、ただでさえ対策が難しいために取り残されている「はずトラスト」であるからだ。
人が一度思い込んだ「はずトラスト」が外しにくいのは次の二つの理由による。

理由1:大丈夫なはずと思いたい正常性バイアス

下記の理由などで対策が難しい場合、担当者の心理としては「対策したくない」というバイアスがかかる。

・工数がかかる
・他部署との調整が面倒
・トラブルが起きやすい
・責任の所在が不明確 など

こういった場合、人は「多分大丈夫なはず」と思い込み、「対策しなくても大丈夫」と安心したいという心理が働く。

理由2:問題ない証明は悪魔の証明

たとえば下記のビルのドアにおいて、「全部のドアが施錠されていることの証明」は、全てのドアを確認しなければならない。しかし「施錠されていない証明」は、施錠されていないドアを見つけた時点で証明は終了する。

このように「あることの証明」は容易だが、「ないことの証明」は難しい。悪魔の証明と言われる。
情報漏洩対策でも、この「ないことの証明」が必要な対策は、どうしても取り残される。この「悪魔の証明」の領域が「はずトラスト」として残されるのだ。

はずトラストを対策するゼロトラストFTA

このように、対策が困難な「はずトラスト領域」であるが、ゼロトラストFTAは、これらの思い込みを外し、リスクに応じた優先度を判断するのに有効な手段だ。

特長1:想定外を網羅的に洗い出す

ゼロトラストFTAは、リスク発生条件を樹形図として洗い出していく信頼性工学手法だ。これは「大丈夫なはず」という思い込みを外すのに有効であり、信頼性工学で広く採用されている理由でもある。

特長2:リスクの発生確率を算出する

ゼロトラストFTAは、統計データからリスクの発生率を算出するため、どのリスクから対応するべきかという優先順位の判断の指標となる。
このため第2法則の「お金の無駄領域」への投資を避け、よりリスクの高い「はずトラスト領域」への対策を決断することが出来る。

はずトラスト・リスクランキング

以下が、ゼロトラストFTAで算出された「はずトラスト・リスクランキング」だ。次回からは一つ一つ、これらのはずトラストの内容と対策方法について解説していく。

外部窃取1位(30%)
・うちのグローバルIP機器はこれだけしかないはず
・うちのグローバルIP機器はセキュリティパッチが当たってるはず
・うちのグローバルIP機器は不要はポートは閉じられてるはず
外部窃取2位(7%)
・社員のパスワードは洩れてないはず
外部窃取3位(5%)
・社員のPCはセキュリティパッチは当たってるはず
内部漏洩
・社員は機密情報を社外に持ち出さないはず
・社員はPCやUSBメモリを紛失しないはず


この記事が気に入ったらサポートをしてみませんか?