見出し画像

第75話 思い込みが情報漏洩を発生させる5つの事例

今回は、ハズトラストの事例5つと対策2つについて解説する。

実はセキュリティパッチが当たっていない

ハズトラストとは「大丈夫なハズ」という思い込みのことであり、「情報漏洩はハズトラストから発生する」というのが「ハズトラストの法則」と私が呼ぶものである。

たとえばグローバルIP機器に適切なセキュリティパッチとポート閉鎖をすることで、実にランサムウェアの7割が防げるデータがある。

https://start.paloaltonetworks.com/2022-unit42-incident-response-report

そこで弊社が多くのお客様に実施している「ゼロトラストFTAチェックシート」などで「御社はグローバルIP機器に適切なセキュリティパッチを当てていますか」と質問をすると、多くの企業では「している」と回答があるが、実際に具体的なヒアリングをすると「実際は適切なセキュリティパッチがあたっていない」ということが多くある。
今回はそんな5つの事例について解説する。

事例1 うっかりミス

これは検証機などにグローバルIPを付与した後、検証が終わってもグローバルIPが残ったままになるなど、作業者がうっかりミスに起因する事例だ。
「うちはグローバルIP機器はファイアウォールしかない」と思っていても、実は他にもグローバルIP機器が存在しており、皆が忘れているため脆弱性もそのまま残っている場合がある。
こういったうっかりミスについては、人の記憶に頼らない台帳などの管理が効果的だ。

事例2 意思疎通に問題

これは実際の作業者からの報告がされていなかったり、不十分であることが原因である事例だ。
本当はリモートメンテナンス用のVPNルータがグローバルIPを付与されインターネットに公開されているにも関わらず、構築業者からは「閉域網です」という誤った報告が行われる例などだ。
小さい組織で責任者がIT知識が不足していると、作業が外部のベンダー任せになり、このように作業者と責任者間での情報共有が正しく行われないことがあり得る。
このような意思疎通の不備で起きる事例についても、上記の事例1と同様にグローバルIPアドレスと機器の台帳管理などは効果的だろう。

事例3 責任区分の境界

他組織や他社のネットワークが接続されている時に、相手側ネットワークのマルウェア感染がそのまま自社に悪影響を与えるケースだ。
このようにシステム管理者が管轄する責任区分を超えた領域では、セキュリティを維持することは難しい。
本来は、他組織や他社のネットワークとVPNなどの接続が行われている場合は、自社と同じレベルのセキュリティ管理を、相手側にも求めることが必要となる。

事例4 知識不足の甘い判断

ある脆弱性情報について、内容を読んで自社に該当しないと判断するような場合が該当する。
ただ一つの脆弱性では自社に影響がなくても、攻撃者は複数の脆弱性を連携させて社内に侵入しようとして来る。
このため、脆弱性についてはCVSS7以上の驚異があるようなものに関しては、単独では自社に影響がないと思われてもパッチを適用するという運用が必要となる。

事例5 面倒だから後回し

パッチ適用は、担当者からすると工数もかかり心理的負担も大きい作業だ。特に古い業務システムを運用している場合は、パッチ適用によって不具合が生じるケースもある。
このため、負担の大きいパッチ適用作業は、心理的に後回しにしたいというバイアスが担当者に常にかかると考えた方がいい。

いくら高価なセキュリティ製品を導入しても、この穴が放置された状態では、充分なセキュリティは維持は難しいだろう。

これらの5つの事例から、2つの対策が効果的だ。

対策1 ミスをするのが前提

事例1や事例2のように、うっかりミスや情報共有の不備は起こるのが前提で対策を行う必要がある。
グローバルIPアドレスの管理については、人の記憶や口頭での言った言わないに依存することなく、台帳などで管理することは効果的だ。
しかしその台帳は作ったとしてもメンテされずに放置されたままでは意味がない。年1回など定期的にグローバルIPアドレスと機器の状態を管理することが必要だ。

対策2 優先順位の指示

責任区分が自社の管轄を超える場合や、曖昧な指示で責任が重い作業を任された場合は、担当者はどうしても対策作業は後回しにしてしまう。
この場合は、
・対策内容を具体的に指示する(現場の甘い判断に依存しない)。
・優先順位は会社全体でサポートする。
という運用が効果的だ。

とにかく「問題ないようにうまいことやってくれ」という丸投げの指示では、対策は後回しになるバイアスが強く働くと考えるべきだ。

いずれにせよ、ハズトラストという思い込みは、なかなか単独では外すことは難しい。このため、可能であれば第三者の専門家のヒアリングを受けながら、隠されたハズトラストを浮き彫りにすることは、どの組織にとっても効果的だ。


この記事が気に入ったらサポートをしてみませんか?