従業員のストレスと情報漏洩

　情報セキュリティ対策専門会社のラックが、従業員のストレスを把握し、情報漏洩事件の回避につなげるサービスをはじめるという新聞報道がありました。

　さもありなんというところで、私としてはいいところを突いてくるなあという印象です。このブログでもたびたび、従業員のモラルの問題に触れてきました。従業員のモラルが下がった状態、あるいは仕事のストレスが高まった状態で、情報漏洩事件が起こりやすいというのは私の実感と一致します。

　情報漏洩対策といえば、高価なセキュリティ機器の導入が思い浮かびますが、このような、人の心の問題もそれに劣らず重要だということをあらためて考えてみてもらえればと思います。

★★★　人気ブログランキング参加中！！！ぜひぜひ！クリックお願いします　★★★

ワコールオンラインショップへの不正アクセス（続報）

　ワコールのオンラインショップへの不正アクセスの手口が報道されました。SQLインジェクションという手口だそうです。このブログでも紹介したことのある手口ですね。今年は、この手口が流行しているという記事を以前書いた記憶があります。

　この手口の解説は専門的になりますので詳しい説明はしませんが、いわば、サーバに表側から堂々と侵入する手口と言えます。内部の人間が、不正にユーザIDやパスワードを使って顧客情報をデータベースから盗み出すのではなく、インターネット側の表玄関から、むりやりデータベース検索のコマンドを送り込んでデータベースを検索して顧客情報を表示させると言えばわかりやすいでしょうか。

　本来なら、そのような形でのデータベースへの命令をシステムが受け付けてしまってはいけないのですが、アプリケーションプログラムの作り方が悪いと、まんまと不正なコマンドを実行されてしまうのです。

　この攻撃を防ぐためには、運用管理の強化だけでは無理で、アプリケーションの設計者やプログラマがきちんとしたセキュリティに対する知識を持って、プログラムを設計、製作しなくてはなりません。

　サーバへの不正アクセスというと、とかくサーバ管理の手落ちが思い浮かぶのですが、今回のように本来動作してはいけない形でアプリケーションをむりやり動作させるという手口には、プログラム製作段階での対処が必須です。とかく、セキュリティ対策というものは、システム運用管理の担当者がサーバそのものに施すというイメージがあるのですが、アプリケーションの製作段階から、システム全体のセキュリティを考えなければいけないということが、今回の例からわかります。

　従来ですと、アプリケーション製作のシステムエンジニアやプログラマの人たちの中には、セキュリティ対策意識のない人が、残念ながら少なくなかったのですが、WEB上で動くアプリケーションがこれだけ全盛になってくると、そのようなことを言っていられないということになります。

　世間一般の人から見れば、システム管理者もプログラマも、どちらもコンピュータに強い人、専門家というイメージがあって、セキュリティ対策意識のレベルも当然高いと思われがちですが、実際はそうとも限らないというわけです。

　これだけSQLインジェクションという手口が広がると、アプリケーション製作者側もいやがおうでもセキュリティに対する知識を身につけなければならないということを感じているはずです。

　外部から見れば同じように見えるITの世界ですが、中に一歩踏み込んでみるとそういうわけではないということが、理解して頂ければと思っています。

★★★　人気ブログランキング参加中！！！ぜひぜひ！クリックお願いします　★★★

欠陥マンションと認証規格

　建築士が構造設計書を偽造した事件は大きな波紋を広げています。私事になりますが、対象となる建物が私の自宅のそばにホテルと、マンションが1軒ずつあって人ごととは思えません。

　そして、このマンションを建てた販売会社（デベロッパー）のホームページを見ると、しっかりとISO9001の認証を取得していることがうたわれています。ちなみにISO9001は製品の品質を保証する規格です。なんと、皮肉なことかとため息をもらしてしまいました。こんな事件を起こしてしまった以上、この会社は次のISO認証の継続審査で間違いなく認証取り消しになってしまうことでしょう。

　同じ事がISMS（情報セキュリティマネジメントシステム）認証にも言えます。認証だけとって、実態が伴っていないのでは、何の意味もありません。

　ISMS認証やプライバシーマーク取得が、政府、自治体、大企業の入札条件となりつつある現在、外見だけつくろってそれでよしとする企業や組織が出てくることが、残念ながら予想できます。

　この事件は、まだまだ波紋が広がりそうです。今後の動向に注目したいと思っています。

★★★　人気ブログランキング参加中！！！ぜひぜひ！クリックお願いします　★★★

ワコールのオンラインショップへの不正アクセス

　報道によると、ワコールのオンラインショップのサーバに不正アクセスがあり、個人情報が流出したそうです。どのような弱点を突かれたのかまだわかりませんが、このようなことが起こるのは残念なことです。

　この種の情報流出事件があるたびに思うことですが、このような事件を未然に防ぐのは非常にむずかしいということです。

　流出事件のパターンとして、大きく二つに分けることができます。一つは、末端のPCクライアントからの流出です。持ち運んでいるノートPCを盗まれたり、紛失したりする事件は枚挙にいとまがありません。また、USBメモリの紛失、盗難も多いですね。デスクトップPCとて、安心できません。これも、盗難に遭う可能性があるからです。

　そしてもう一つは、今回のようにサーバから情報を盗み出すパターンです。外部から悪意を持った人間が不正アクセスを試みる場合もありますが、昨今の事件で問題になっているのは内部の人間が犯行に走るケースです。このところの大きな情報流出事件はほとんどの場合、内部の人間の犯行であることからもその流れが見て取れます。

　今回のワコールの事件がどちらかはまだ明らかにされていませんが、いずれにせよ関係者の苦労が偲ばれます。

　最近のセキュリティ対策のソリューションとして、シン・クライアントが推奨されるケースが多く見受けられます。シン・クライアントとは、ハードディスク等の内部記憶装置を持たないPCのことです。PC内部に情報を記憶できないのであれば、盗難や紛失によってそのPCから情報が漏れることはないという考え方です。

　そして、当然のことながら、情報はサーバで一元管理されることになります。情報をサーバで一元管理することの利点はいうまでもありません。その一点を守ればいいのでセキュリティ対策上とてもいいことだと言えるのですが、それだけに今回のように不正アクセスによって情報を引き出されると、被害が大きくなる傾向があります。

　一般的に言って、ノートPCにデータベースの内容全部をダウンロードして持ち歩くケースは少ないので、情報漏洩の規模もどちらかといえば小さくて済みます。今回のケースは、今のところサーバが狙われた割には小規模で済んでいるようですが、だからといって安心はできないと思います。

　90年代になってUNIXワークステーションとPCが汎用大型機にかわってシステムの花形になった際によく議論されたのが、「分散と集中」という問題です。システムは分散化を前提にして、多数のクライアントが協調して処理していくのがいいのか、大型ホストが一括して処理を行う従来型のシステムがいいのかという議論です。

　現在では、処理をサーバ・クライアントに分散して行うシステムが万能ではなく、問題点もたくさんあることが一般に知られるようになってきました。大昔のように、大型のホストコンピュータ一台で処理を行い、末端には単純な処理しかできない端末だけを置けばいいのだという考え方も、見直されるようになってきたのです。

　特に、セキュリティという観点からこのホスト集中型という考え方が復活しつつあると感じています。そうなると、ますますサーバのセキュリティ対策が重要ということになってきます。

　情報漏洩事件といっても、このようにいろいろな切り口から見ることができるわけで、今後の対策を練る上での参考になることと思います。

★★★　人気ブログランキング参加中！！！ぜひぜひ！クリックお願いします　★★★

名証のトラブルの顛末

　今月4日午前に起こった名古屋証券取引所のトラブルの原因が報道されました。原因は、オペレータの操作ミスだったそうです。

　詳しい内容については専門的になるので割愛しますが、オペレータの操作ミスで、システムに必要なファイルが破損し、オペレータはそれに気づかずに放置した上、自分の操作ミスの件をすぐに担当SEに報告せずに、翌日になってようやく電話連絡したそうですが、連絡を受けたSEの方も、内容をよく理解しないまま問題なしと判断してしまい、上司に報告しませんでした。

　オペレータは交代勤務をしていますが、問題なしとされたオペレーションについては次の交代要員に申し送りされなかったため、トラブルが起こったときに状況を把握するのに時間がかかってしまったということです。

　この一連の出来事をみると、基本的な手順をきちんとこなしていればこんな大事になる前にどこかで誰かが気づいて、トラブルを防止できたことがわかります。

　「原因は外注先オペレータの操作ミス」などと報道されると、そのオペレータあるいは外注先が悪いように聞こえますが、このような大きな事態に発展したのは、組織全体の問題です。オペレータのちょっとしたミスが大きなトラブルにつながらないようにする仕組みがシステム運用の組織には必要なのです。

　もちろん、いくらルールを作ってもそれを現場の末端の人たちが理解してきちんと守ろうとする意識が高くないとその効果を期待できませんが、今回の事故の場合、それぞれの担当者の仕事に対する緊張感がどうにも感じられないのです。これは、皮相な印象ですが、否定できないことだと思います。

　結局、システムをトラブルなく運用するためには、きちんとしたルール作りの他に、現場の人間の高いモラルが求められるのです。そのシステムが重要であればあるほど、高い士気を保った状態で仕事をしてもらわないと困るのです。

　しかし、正直言ってシステム運用のオペレーションという仕事は交代勤務の、汚れ仕事という位置づけになっていて一人一人のオペレータに高い職業上のモラルを求めることはなかなか大変なことです。

　以前の記事にも、SEが疲弊している現状を取り上げましたが、企業がコスト削減に走るあまり職場環境は悪化の一途をたどっています。

　話は変わりますが、ここ数日ニュースになっているマンションやホテルの構造計算書偽造事件の原因も、コストの削減を過度に追求しすぎたために起こった、業界全体の構造的矛盾が吹き出したものと思われます。

　システムの運用というのは、本当に報われない仕事です。きちんと動いて当たり前、その反対に今回のようにトラブルを起こしてしまえば、世間や関係者から袋だたきにあう宿命を負っています。そして、現場のオペレータの労働条件、待遇は決していいとは言えません。

　もちろん、運用のシステム手順をきちんと確立すれば、おおかたの事故は防げるでしょう。しかし、最後の砦はシステム運用に携わる一人一人の人間のモラルにかかっているのです。そんな大切な仕事であるにもかかわらず、汚れ仕事扱いをされ、一段も、二段も下に見られる仕事に優秀な人材が就くとは思えません。

　ですから、重要なシステムのトラブルも、情報漏洩も、根っこは同じなのです。問題は人間なのです。いかに、人をうまく使うか、それが問われているのです。

　今回の件は、情報システム運用の現場で（開発の現場でも同じですが）いかに人間の問題が大切か、あらためて考えさせられた、一件でした。

★★★　人気ブログランキング参加中！！！ぜひぜひ！クリックお願いします　★★★

ソフトウエアキーボードの普及

　皆さんは、ソフトウエアキーボードをご存じでしょうか。グラフィックの画面にキーボードの絵が表示されて、それをマウスでクリックすることによって文字入力を行う仕掛けです。

　私が利用している銀行のオンラインバンキングのシステムでは、暗証番号やパスワードの入力に、このソフトウエアキーボードが標準になっています。自宅の自分のPCならばそこまで神経質にならなくてもいいのですが、外出先や他人のPCを使用する場合には、そこにどんな罠が仕掛けられているかもしれませんので、このソフトウエアキーボードは大変有効な入力手段です。

　キー入力を盗まれるてしまう代表的な手口は、キーロガーというソフトウエアを使用することです。このキーロガーは本来、パスワードを盗むためのものではなく、キー入力の履歴を残すことが目的のソフトなのですが、残念ながらこのように悪用されてしまうのです。

　また、自宅の自分用のPCでも、無線LANを使用していて、その無線LANのセキュリティ対策をきちんとしてないなら、ソフトウエアキーボードを積極的に利用すべきでしょう。甘い暗号化あるいは全く暗号化しない状況では、無線LANの信号は簡単に盗聴されてしまいます。

　こうして、完璧と思えるソフトウエアキーボードですが、これへの対抗策が実はあるのです。それは、画面キャプチャーです。マウスをクリックするたびに、画面をキャプチャーする、グラフィック版のキーロガーとも言えるソフトが、このソフトウエアキーボードに対する、悪人側の対抗策として出現しています。

　結局、どんなセキュリティ対策にも完璧はありません。一つの対応策で安心せずに、臨機応変に対応していくことが一番大切なことだと思います。

★★★　人気ブログランキング参加中！！！ぜひぜひ！クリックお願いします　★★★

迷惑メール対策のトレンド

　迷惑メールについてこの記事で何度か取り上げてきましたが、現状どんな対策がなされているのか、また少しお話してみたいと思います。

　迷惑メール対策には大きく分けて二つあります。一つは、迷惑メールを受信せずにすむようにすること。もう一つは、迷惑メールを送信させないようにすることです。

　迷惑メールを受信しないようにするためには、プロバイダのメールのサービスで特定の発信者からのメールを、迷惑メールフォルダに自動的に振り分けるものがあったり、また、メールソフトの機能でそれができたりしますが、この対策は皆さんにもなじみの深いものではないでしょうか。

　ただ、この発信者情報に頼るやり方は、From:アドレスを偽造されたり、送信元のメールサーバを毎回変更されてしまうと全く効果がないので、残念ながら対策としては現状ではあまり効果があがるものとは言えなくなりつつあります。

　では、どのような受信メール対策が有効かといえば、上記の対策に加えてメールの内容にまで踏み込んでチェックすることが必要になってきます。サブジェクト（表題）をはじめ、内容に特定の単語を含んでいればスパム（迷惑）メールと判定するというやり方です。

　ただ、このやり方もチェックを厳しくするとスパムではないものをスパムと判定する率が高くなるので、運用を行いながら、時間をかけて根気よく調整していくことが必要になります。

　最近では、上記のような機能を持った専用の製品（アプライアンス）がありますので、それを導入して迷惑メール受信を大幅に減らすことができたという成功例も報道されています。このような機器のよいところは、家電製品と同じで特定の機能に特化することにより使い勝手が向上している点にあります。大きな企業で、万単位の迷惑メールに悩まされているようなところなら、導入を検討するのも悪くないと思います。

　そして、もう一つの対策、送信させない対策はといえば、最近一部のプロバイダが実施しはじめた25番ポートブロッキングというものが代表的です。

　詳しく説明するとむずかしくなるので、簡単に言ってしまえば、とにかくそのプロバイダのネットワーク内からメールを発信する際には、特定の、プロバイダが許可したメールサーバからしか発信できないようにするという対策です。ユーザが自由にメールサーバを設置してメール送信をできなくなるので、一定の効果を上げることができます。

　しかし、これにも大きな欠点があって、上記のような制限を加えるわけですから、他のプロバイダのメールサーバを利用してメールを送信することができなくなってしまいます。そのような、利用の仕方をしているユーザはたくさんいますので、ユーザにとっては、大きな制限事項となってしまいます。

　また、その他の送信メールの対策としては、悪徳業者の情報交換をプロバイダ同士で行うことがあります。これは、契約するときにきちんと身分証明書を提出する必要がある、携帯電話会社にとっては一定の効果をあげることができます。悪徳業者は契約して大量の迷惑メールを送信して、それが原因で接続を拒否されると、他の携帯電話会社と契約して同じ事を繰り返すので、それを防ごうというわけです。

　しかし、一般のプロバイダでは契約時に身分証明書の提出を義務づけていないので、この対策はあまり効果をあげることができません。また、携帯電話会社に比べれば、プロバイダの数は比べものにならないので、その間での情報共有と交換にも大変手間がかかることが予想できます。

　このようにして、地道にですが迷惑メール対策が進められています。その中には、ユーザに不便を強いるものもあるので、手放しでは喜べないのですが、これも時代の流れで「きゅうくつなインターネット」として我慢しなければならないのかもしれません。

　牧歌的な古き良き時代を知る我が身にとっては、愉快な話題ではありませんが、今後もこの問題を興味を持って追い続けていこうと思っています。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★

SSL通信の落とし穴

　SSLという言葉を聞いたことがあるでしょうか？みなさん、たぶん意識せずに利用している技術だと思います。ものすごく簡単にいってしまうと、WEBでオンラインショッピングをするときなどに、サーバとの通信を暗号化する技術のことです。この技術自体は汎用的なものなので、もちろん、他の用途にも広く使われているのですが、ショッピングや個人情報を入力して送信するフォームのページでの通信にはSSLが使われるのが、ほぼ常識となっています。

　人に見られたくない情報、クレジットカード番号、自分の氏名、住所、電話番号などを盗聴される危険がなくなるので、非常に有用な技術なのですが、困ったことに、この技術が情報漏洩に悪用されることが問題になっています。

　クライアントであるWEBブラウザ（IEやFirefoxなど）とサーバ間の通信が暗号化されてしまうので、企業などでその間にファイアウオールが入っていても、通信の内容をチェックする術がなかったからです。安全に通信を行う技術が、情報漏洩を簡単に行える技術に転用されてしまう、これが、現在大きな問題になっています。

　通常のファイアウオール設備は、SSLの通信の中身までは関知せずそのまま通してしまうことが原因なのですが、今までは対応方法がありませんでした。

　しかし、昨日このような状況に対応できる装置の広告が目にとまりました。SSLプロキシ装置というものです。プロクシというのは、代理サーバと考えてもらえればいいと思います。クライアントであるWEBブラウザとサーバの間の通信を中継して、暗号化された通信の中身をチェック（検閲）する機能があります。内容に問題がなければ、また暗号化して相手先のサーバに情報を送信します。受信も同様にチェックするわけです。

　まだまだ出始めの製品で、おそらく、かなりの価格であると予想されますし、SSLの暗号化、復号化にはかなりのCPUパワーが必要なので、通信量が多い環境での動作にも未知数な部分があります。しかし、情報漏洩に敏感な組織から、このような装置の導入が始まるのも時間の問題と思われます。

　このようにして、技術は日進月歩で進んでいきますが、それに追いついていくのも大変なことだと思います。特に情報セキュリティの分野は投資してもそれが直接利益を生むわけではないので、経営者としても投資の判断がしづらいものです。

　これからも、このような技術の動向を見守って行きたいと思います。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★

おすすめブログ～電子認証基礎講座～

　私の記事でも、たびたび暗号化の話を取り上げてきましたが、その基礎となるのが電子認証に関する技術です。その電子認証に関してとてもわかりやすく解説されているブログがありますので、紹介させてもらいたいと思います。

～電子認証基礎講座～

　私も毎日読ませてもらっていますが、ポイントを押さえて、とてもわかりやすく暗号化技術や電子認証について解説されているので、この方面の知識を学びたい方にはぜひおすすめします。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★

ニフティのセキュリティサービスの不具合

　報道によると、ニフティが提供しているセキュリティサービスの不具合で、1518名のユーザがウイルスに感染したそうです。原因は、ニフティ側のメンテナンス作業中の設定不備ということですので、これだけをみると、ニフティに一方的に非がありそうにみえますが、実際そうとも言えないと私は思っています。

　というのも、このウイルスはきちんとWindows　Updateをしていれば防げたものだからです。2004年7月以降に一度もWindows Updateを実施していないと感染する可能性があるということなので、こんなにも長期間PCのセキュリティ対策を怠っていては、各ユーザにも大いに責任があると言わざるを得ません。

　今までの記事でも、ウイルス対策ソフトへ依存しすぎることに警鐘を鳴らしてきましたが、プロバイダが提供するウイルスチェックサービスに対しても、同様な態度をとるべきでしょう。このような、セキュリティチェックの不具合が起こる可能性があるわけですから、二重、三重に対策を施す必要があります。

　今回感染してしまったユーザが、ニフティのサービスに頼り切らず、自分でもきちんとウイルス対策ソフトをしていれば、また、きちんとWindows Updateを実行していれば感染せずに済んだ可能性が高いからです。

　話は変わりますが、昨今オートロックの設備がついたマンションが空き巣に狙われる事件が増えているそうです。これも、この一件と本質的に同じユーザの油断を感じます。マンションの共同玄関に鍵がかかっているからといって安心してしまって、自分の部屋に鍵をかけずにいるために狙われてしまうのです。空き巣はそのような事情を熟知していて、何とかしてマンション内に入ってしまえば、普通のマンションよりも仕事がしやすいと思っているわけです。

　この一件で、セキュリティ対策を人任せにするのがいかに危険かということがわかります。自ら主体的に関わっていくことがセキュリティ対策では重要です。自分のできる範囲、お金と時間が許す限りきちんとした対策をとること、それが最も求められていることです。

　この一件を反面教師として、皆さんのセキュリティ対策を見直してみてはいかがでしょうか。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★