いま情報漏えい事故、そして関連する脅迫事件さえ目立ってきている。技術的な原因の究明も大切だが、問題の本質はIT利用を家電製品の延長程度にしか考えられない経営者層、管理職層、現場担当者があまりにも多いということだ。
目立ってきた情報セキュリティ事故・事件
2020年、新型コロナウイルス感染拡大防止の目的で、大企業に限らず中小の企業でも競うようにリモートワークへと舵を切っている。しかし、これまでと異なる方法、環境でコンピュータやネットワークを利用するということについての認識が決定的に甘い企業・組織が多い。
そう考えていたところ案の定、情報漏洩事故やこれに関連する脅迫事件が報道されるようになってきた。
脅迫事件というのは、会社内部の秘密情報(コンピュータ上のデジタル情報)を犯人が不正な手段で暗号化してしまい、利用できなくしてしまったうえで、「暗号化を解除してほしければ金を出せ」と脅すものだ。当然ながらその前のステップでは組織内ネットワークへの不正侵入が成功している。
犯人の方はすでに会社の事業規模や暗号化した情報の価値などを調査していて、ギリギリ支払えるような額を要求してくる。もちろん支払わずにいれば事業を続けられず、倒産も視野に入るほどの状況に追い込んでおくのである。
報道されている範囲でも、専門業者に寄せられたこの手の相談は100社以上に上るという(今年3月以降)。それでも、暗号化を解除してもらえたとすれば幸せといえるのかもしれない(ただしコピーデータを握られている可能性は捨てきれない)。
冷静に考えればわかることだが、報道されている事案というのは全体の一部でしかない。情報セキュリティ事故を起こした企業とすれば、出来ればその事実を公にしたくないものだし、まして脅迫に屈して金で「解決」した場合などは、何もなかったことにしてしまうのは日本人の得意とするところかもしれない。
事実、何年も経過した後になって大企業での情報漏えいや、組織内ネットワークへの不正侵入が明らかにされることは、そう珍しい話ではない。
それどころか不正侵入され被害を受けていることにすら気づいていなかったという、笑えない話もある。
手放しでは喜べないIT化
IT(アイ・ティー)は、公的あるいは国際的にはICTとも呼ばれるが、コンピュータと通信ネットワークを利用して情報を取り扱う科学技術のことをいう。
15世紀にグーテンベルクが発明した活版印刷術によって、聖書がヨーロッパ中に広まり、やがて宗教改革へとつながった歴史は有名だが、これだって情報技術革命、すなわちIT革命である。ただ昨今いうITは、「コンピュータと通信ネットワーク」を必要不可欠なものとしている。
ITは社会にとっても個人にとっても「便利」という言葉では表しきれないほど大きなメリットがあることに異論はないだろう。ITなしに現代社会は成り立たないといっても過言ではない。日本の中小企業でも1990年代頃からIT化が広まってきた。
しかし、IT化とは決して「パソコンを導入してインターネットを使うこと」だけでは済まない。なぜなら秘密情報を気軽に大量に取り扱える、強力な道具を手にするということでもあるからだ。
いったい便利で有益な道具や技術は、「使い方を誤ればとんでもないことになる」ものである。そしてこれらはしばしば、そのバラ色の面だけが強調されたり、メリットとデメリットの二項対立で論じられたりしがちである。
しかし道具や技術は、いわば「透明な存在」なのであって、取り扱う人間だけがそれに色を付けくわえるのである。
狙われたWindowsリモートデスクトップ
話を具体的にしよう。
今回のリモートワーク推進の流れに限って言えば、以下の点を指摘しておきたい。
- パソコンをはじめとした機器の設定や操作といった、情報セキュリティの断片にしか意識が向いていない
- 家庭レベルの発想で企業・組織の情報セキュリティを考えている
- いわば「全体知」を持つ技術者の欠如
自宅などから会社のネットワークに接続し作業を行う場合、遠隔操作技術が使われる。リモート接続、リモートアクセスなどと呼ばれる技術である。
これは当然ながらIDとパスワードを使用するなどして、正当な利用者だけが接続、遠隔操作できるようにすべきだし、その通信内容が無関係な者へ知られないようにする必要がある。つまり必要なのは遠隔操作のための技術と、通信内容の暗号化技術である。そしてこの二つの技術にはいろいろあって、金銭的コストはもちろん、環境条件、安全性のレベル、そして利用する側の技術レベルなどによってさまざまである。
どうやら狙われたポイントは、巧妙に仕掛けられたメールの添付ファイル、そしてMicrosoft Windowsが持っている技術のひとつ「Windowsリモートデスクトップ」らしい(他の複数の技術・手段を組み合わせて侵入・攻撃している場合もある)。
本稿ではこの「Windowsリモートデスクトップ」に焦点を当ててみたい。
これも数あるリモート技術の一つでしかないが、事実上ほとんどの企業で利用されているといってもいいだろう。
Windowsリモートデスクトップは遠隔地にあるWindowsパソコンの操作ができるもので、たとえば自宅の私物パソコンで、会社の机上のパソコンを扱えるものである。まるで自宅の私物パソコンが会社のパソコンになったように使えるのだ。しかも初めから「一定の」セキュリティは確保されている。使ってみると、感動するほど便利なものだ。
私もハワイの取材をしていた頃、現地のホテルやカフェから都内にある会社の机上パソコンや、データセンター内の仮想Windows PCにリモートデスクトップ接続して(本業の)仕事をしていた。もちろん事前に厳しい社内規則をクリアし、技術的安全措置を実施したうえでのことである。
ところでこのWindowsリモートデスクトップは、そのしくみ上あるリスクを抱えている。これは情報セキュリティ分野に携わっている方なら10年以上前からの常識だ。もちろんこの技術そのものが低質なものという意味ではない。しかしその意味を理解し対処するためには、2~3冊の本を読んだぐらいの知識では到底無理だし、特に「インターネット越しの」リモートアクセスの実践経験がなければわからない事柄もたくさんある。
そうした状況下において「安易なリモート接続」が広がる2020年、報告されたサイバー攻撃は去年の3倍に上っているそうだ(JPCERT/CC調べ。7~9月前年同期比)。攻撃する側からすれば2020年は「大収穫の年」となっている可能性が高い。
「使えるようになった」は解決でもゴールでもない
いま述べたWindowsリモートデスクトップは、あくまでも遠隔操作技術(機能)の一つでしかない。しかしこれひとつをとっても、企業や組織において安全かつ使いやすいものにするためには幅広い知識にくわえ、運用のセンスも要求されるのである。
「設定したら使えるようになった」と喜んでいるだけでは、まったくもって「ダメ系」なのである。それは「家庭における家電製品利用の発想」である。
秘密情報(電子ファイル)を保存して社内共有する装置にNAS(Network Attached Storage:「なす」とも)がある。これまでの大型のファイルサーバに代わって、片手でも持てる製品が中小企業を中心にここ数年普及している。正しく使えば便利なものだが、製品出荷時の初期パスワードのまま、インターネットに「晒(さら)して」しまった事例にいたっては、薄っぺらい取扱説明書すら読まないレベルの「愚行」であった。
本稿は技術者向けのものではないのであれこれ技術論を展開することは控えるが、少なくともものの考え方の基本として2点を強調しておきたい。
- 情報セキュリティの基本中の基本が、ふだんからおろそかにされていないか
- これまでとは異なるIT利用形態へ移行するときの「意味」について検討されているか
基本中の基本
情報セキュリティの基本中の基本とは、一言で言えば「人」「モノ」の管理と「ルール」の徹底である。こういった基本がおろそかな企業・組織は筆者の経験上、枚挙にいとまがない(オーナー企業や少数の人物の影響力が強い組織に多い)。その組織が一見繁栄を誇っていても、情報セキュリティ事故によって根元から崩れていくパターンである。
「人」の管理とは、たとえば適切な権限付与や異動などの状況変化に伴う、各種設定の修正である。そして継続的なセキュリティ教育活動である。
辞めた社員やアルバイトのアカウントが生きたままだったという間の抜けた例も決してめずらしい話ではない。
会社の外で、私物のパソコンを使って、たとえば街中の無線LAN(Wi-Fi)を介して仕事をするということが、どれほどリスクの高い行為であって、そのために何をなすべきかという教育もしなければならない。受け取ったメールの安全性を判断するための教育も必要だ(注:業務に私物のPCやスマホを使用する時点で本来はアウトだ)。
現代ビジネスシーンにおいては、仕事そのものができる優秀な社員であっても、情報セキュリティリスクに関する知識が低ければ、意図せず会社に損害を与えることもある。
「モノ」の管理とはパソコンやUSBメモリ、スマートフォンなどの情報端末、情報機器の管理のことだが、これは単なる資産管理にとどまらず、必要なセキュリティアップデート、利用実態の把握、持ち出し管理、情報が保存されるモノであればその暗号化、盗難対策などが必要である。
そして割と放置されているのが、次の「ルール」にも絡んでくる私物利用の厳しい禁止である。
ルールについては、「単純なパスワード」を禁止するといったレベルのものから、社用メールや私的SNSなどの利用、ITに関する社内手続きにいたるまで、管理職層や経営者層までふくめて検討され、会社の方針・規則として運用されていなければならないものだ。
こういった基本中の基本に属する事柄は、企業・組織のリーダーの認識不足や問題意識欠如があった場合、危ういものとなってしまう。ボランティア精神に富んだ優秀な現場担当者が努力している場合もあるが、やはり限界がある。
仮に、こういった基本的な部分すらなっていないまま情報セキュリティ事故が起きた場合は、現場よりも経営層や管理職層の資質欠如が指摘されるべきである。
「そんなこと百も承知だ。金も人材もいない現状でそこまでやっていたら商売が成り立たない」という意見もあるだろう。しかし何も大規模、高度、高コストな対応が必要という話ではない。自分たちの組織を真摯に見つめ、必要な対応をするということである。つまり組織運営に必須の「状況判断力」と「バランス感覚」の範疇なのだ。
使い方が変化するときの意味を考える
今回例に挙げた「Windowsリモートデスクトップ」でいえば、もともと社内で使っていた経験があるか、または廉価なリモート接続方法ということで担当者が数冊の本を読んだり、ワケ知り顔の誰かから聞いてそう設定していたりする場合が多いと考えられる。キチンとした技術者の助言を得て真面目に対応していれば、起き得ない事故だからである。
リモート接続といっても、ある組織内ネットワークにおいて行う分には、それほどリスクは高くない。そもそも社内ネットワークという閉じられた世界ですることだからだ。
しかし、これをそのまま「インターネットを介して」やろうとすると、途端に話は変わってくるのである。
社内のコンピュータを「そのまま」インターネット側に晒してしまえば、直ちに世界からの総攻撃を受けるといっても過言ではない。うかつに試行されてもよくないので詳述しないが、インターネットでは、通信の入口や出口は約束事として決まっていて、そこをしらみつぶしにチェックしていけば、必ずマヌケな(あえて書かせてもらう)設定のコンピュータが見つかる。その組織を切り崩していくポイントにもなりえる。ご丁寧にも付随する情報や侵入のヒントが「ご覧ください」とばかりに表示される場合すらある。
ここから先はもう一般の中学生でもできるような作業を行えば、あとは運次第で侵入できる。そしてこういったことは、家庭にあるパソコンで十分実行できる。せめて複雑なパスワードでも使っていれば多少話は違ってくるのに、推測しやすいものであればもう時間の問題である。
社内ネットワークの中だけで問題なく利用できていたことでも、「インターネットを介して」行うようになれば、まるで話は違ってくる。
「だけど、参考書には『リモートデスクトップなら、パソコンとパソコンの間で暗号化されているから安全』と書いてあった」と言われるかもしれない。もちろんこれはウソではないが、「ある意味」を付け加えなければならない。コンピュータやネットワークの世界は、一つの機能、事柄、法則といったものは、ほぼすべて「ある環境条件がととのったことを前提として」いるのである。ここが電化製品の利用とは大きく異なるところなのだ。
では、いったいどうすればいいのか
これは私がここであれこれ言うことではないだろう。経営の立場、管理職の立場、技術担当者の立場で真剣に考えていただきたい。それはもちろん、ここぞとばかりにTVCMなどで騒ぎだしている「ソリューション(解決策)」に丸投げするような愚行ではない。
書店の本を数冊読んで目先の課題を乗り越えているだけでは、どうしても超えられないことがITの世界にはあるのだ。
