Bay Area Tech Blog #68 Cyber & Physical Security Convergence
サイロ化の壁を超えろ!!!
こんにちはMarvinです。今年の4月からカリフォルニア州で暮らし始めていますが、日々様々なカルチャーショックに出会います。その中の一つにトイレ事情がありますが、さらにその中でもくだらないトピックの一つが「トイレットペーパーの向き」です。皆様はどちら派ですか?
トイレットペーパーの向きはどちらが正解???「表向き」「裏向き」
上記のリンクはWikipediaのWebページですが、トイレットペーパーが設置されている写真がありますので、表・裏のイメージのつかない方はそちらをご参照ください。
私は表向き派です。というか、日本で暮らしていた際は気にしたことがありませんでした。こちらに移り住んでからは、裏向きに設置されているのを多々見かけます。最初は「清掃員の人が間違ったんだなー」くらいにしか思っていませんでしたが、あまりにも見かけることが多いのでChatGPTに事情を聞いてみたところ、実はこの「トイレットペーパーの向き」問題は過去には全米で大激論になったこともある米国に住む人たちにとって関心の高いトピックだったようです(真相は知りません)。
どのみち情報は洩れるし、事故は起こる。
トイレットペーパーには全く結びつきませんが、今日はセキュリティのお話です。昨今、様々なセキュリティ事故やサイバー攻撃のニュースが流れていますが、日々の活動において個人としても企業としてもセキュリティ対策は避けて通れない重要なトピックの一つとなりました。これに伴い様々なベンダーがセキュリティ対策の商材・サービスを提供していますが、十分な対策ができている個人・企業は世の中にどれくらいいるのでしょうか?そもそも十分な対策とは何か・・・・。以前に参加したあるサイバーセキュリティ関連のオンラインイベントでは登壇者の方からは笑顔で下記のようなコメントがありました。
「セキュリティ対策における最も重要なことの一つは、がっちりとした運用ルールを作らないことだ。がっちりとした運用ルールは運用が大変になるだけ。どのみち情報は洩れるし、事故は起こる。」
「がっちりとした運用ルールを作らない」という部分は、半分冗談で半分本気のコメントだろうと私は受け取りましたが、復旧・データレジリエンスの重要性が説かれているセキュリティ業界の中、なんとなくこの発言に腑に落ちる感じがあったのを記憶しています。
増加するセキュリティ対策の管理対象
皆様が勤めている会社では、ネットワークにつながっているネットワークを利用しているIPアドレスを持っている機器は何台ありますか?IPアドレスは持っていないが、IPアドレスを持っている機器の先に何かしらのケーブルで接続されている機器はありませんか?恐らく全ての機器を把握・管理できている企業は無い、もしくは限りなく少ないのではないでしょうか。
ICTの進化により旧来アナログの仕組みで動いてきた機器もIP化、ネットワーク化が進み、また新たなテクノロジーが生まれ、加速度的にネットワークに接続される機器が増えてきました。総務省の「令和4年版 情報通信白書」によると、世界のIoTデバイスの数は2024年には400億台近くまで増加すると予測されています。ひとたびネットワークに接続された機器はいつでもどこでもそのサービスを利用することを可能にします。ただし、これは攻撃者にとっては侵入経路が増えることイコールになるでしょう。これらの背景を踏まえて、IoTデバイスのセキュリティについては、欧州や米国、日本においてもIoTデバイスのセキュリティに関する法律、ガイドラインが制定されています。
サイロ化の壁を超える
少し古いキーワードになってしまうかもしれませんが、セキュリティの業界において「Convergence」という言葉が流行りました。多くの企業では、管理対象の機器やサービスごとに管理者や部門が分かれており、ネットワーク担当やサーバー担当、PC担当、セキュリティ担当・・・・・、また同じネットワークやサーバーであっても、IT関連のシステムと監視カメラや入退室管理といったファシリティ関連のシステムは別部門での管理になっていたりと、管理者部門ごとにシステムが独立・サイロ化してしまっている企業が多いかと思います。
① 停電によってサーバー室の空調が止まり、室内が高温になりサーバーが停止した。
② サーバーがコンピュータウィルスに感染してサーバーが停止した。
③ 不審者が侵入し、サーバーを物理的に破壊した。
④ 運用管理者の操作ミスによりサーバーを停止させてしまった。
上記は、起因は異なるものの「サーバーが利用できなくなった」という結果は同じです。①~④の運用責任者も異なるでしょう。①の停電は、電力事業者のサービス供給が何かしら要因で止まったのかもしれないですし、運用管理者の人為的なミス、実はビル管理システム自体がコンピュータウィルスに感染してしまい空調が停止したのかもしれません。これらを一つの部門の運用管理にて防ぐことを実質不可であり、多くの部門が連携し同じベクトルを向いて対応することが重要となってきます。これが「Convergence」というキーワードが持つ言葉の意味の一つです。
Cyber & Physical Security Convergence
ひとたびセキュリティ事故が発生すると企業・個人に様々な影響が発生します。業務の中断、社会的評価の低下、罰金・訴訟、人的被害など、その影響度は計り知れません。上記に記載にしたとおり、セキュリティ事故のきっかけはサイバー攻撃だけではなく、物理的、人為的なものあります。対してセキュリティベンダーが提供する製品、サービスは自社の専門領域のみであり、全てを網羅しているものではありません。また、受け手側のユーザーも自分の管轄領域が全てを網羅できているわけでは無いかと思います。昨今の複雑なセキュリティ課題に対処していくためには、個別の機器やシステムに対してだけではなく、全体を俯瞰し、相互作用、関係性を考慮した上で、リスクを回避すべくセキュリティ対策を施す必要があります。例えば下記の質問を自部門また自社に問いかけてみてください。一つでも対応していないものがあれば、会社全体影響を与えるセキュリティホールになってしまっているかもしれません。
管理者のいない機器はありませんか?
会社のポリシーが適用されていない独立したシステム、ネットワークはありませんか?
パスワードがデフォルトのままになっていませんか?
OSやファームウェア、ソフトウェアのバージョンは常に最新にアップデートされていますか?
オフィスやサーバー室、工場に誰でも入れてしまうようになっていませんか?
来訪者の管理、社内外のアクセスレベルの管理はできていますか?
セキュリティ事故が発生した際の運用・対処の手順、ルールは定まっていますか?
自社のセキュリティ対策・運用ルールは、全社的に浸透していますか?
情報管理、漏洩、法令順守の重要性
セキュリティ事故が発生すると、情報漏洩の疑義が必ず発生します。漏洩した情報の特定とその影響、事後対策、再発防止策の用意など、対応すべき事項は多岐にわたります。また、国や地域で定められている法令に触れてしまうこともあります。特に個人情報の取り扱いについては、昨今厳しく規制されており、例えば欧州のGDPRでは、EU域外の事業者に対しても適用されます。EU域内の個人データを処理する場合にはGDPRに準拠する必要があり、法令に則した情報管理が必要となります。
■ プライバシー関連法規制の比較 (CCPA, GDPR, 個人情報保護法)
まとめ
セキュリティの管理対象は増大の一途。
セキュリティ事故を一つの部門の運用管理にて防ぐことを実質不可。多くの部門が連携し同じベクトルを向いて対応することが重要。
セキュリティ対策は「サイバーセキュリティ」だけではなく、物理的なセキュリティ対策、運用ルールの策定・徹底、人材教育の観点も必要。
全体を俯瞰し、相互作用、関係性を考慮した上で、リスクを回避すべくセキュリティ対策を施す必要がある。
今回は、セキュリティに関するフワッとした内容になってしまいましたが、次回以降はいずれかのテーマを深堀した内容で執筆できればと思います。
画像引用
https://o-dan.net/ja/