単純な事故が起こりうることも忘れてはならない。例えば、オーストラリア政府はいくつかの大失敗を起こしてきたが、それらはどのような大規模な組織にでも起こりうることだ。数カ月前、ある職員が間違って、G20首脳のパスポート情報を含むファイルを電子メールに添付してしまった。その前には、数千人の亡命希望者の個人データを含んだスプレッドシートが、政府ウェブサイトのHTMLファイルに間違って貼り付けられて公開されてしまうという出来事もあった。
筆者がここで明らかにしたい教訓は、われわれのITシステムはひどく複雑であり、かつ脆弱であるということだ。人為的ミスが破滅的な結果をもたらすのはそれほど難しいことではない。われわれのなかで、うっかり「全員に返信」のボタンを押してしまったり、間違ったファイルを添付したりという経験がない人はいないだろう。こうした種類のオフィスシステムについて、率直な脅威およびリスク評価をしたら(ぜひするべきなのだが)、そうしたシステムで機密データを扱うことも、それを大半の人間が操作することも、どちらも安全ではないと結論せざるを得ないだろう。それでも、われわれはそのシステムを使わないわけにはいかない。われわれは怪物を作り出してしまったのだ。
犯罪分子も当然このことを理解している。暗号専門家であるBruce Schneier氏はかつて、「アマチュアはコンピュータをハッキングするが、専門家は人をハッキングする」というようなことを言っている。現在の複雑な肥大化したコンピュータシステムに対するアクセス制御は、一般的に言って不十分であり、内部犯行の余地を残してしまっている。これまでで最悪のデータ漏えいの1つであるChelsea Manningの事件は、あまりにも多くのスタッフに高度なアクセス権を与えていたことによって起きた。
政府以外では、アクセス制御の状況はさらに悪く、アクセスログも同じ状況だ。そのためシステム管理者は、状況証拠が出てくるまでデータ漏えいがあったかどうか判断できないことが多い。データ漏えいの圧倒的多数は誰にも知られずに発生しているのは間違いない。それは避けられないことだ。
ホテルを考えてみよう。ホテルでIT情報の漏えいが起こったという報道は時々あるが、それは確実に絶えず起こっている。ホテルが保持している宿泊客の詳細情報は、驚くような内容だ。クレジットカード情報、車のナンバー、搭乗する飛行機の詳細も含めた旅程、そしてパスポート番号までが、一部の場所では保持されている。そして最近は、世界規模のホテルチェーンが存在するため、悪意のある従業員がいれば、世界中のどこからでも、いつでも予約情報にアクセスできる。
PCI DSSがあるから安全だなどとは、どうか言わないでほしい。クレジットカード所有者の情報を守るためにあるPayment Card Industry Data Security Standard(PCI DSS:クレジットカード業界データセキュリティ標準)はこれまで、あまり効果を挙げていない。PCIに準拠してきたと思われるトップクラスの小売業者や決済処理業者でも、過去最大のデータ漏えいのいくつかの被害を受けている。しかし、支払機関の弁護士はきまって、これこれという会社は「本当には」準拠していなかったと主張するだろう。その上、PCIの監査役はいつも、各監査の間に起こったことの責任に背を向ける。こうした弁護士や監査役の立場は理解できる。彼らは、自分のいない間に行われた不正や失敗の責任を負いたくはないのだ。
しかし、クレジットカードの所有者や小売業者は板挟みの状態である。大手デパートがPCSの監査に合格したら、そのデパートは当然ながらその先1年間は安全だと期待してよいのだろうか。そうではない。監査が無事終わった次の日に、IT部門のインターンがファイアウォールの設定を間違えたり、パッチの適用を忘れたりする可能性がある。そうすると、これらの防護手段はすべて役に立たなくなり、監査は無意味なものになる。
こういったことは、ITの脆弱性についての筆者の見方を裏付けている。永久的なセキュリティを保証することはもはや不可能なのだ。
いずれにしても、PCIは実際には、データ処理に関するポリシーや保証の寄せ集めにすぎない。それらはITセキュリティの予防策を向上させ、アマチュアによる攻撃を防ぐ。しかし、組織的な犯罪や、内部犯行に対しては役に立たない。
データ管理をアウトソーシングすべきだという、説得力ある議論が高まってきている。企業は、脆弱なデータベースを大きなリスクにさらしておくよりも、信頼できる大規模なクラウドサービスに委託することを考えるようになってきている。そうしたサービスは、十分な規模とリソース、そして細心の配慮をもって、保管中のデータを保護している。Constellation Researchでは以前、クラウドサービスを選ぶ場合に重要になる点を、地理的な観点から検討した。次のリサーチでは、購入者が適切な選択を行えるように、より広範な契約関連の重要業績評価指標(KPI)について分析する予定だ。
どのような対策を取るべきかと聞かれたら筆者は、短中期的な解決法としては、強い姿勢を示して専門プロバイダーによるマネージドセキュリティサービスを検討するべきだと答えるだろう。長期的には、ネットワークやプラットフォームの根本的な再設計が行われ、侵入やID窃盗に対する防御が高まるはずだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
