タブレットのセキュリティを考えるその前に今こそ学ぶべき情報セキュリティの基本

2015/06/23
  • 情報セキュリティの基本

    企業におけるタブレットの導入時にまず懸念することのひとつとしてセキュリティ対策が挙げられます。情報端末でのセキュリティ対策の場合、目に見えない事象との戦いとなるため、どうしても迷走しがちでそういった姿勢からタブレットの導入に踏み切れない、といった声も少なくありません。
    今回はタブレットのセキュリティ対策を考える前に知っておくべき、情報セキュリティにとって重要な3つの『存在』を取り上げます。その『存在』を理解しておけば、対策は非常にロジカルに進めることができます。タブレットのセキュリティを検討するその前段階として一緒に考えていきましょう。

    1:「重要な情報の存在」について考える

    重要な情報の存在

    情報セキュリティを考えるにあたり、一番最初に考えるべきことが情報の重要性について、となります。若干極論となるかもしれませんが、その所持している情報端末に重要な情報が存在しなければ、そもそもセキュリティリスクとはならず、セキュリティ対策は必要ありません。単純に言えば、モノがない家に泥棒に入られても盗るモノがないため、被害は発生しないということです。また、たとえモノがいろいろとあって盗まれたとしても、自分にとってそのモノに価値がなければ大きな問題ではない、とも言えます。

    市販のメモ帳を例にとって考えてみましょう。小さなサイズのメモ帳ならば100円程度で購入できるかと思いますが、このメモ帳だけ盗まれても大きな痛手はないはずです。(もちろん、個人差はありますが)しかし、そのメモ帳に重要な情報、例えばクレジットカードの番号やECサイトのログイン情報などが記載されていたらどうでしょう。こちらは非常に大きな痛手となりえるのではないでしょうか。

    これをタブレットの場合で考えると、すなわちそのデバイス自体にまったく情報が入っていなければタブレットの粉末、ということ以外はリスクはない状態である、ということになります。また、情報は持っていても、重要な情報はないという状態であればリスクもない、と言うこともできます。セキュリティを考えるときに、巷に溢れかえる「情報漏洩」や「不正侵入」、「改ざん」などという言葉が先走りしてこの基本を失念してしまっているように見受けられることがありますが、まずこの基本に立ち返ってみるとよいかもしれません。

    2:「情報に対する脅威の存在」について考える

    脅威の存在

    次に、情報に対する脅威、ということですが、少しわかりづらいかもしれません。「脅威」という言葉を「リスクが発生する可能性、懸念のある要因」と置き換えるとわかりやすいかもしれません。先ほどのメモ帳の例で言うと、価値のあるモノがあるという前提で、そのモノが「なくなる」、「壊される」といった事象の発生する要因のことで、その脅威がある限りリスクのある状態である、という関係性です。また、その脅威は多くの場合、取り除くのが難しいことが多く、脅威が存在する前提で考えることが必要となります。脅威についてIPA情報処理推進機構では以下のようにまとめています。

    脅威の例示
    意図的脅威 不正侵入、盗聴、盗難、マルウェア、なりすまし、DDos攻撃、情報持ち出し、など
    偶発的脅威 誤操作、破損、紛失、事故、故障、停電、など
    環境的脅威 地震、洪水、台風、落雷、火事、など
    「次世代ネットワークに関する世界的な動向調査 報告書(4) リモートアクセス環境におけるセキュリティ」より引用

    家の例に戻って考えてみましょう。この時の脅威とは、家に「泥棒が入る」こと。すなわち主体的な視点だと「盗難の脅威」が存在する、ということになります。

    タブレットやスマートフォン、ノートPCなど、「外へ持ち出す」前提のデバイスの場合は「外へ持ち出す」ことで生じる脅威が伴います。また、「落下して損壊」、といった物理的ダメージであっても、デバイスの設定によっては搭載していた情報が消滅してしまう、といったリスクも考えられます。要するに、そのデバイスを使う人の行動やシチュエーションを想定し、それに伴う脅威を洗い出すことが重要となります。

    3:「情報の所持に対する脆弱性の存在」について考える

    脆弱性の存在

    最後に、「脆弱性」についてですが、この言葉はパーソナルなコンピュータ端末の普及に伴い一般的に知られるようになりました。「脆弱性」とは、言葉のとおり、「脆(もろ)く・弱い性質」、ということで、弱点といってもいいかもしれません。

    先に取り上げた家の例だと、「盗難」という脅威の存在に対してカギをかけていない、というのは大きな「脆弱性」となります。また、カギを掛けたからといって、簡単に開けられてしまうようなカギであれば「脆弱性」を有していることになり、「盗難」の脅威と隣り合わせの状態です。

    そういった状態を避けるために、普通はある程度強固なカギを家にはかけるか、場合によっては二重にかけたり、それだけでなく、窓にも強固なカギや割れないガラスを設置します。問題を発生させる客体が取りうる行動を予見し、その行動に対処することでこうした脅威に備えることができます。

    ただ、そうした備えは突き詰めていくと過剰になることがあります。例えば一般的に、100万円近くかけた予防対策は攻撃者にとっても突破するのに手間やコストがかかります。しかしながら、1万円しか価値がないモノへの脅威に対して100万円を注ぎ込む人はあまりいないのではないでしょうか。
    情報セキュリティの場合、取り扱う情報がプライスレスなことが多いため、どこまで予算をかけるか、というところで悩まれている方も少なくありませんが、そういった時にはご自身にとっての価値という視点だけでなく、その情報に対する世間一般的な価値、あるいは攻撃者にとっての価値を考えてみるとよいでしょう。その情報を攻撃者が手に入れることによってどういった価値になるのか、という視点です。

    その価値を基準に、攻撃者がどれくらいの手間やコスト、あるいはリスクを背負ってでも攻撃するか、という目安が立てられるはずです。一時期よく話題に上がっていましたが、有名企業の顧客データが漏洩することでその企業のイメージ失墜に対するインパクトは大きく、そのため、狙っている攻撃者は多くいるものと推測されます。
    一方でたとえば、世間一般ではあまり知名度の高くないような企業における重要度が高くないデータ、たとえば社内ゴルフコンペの成績表で、参加者の氏名が「N・K」などのイニシャルで記載されているとしたらどうでしょうか。その会社での価値は高くても、多くの部外者にとっては価値ある情報ではないはずです。このように、脅威や脆弱性を考える際には、情報の重要度が大切な判断基準となるため、セットで考えて判断をしていくことがセキュリティ対策にとって重要なポイントとなります。

    まとめ

    今回はタブレットのセキュリティを考える前にまずは情報セキュリティを見直す、ということで記事をまとめました。基本に立ち返り、原則に基づいた考察をおこなうことがタブレットのセキュリティを考える一番の近道と言えることが3つの『存在』を理解する中で見えてきたのではないでしょうか。
    そして、今後とっていくべき対策について考察する場合も、自社の3つの『存在』をベースに考えていくことで洗い出すことができるでしょう。

    新着記事

    • カテゴリ