18億円のセキュリティ対策のおかしな点

先日、以下のようなニュースを見つけた。

18億円投入、使わず廃止…総務省サイバー対策

 政府機関の機密情報を狙ったサイバー攻撃対策の「切り札」として、総務省が2017年度から約18億円をかけて導入したセキュリティーシステムが、一度も使われないまま今年3月に廃止されていたことが会計検査院の調べでわかった。

インターネット環境から遮断された上で、強固なセキュリティー対策が施されており、各府省庁は専用回線で機密情報を閲覧できるが、ダウンロードはできない仕組みだった。

https://news.livedoor.com/article/detail/17199057/

実態はただのファイル共有サーバ。インターネットに繋がっておらず、省庁内のネットワークからしかアクセスできないようになっている模様。

関係者によると、セキュアゾーンの高度なセキュリティーは各府省庁にとって使い勝手が悪く、保管されたデータの出し入れや訂正には、各府省庁の職員が設置場所まで足を運ぶ必要があり、使用にあたっては負担金が生じる可能性もあった。

つまりファイルの閲覧はできるが、ローカルPCへのコピー、書き込み、更新はできない。ローカルPCへコピー、書き込み、更新するにはサーバの設置場所まで足を運んで直接サーバを操作しないといけないようだ。

まぁなんというか、かなり使いづらい。

なぜ作ってしまったのだろうか。この記事によると以下のように書かれている。

15年に「標的型メール」によるサイバー攻撃で、日本年金機構から基礎年金番号などの個人情報約125万件が流出したことを受けて導入が決まった。

標的型攻撃では、

  1. 正規のメールになりすました、なりすましメールが来る
  2. 職員が添付ファイルを開く、もしくはURLをクリックする
  3. マルウェア感染
  4. 情報漏洩

が一般的な流れだ。

おそらく、機密情報をセキュアサーバに置いておけば、職員のPCがマルウェアに感染したとしても情報が漏洩することはないと考えたのだろう。

つまり、マルウェアに感染することはしょうがないから、そのあとの対策を考えようという考え方である。

1〜3のステップは発生してもしょうがないと諦めたのだ。

この点がおかしい。

1番対策しやすい入り口の対策をせずに、マルウェア感染が起きた後の対策をしているのが間違っている。

これは歯医者の虫歯理論に似ている。

普段から歯を磨いていれば虫歯にはならないが、歯を磨かずに歯医者に通い続けるアホな人がいる。

普段から歯を磨けば治療費はかからないのに、虫歯になってから歯医者にお金を払い続けるアホな人だ。

蛇口の水を開いたままで、床を掃除していてもいつまでたっても床は濡れたままだ。

さっさと蛇口の水を閉じた方がはるかに簡単。

これと同じで、マルウェア感染が起きてからの対策を考えるのではなく、入り口で対策を考えた方が良い。

つまり、なりすましメールを発見する、もしくはなりすましメールを開かないようにする。

この2つについて対策を練るべき。

例えば以下のような対策がある。

  • 職員のセキュリティ訓練を行う
  • 怪しいメールをブロックする機能を開発する、ドメイン(@以降の文字列)のチェックなど
  • 手動でメールをチェックする人を雇う

このような入り口にお金をかけた方がはるかに安く済むし、効果的だろう。

おわり。