1.7. セキュリティは後回しにできない
システムが稼働している環境に関係なく、セキュリティに関する事項を譲歩することはできません。インターネットに接続していないスタンドアローンのシステムでさえ危険にさらされる可能性があります(もっとも、外界と接続を持つシステムとは危険性が異なりますが)。
従って、管理者が行うすべてのことに対してセキュリティとの関連性を考慮しておくことが非常に重要となります。次に、システム管理者が考慮すべきさまざまな問題を例示していきます。
管理下の各システムに対して考え得る危険性の性質
これらシステムに格納されているデータの場所、種類、価値
システムに対して認証されているアクセスの種類及び頻度
セキュリティを考慮する一方、侵入者は外部からのみシステムに攻撃をかけるものと誤った憶測をしないようにします。犯人が社内にいることもよくあるケースです。オフィス内を移動する際に、周りの人に注意を向け次のような自問をしてみてください。
もし、あの人がセキュリティを侵害しようとしたら何が起るだろうか?
 | 注記 |
|---|---|
これは、同僚を犯罪者であるかのように扱いなさいということではありません。各人が遂行している仕事の種類に注意して、該当ポジションの人が実行できそうなセキュリティ侵害の種類を判定する必要があるということです。 |
1.7.1. ソーシャルエンジニアリングの危険性
セキュリティというとほとんどの管理者の最初の反応は技術的な側面に集中しますが、観点を変えることも重要です。セキュリティ侵害がテクノロジーではなく人間の性質から発生することが非常に頻繁にあります。
セキュリティの侵害を試みようとする者は人間的な性質をよく利用して、技術的なアクセス制御へのバイパスを設けます。これがソーシャルエンジニアリングと呼ばれるものです。例を挙げます。
第 2 シフトオペレータが外部から電話を受けました。電話の相手はそのオペレータの会社の CFO —最高財務責任者 —(企業ウェブサイトの"管理チーム"ページからCFOの名前及びバックグラウンドの情報を取得)であると名乗っています。
地球の反対側から電話をかけていると言っています(おそらく、この部分は完全な作り話であるか、企業ウェブサイトの最新プレスリリースでCFOがトレードショーに出席することを伝えているものがあった可能性もあります)。
空港でノートブックPCが盗難に合って非常に困った様子に聞こえます。重要な顧客と一緒にいて、その顧客のアカウントステータスを確認するため企業イントラネットにアクセスする必要が生じているとだまそうとします。必要なアクセス情報を提供してあげるほどこのオペレータは親切でしょうか?
このときオペレータがどのような行動をとるかわかっていますか? オペレータにガイダンス(形式化された方針及び手順)がない限り、ほとんどの場合、管理者としてオペレータがどのような行動をとるかわかりません。
交通信号機のように、方針及び手続きの目的とは、適切な行動と適切ではない行動に対して明確なガイダンスを提示するものです。ただし、交通信号機と同様、全員が従っている場合にのみ機能します。また、すべての人がこの方針と手続きを厳守する可能性が低いことが難点です。実際、企業の性質により、方針を定義し試行するのに管理者が十分な権限さえ持っていない可能性があります。そういう場合はどうしたらよいのでしょうか。
残念ながら簡単な答えはありません。ユーザー教育が役に立つかもしれません。セキュリティやソーシャルエンジニアリングの認識をユーザーの人々が持つための手助けとなることを何でも行います。セキュリティに関するプレゼンテーションをランチタイムに行う、企業内のメーリングリストでセキュリティ関連のニュース記事にヒントを送信する、間違っていると思われることに関するユーザーの質問の反響板のような役割を果たすなど。
つまりは、あらゆる手段でメッセージをユーザーに向けて発信するということです。