orangeitems’s diary

クラウド専任の40代インフラエンジニアが書くブログ。新規事業マネージャー。20世紀末の就職氷河期スタート時にIT業界に文系未経験で入りこみそのまま生き残った人。

史上最悪の脆弱性が見つかったみたいな話と、現実の乖離

 

業界も長いと、たまーに「史上最悪の脆弱性が見つかった」みたいなニュースに巻き込まれるわけ。まずネットメディアのニュースに出て、それを見た顧客が騒ぎ出すという流れなのが定番。ほっとくと「どうなってんだ」みたいになりかねないので、とりあえず目にしたら、「顧客が気づきませんように・・」って祈る。でも、大手新聞系のサイトのニュースになるとこりゃあきまへんな、ってことで対策をしていかなければいけない。

この前のLog4jもそうだったけど、最近は業界を挙げてクローズに動くわけ。大きな流れに乗っていけば間違いなくって、そろりと対応パッチが出たものから対応していく。そんなこんなで大きな被害もなく落ち着いていって、だんだんと人が忘れ始める。

でもね、実際のセキュリティー被害って、そんな「史上最悪の脆弱性」とかが穴になることより、もっと人間のだらしないところを突いてきて、結局は史上最悪の被害が出るという流れが普通だ。

・昔の環境を放置していて、みな忘れかけてた脆弱性を突いてやられるパターン

・メールのオープンリレー設定を狙われてスパムを配りまくるパターン

・明らかに脆弱なWebプログラミングをしていて、SQLインジェンクションやクロスサイトスクリプティングなど有名かつ初歩的な攻撃を喰らうパターン

・添付ファイルに何か仕込まれていて社内に侵入され、そこから攻撃者が情報資産を盗み出すパターン

・昔の従業員のアカウントを削除しておらず、そこから攻撃者が入り込むパターン

まあ、被害を見るとほんとに初歩的だ。何が「史上最大の脆弱性」だよ、と。本当に脆弱なのは人間だ。人間のだらしなさや隙を、いかに露見させアクセスするかが、現代における大部分の有効な攻撃だと思う。

デジタルの進化で人間の生活は豊かになったし、むしろデジタルに合わせていかないと社会から置き去りになるというDXの思想も一般的になった一方で、それを扱う人間は実はあんまり進化していないように思える。

よく言っている気がするが、そもそも電子メールというのが人間のだらしなさを助長していて、添付ファイルをみんな開けまくる。そして添付ファイルが実行ファイルだと危ないのは皆知ってるんだけど、今度は圧縮ファイルやらMS Officeファイルやら、偽装してくるので人間には判別不可能になってきた。じゃあ電子メールサーバーを強化だ、みたいなことでどの会社もどんどん電子メール自体が使いにくくなっているはずだ。

そう考えると、このだらしない人間という生き物に、果たしてデジタルを安全にコントロールすることなどできるのだろうかという疑念が湧く。これって原子力と同じ議論だよね。戦争が起きて原子力は攻撃対象になるということで、またコントロール可能かみたいな議論が始まったけど、デジタルでも一緒だよね。デジタルって無形だから安全そうに見えるけど、全部デジタルに寄せた結果、いろんな社会インフラがたまに止まるようになったよね。

だから、本当のことを言えば、セキュリティー対策って最新の脆弱性を追いかけることより、普段のだらしなさをいかに振り返り、清く正しくデジタルを使えているかということのほうが数万倍大事なんだよね。でも、だらしなさを許容しないと、「あのセキュリティー担当、いたずらにデジタル利用を厳しくして、社内をギスギスさせている」みたいな陰口を叩かれることになる。

なのに何か起きたら、一番かわいそうなのは直接の被害者だ。だって、自分のだらしなさで会社を窮地に陥れるのだもの。自分が・・自分が・・って涙目で反省するんだけど、違うんだよな。セキュリティーで大事なのは反省じゃなくって、だらしなさの自覚なんだよね。だらしない人間が使うんだから、そこに投資しなきゃいけない。すべてが正しく使われる前提で設計するから、裏で破たんしてる。「大きな声で言えないけどさ、うちのシステムって、こうすれば・・」ってこと、みんな何か隠し持っているはず。

 

www.ipa.go.jp

「情報セキュリティ10大脅威 2021」は、2020年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

 

ま、人間系ばっかり・・だよね。