性善説を前提としたセキュリティ対策の限界、あるいは企業の「受容」判断に影響を与えるのがこの攻撃と言えるかも知れません。
www.sankei.com
起訴状によると、荒木被告は平成31年2月18日、千葉県浦安市内の自宅で社用パソコンを操作し、同社のサーバーにアクセス。営業秘密が記録されたファイルを画面上に表示させ、その画面をデジタルカメラで撮影する方法で、情報を不正に得たなどとしている。
(毎日新聞記事より引用)
キタきつねの所感
多くの企業担当者はこのリスクについて気づいていたかと思います。例え「シンクライアントPC」を導入しても、この内部不正の攻撃は防げません。
本業のセキュリティコンサルタントとして聞かれた場合、対策案の提示に非常に困る攻撃手法でもあります。
一番の問題は権限がある担当(管理者)であれば、(シンクライアント)PC上への画面表示は特に問題が無い事かも知れません。該当ファイルを使って仕事をする、所謂正当な仕事と、情報漏えいの目的で該当ファイルを閲覧する行為を監視するのは、なかなか難しいかと思います。
会社(監視)側は、(シンクライアント)PCの先で画面を私物デジカメ/スマホでキャプチャーしている事を検知する術がありません。
多くの日本企業や組織では、この部分は「性善説」(=それはやらないお約束)で運用設計されていて、シンクライアントPCベースで、東京五輪等に向けて「働き方の変革」が多くの企業・組織で推し進められている現状を考えると、潜在的リスクが拡大していると言っても過言ではありません。
「性善説」をベースにした運用は日本社会では、そろそろ限界に達してきており、海外企業が実施している「ゼロ・トラスト」=「性悪説or性弱説」ベースで、人的管理する手法に、残念ながら日本も移行すべき時期に来ているのだと思います。
余談です。
この攻撃への対策案・・・なかなか難しいのですが、とりあえず思いつくのが、以下の2点です
①シンクライアントPC搭載Webカメラでの監視
在宅勤務で大きな問題となるのが「サボってないか」実際の労働時間を把握する事と言われています。こうした勤務把握の手法の1つとして、シンクライアント(ノート)PCに搭載されているWebカメラの画像を録画し、会社(監視)側が定期的にチェックする仕組みがあります。
このWebカメラでの動画や定期的に撮影する静止画から、不正行動をある程度検知する事ができる気がします。あるいは動画や静止画を撮りためておいて、別な不審な行動が検知された際に確認する運用もけん制効果が期待できると思います。
参考:
www.nikkei.com
②リスクベース
スパイ行為の場合、通常業務と比較して、短期間で多くのファイルの画面キャプチャーを行う事が想定されます。外部接続時のファイル閲覧数、1ファイル辺りの閲覧時間、アクセス時間帯等々、こうした要素でリスクベースエンジンがスコアリングできる可能性を感じます。(実際にそうした製品・サービスがあるのかは分かりません)
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴