Jan 29, 2005
今日は今の仕事とは全く関係ない話。
Computer Forensicsという言葉があります。辞書には「法廷の」「弁論術」「討論演習」などなど、うまい対訳がないのですが、簡単にいえば「不正アクセスを受けたときに法廷上の証拠となる(であろう)各種材料を保全すること」を言います。このあたり日本と米国では「不正アクセス」に対する意識が違うので、なかなか根付かないし、ぴんとこないかもしれません。ちょっと古いですが、参考書としてはこんなあたりがよいでしょう。
インシデントレスポンス―不正アクセスの発見と対策
Kevin Mandia Chris Prosise
エクストランス 坂井 順行 新井 悠
翔泳社 (2002/07)
Amazon.co.jp で詳細を見る
うちのような外資系企業で、世界共通に適用される情報セキュリティポリシーでは、全社員はフォレンジックを前提とした誓約書に最初に自筆で署名させられ、印鑑を押さねばいけません。代理署名やシャチハタではだめです。私なんかは「ふーん。あのことだな」となんとなく分かるんですが、他の社員は「???」って感じでしぶしぶ署名しているようです。
誤解を恐れず簡単に言い切ってしまうと、不正アクセスの原因の多くは(実は)部内者かその共謀者によるものであるという、性悪説を踏まえた割り切った考え方が欧米にはあります。ITシステムに沢山のお金をかけて立派なセキュリティ機構を採用してみても、最後は「人」の問題になります。しかしながら、1)性善説を前提としたITシステムや、2)属人的な情報セキュリティ管理体制、3)社員教育や精神論などなどに頼ってみても、実はリスクヘッジする手段としてはなんの足しにもならないという割り切りも必要なわけです。だって「本当に悪い人」はそんな事実は十分お見通しで、さらにその裏をかいてくるわけですから。(ソフトバンクの個人情報漏洩はそのあたりが甘かったのだと思います。個人的な見解ですが。)
コンピューターフォレンジックや権限分離(Sprit of Duties)なんかはそんな背景を踏まえて作られていて、司法取引を頻繁に行う米国の犯罪捜査を前提とした手法です。裁判になった場合に備え、証拠保全の方法をシステマチックに予め定義しておく。これができて初めて潜在的な犯罪者に対して心理的抑止力を持つ情報セキュリティ機構が完成できると。まあ、そんなところでしょうか。
Computer Forensicsという言葉があります。辞書には「法廷の」「弁論術」「討論演習」などなど、うまい対訳がないのですが、簡単にいえば「不正アクセスを受けたときに法廷上の証拠となる(であろう)各種材料を保全すること」を言います。このあたり日本と米国では「不正アクセス」に対する意識が違うので、なかなか根付かないし、ぴんとこないかもしれません。ちょっと古いですが、参考書としてはこんなあたりがよいでしょう。
インシデントレスポンス―不正アクセスの発見と対策Kevin Mandia Chris Prosise
エクストランス 坂井 順行 新井 悠
翔泳社 (2002/07)
Amazon.co.jp で詳細を見るうちのような外資系企業で、世界共通に適用される情報セキュリティポリシーでは、全社員はフォレンジックを前提とした誓約書に最初に自筆で署名させられ、印鑑を押さねばいけません。代理署名やシャチハタではだめです。私なんかは「ふーん。あのことだな」となんとなく分かるんですが、他の社員は「???」って感じでしぶしぶ署名しているようです。
誤解を恐れず簡単に言い切ってしまうと、不正アクセスの原因の多くは(実は)部内者かその共謀者によるものであるという、性悪説を踏まえた割り切った考え方が欧米にはあります。ITシステムに沢山のお金をかけて立派なセキュリティ機構を採用してみても、最後は「人」の問題になります。しかしながら、1)性善説を前提としたITシステムや、2)属人的な情報セキュリティ管理体制、3)社員教育や精神論などなどに頼ってみても、実はリスクヘッジする手段としてはなんの足しにもならないという割り切りも必要なわけです。だって「本当に悪い人」はそんな事実は十分お見通しで、さらにその裏をかいてくるわけですから。(ソフトバンクの個人情報漏洩はそのあたりが甘かったのだと思います。個人的な見解ですが。)
コンピューターフォレンジックや権限分離(Sprit of Duties)なんかはそんな背景を踏まえて作られていて、司法取引を頻繁に行う米国の犯罪捜査を前提とした手法です。裁判になった場合に備え、証拠保全の方法をシステマチックに予め定義しておく。これができて初めて潜在的な犯罪者に対して心理的抑止力を持つ情報セキュリティ機構が完成できると。まあ、そんなところでしょうか。
