フェティッシュの火曜日
2016年9月27日
|
これを読めば情報セキュリティがなんとなくわかる!
先日、とても悲しい事件が起こった。席を離れている間に自分の席に置いておいたフィレオフィッシュセットが食べられたのだ。こんな悲しい悲劇を2度と繰り返してはいけない。今、勉強中である情報セキュリティで守ってみよう。
フィレオフィッシュ食べられ事件あれは、お昼休みに外にいたときのことである。
昼食に「なんだか、フィレオフィッシュを食べたい気分」と思いマクドナルに行った。 注文をし、セットにチキンナゲット(ソースはマスタード)、コーラを選び、待っていた。そのときの顔は楽しみすぎて、やさしいほほ笑みをしていたことだろう。 そして、私のフィレオフィッシュセットが目の前に運ばれて、空いている席へと向かった。 ちなみに普段はダブルチーズバーガーをよく食べる。
そこそこ空いていたので、片方はイスで向かい側はソファーの2人かけ用の席に座った。そして、その近くには普通のおじさんが座っていた。
今回、知らないおじさん役は違う撮影で来ていたライターの北村さんにお願いした。めちゃくちゃ見ているな。
ものすごく見ている。
そんなおじさんが見ていることなんて気付かなかったので、ちょっと長い方のトイレに行きたくなった。
用心の為、かばんはトイレに持って行き、フィレオフィッシュセットはそのまま机の上に置いてトイレに行き、5〜7分ぐらいで自分の先程いた席に戻ろうと、その席に目を向けると、全然知らないおじさんが私のフィレオフィッシュを食べていた。 食べている。
かばんを置いたままにしてしまい、財布を盗まれるのはまだわかる。なんだ、置いたままのフィレオフィッシュを食べられるって。
すっごく食べている。
しかも、遠目からでも、チキンナゲットのマスタードのふたが空いているのがわかった。裏側が反射していたから。
チキンナゲットも食べるなって。
初めての経験でどうしたらいいのかわからず、もういいやとなり、店員にも言わずそのままお店を出た。
帰りの電車に乗る途中、ゼリータイプのあれを10秒でチャージした。「東京は怖いところだ」と痛感した日だった。 話は変わるが、私は会社で情報セキュリティ担当者に選ばれて今、勉強をしている。 来月、試験があるが全然勉強していない。ゲームとか、インターネットが面白いのが悪い。面白いものを作ってしまう世の中が悪いと思う。 情報セキュリティを用いてこの事件はどうすればよかったのかを考えていきたい。 まず、基本的な部分から学んでいこうと思う。 何度見ても食べている。
マクドナルドで学ぶ情報セキュリティ情報資産というものがある。
会社などであれば、商品開発情報や人事情報や顧客情報など、会社が管理している情報のことである。今回の事件であれば、これらが情報資産と考える。 フィレオフィッシュセットこと情報。
そして、よくニュースで聞く「漏えい事故」。これが起こる原因として、人的脅威、自然脅威に分けられる。
雨や雷、水没などによって、情報が失われることを自然脅威という。 水没すると情報が失われる。かなり怒られるので注意だ!(「水没したスマホをなんとかしたい」より)
そして、もう1つが盗難や紛失によって情報が失われる人的脅威。
フィレオフィッシュは淡白な味とタルタルソースがおいしいなー。
情報がない!さっきまであったのに(タルタルは今日もおいしかった。)
このような脅威によって、情報は失われる。今回、フィレオフィッシュこと情報は人的な脅威によって漏えいした(食べられた)
そんな、今回のフィレオフィッシュ食べられ事件だが、セキュリティ的にいうと「ゼロデイ攻撃」を受けたと言える。 プログラムの弱い部分に対して、まだ修正ができていない状態のときにその部分をついて、攻撃をすることである。プログラムを改ざんや盗み出すことが目的だ。 まさか、食べられるとは想像しておらず、なにも準備ができていない状態で起こったできごとだ。対策を考えて、次は食べられないようにしなければ。 情報セキュリティを守るには対策を立てる前に、情報セキュリティがどのようなものかを理解する必要がある。
きちんと機能させるには、基本的に3つの要素が必要だ。 機密性、完全性、可用性である。名前が出てきただけで眠くなってしまう方もいると思うが、大丈夫、僕もです。順番に解説をしていきたい(うとうとしながら)。 勉強中なので、どのようなものがあるかを調べてきた。「この解釈は違う!」というのは心に秘めたままにして暖かく見守ってほしい。
このフィレオフィッシュ、タルタル入ってないじゃないか!の完全性完全性とは、情報が破壊、改ざん、消去されていない状態のこと。見た感じでは本来の状態に見えるが、中を調べると情報に問題があり、問題発見が遅れることがある。気づかないうちに漏れていることが近年の情報ろうえい事故で多い。
ハンバーガーで例えると、食べてみたらなんか変だなと思ったら、ハンバーグが入っていない状態のことである。 メインが入ってないだけでこんなにも心に語りかける悲しさが出るのか。
ハンバーグ、ピクルス、ケチャップ、バンズの全てが揃っている状態で完全性があると言えるだろう。
可用性とはいつでもチキンゲットにマスタードをつけたいという気持ちである可用性とはいつでも、必要なときに情報にアクセスができる状態だ。たまにパソコンのデスクトップがグチャグチャで何がどこにあるがわからない状態の人がいるが、これは可用性が失われている状態である。
これも可用性が失われた状態。掃除しよう。
こないだ、マックシェイクを飲みながら本を読もうと思い、読みたい本を探したが、全然見当たらなかった。これは可用性がない状態ではないだろうか。
ちなみに探していないときにその本は見つかった。あるある。 じゃあ、食べているところを見てもらえますかの機密性機密性は管理者などの限りられた者だけが情報にアクセスできることである。そのデータを見ることができるが、書き換えなどは管理者だけが実施できるなど、範囲を決めておくことが大事だ。
他の人はフィレオフィッシュを見ることはできるが、実際に食べる事はできない。
できないのだ。
また、1996年に3つが追加された。「真正性」、「責任追跡性」、「信頼性」の3つである。
もう、これ以上覚えることを増やさないでほしい。年々、バカになっているのだから。 勝手に自分だけのハンバーガーを作り始めるなよ真正性情報にアクセスできるものが、管理者であることを証明し、そのアクセスした記録を残すことで真正性が保たれる。
誰もが自由に情報にアクセスできてしまうと、その情報の「完全性」がなくなってしまうのだ。 誰が、何時に、どのような作業をしたかを記録に残さなければならない。 誰もが自由に、自分の意見を反映すると奇妙なものができてしまう。 編集部の古賀さん「絶対、ポテトを入れたほうがおいしいよ!」
北村さん「ナゲットもいれましょうよ!」
悪ふざけである。大人たちの悪ふざけが始まった。食べるの誰だって思っているんだ。
おいしかったけど。
あいつの食べ物、オレのやつだよなの信頼性信頼性とは、作成したシステムが意図した通りにきちんと動く事である。これが正常に動いていない場合、
あれ、頼んだのテリヤキバーガーのはずだけどな。
あれ、ハンバーガー頼んだのに、テリヤキバーガーだ。食べ飽きたんだよな。
注文した結果、テリヤキバーガーではなく、ハンバーガーが出てきたら信頼性がない状態。意図した通りに動いていない結果、めちゃくちゃなことになっている。ちなみに普段、違うものが来たらだまって食べるタイプである。
面倒なのでいっきに情報セキュリティ構成要素の紹介そして、最後は責任追及性である。ある問題が起こったとき、いつ誰がアクセスししたかをたどることができるようにすること。記録を残すことが大事である。
監視カメラの映像も重要な記録である。この隠し撮りっぽい映像については後で説明する。
そして、まだこれじゃ足りないと2006年にまた追加がされた。それが「否認防止」である。
問題が起きたときに「僕じゃないですけど」と言われないようにすることが必要だ。 責任追及性と似ているが、責任追及性があっての否認防止と考えてもらうとわかりやすい。証拠をだされたらかなわないだろう。 「お前、食べただろう!」「いえ、食べてないです」「うそつけ、口についているじゃないか!」
といったものが情報セキュリティである。これらを守る事で情報を守ることができる。では、これらを守るには実際にどのようにすればいいのだろうか。
|
|||||||||||||
|
| ▲デイリーポータルZトップへ |