TOPセキュリティ > 機密情報は自分から漏れている?OPSEC強化が必須なわけ(中...

セキュリティ

機密情報は自分から漏れている?OPSEC強化が必須なわけ(中)

2019/05/29

Josh Fruhlinger CSO

 企業レベルでOPSECに不備があった場合、国家安全保障上のリスクにはならないかもしれないが、当事者にとってはやはり大惨事となりかねない。OPSECに関して見られる過ちとして、米Digital Guardianのブログ記事の中で起業家のShy Bredewold氏が挙げているのは、慣れや不注意から企業の内部情報が漏れる事例だ。「熱心すぎる社員が投稿に加えたタグによって、公にしていないトレーニング施設の存在が明らかになる。あるいは、奥さんにした話が、うちの夫は来月の新機軸のプロダクトのリリースに向けて重圧を感じている、といった話として投稿される」

 また、ずさんな扱いのパスワードが攻撃で狙われる恐れもある。Webサイトのパスワードはたびたび流出事件が発生し、多数のユーザー名とパスワードの組み合わせが公となっている。ハッカーにとっては、こうしたIDの持ち主の勤務先を調べて、再利用しているパスワードを攻撃に使えないか探るのにうってつけだ。

OPSECのプロセス

 OPSECの手順については、米軍が定めた5段階のプロセスがあり、企業や組織がデータやインフラを精査して防御計画を定めるうえでも参考になる。米SecurityTrailsのブログに平易な解説があるが、ここでも簡単にまとめておこう。

1. クリティカルな情報の特定:敵の手に渡ったら組織に損害が及ぶことになるデータを特定する。顧客情報、財務情報、知的財産など、さまざまなデータが考えられる。

2. 脅威の特定:どのような敵に狙われるかを考える。サイバー犯罪集団からライバル企業まで、さまざまな可能性が考えられる。敵の種類によって標的のデータが異なる場合があることに留意する。

3. 脆弱性の分析:企業や組織のセキュリティ対策で核となるステップの1つだ。綿密なセキュリティ監査を実施して、インフラの弱点を明らかにする。

4. リスクの評価:脅威のレベルを特定する。すなわち、ステップ3で明らかになった脆弱性により、ステップ1で特定した重要なデータが、ステップ2で特定した敵にどのように漏れるのかを明確にする。公になった脆弱性を利用されたらどの程度の損害が生じ得るのかや、そうした攻撃を実際に受ける可能性がどの程度あるのかを割り出す必要がある。

5. 対応計画の策定:ここまでで探った情報に基づき、脆弱性を解消してデータを万全に防御するための計画を策定する。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ