守るべきコアな情報とは

 サービスのデータにしても,コアにあるノウハウは商品の場合と同じだろう。(理想的には)どんな企業活動も組織活動も,中核にはその組織のミッションに直接かかわる,ある種のノウハウが存在するはずだ。そのノウハウこそ活動のコアであり,コアはやはりキッチリと守るべきである。

 しかし逆に言えば,そのコア以外の部分は,それほどに目くじら立てる必要はないのではないだろうか。コア以外の情報もひっくるめて,「全部守らなければいけない!」というスタンスがけっこう多いように思える。

 経営系のデータについては言えば,例えば事業計画とか投資計画などというのは,株価にそれなりに影響はするだろう。ほかにも,経営陣の人事計画や,会社全体の人員計画など,このあたりの情報は株価に関係する要素がある。こうした情報が,非公開の間に株取引関連の人々に漏洩すると,直接金銭的な価値につながる。

 しかし,こうした情報を知り得る立場にいる人間が直接株取引を行うと,インサイダ取引になる場合が多いはずだ。そのリスクを避けるためには売ることだろうが,売るということは自社や自組織の利益を損なったり損害を与える可能性もある。よほど切羽詰っていなければ,当事者はそんなことはしないだろう。

 ただ,この種の情報は実は入手のハードルが思ったよりも低い場合が多い。偏見だと言われるかもしれないが,経営系データにタッチできる人たちは,情報セキュリティ・リスクについて正しい認識を抱いていないことがけっこう多いのではないだろうか。それでも,さすがに社内や組織内にいったんアクセスできないと,情報の入手は困難であろう。外部の人間にとっては依然ハードルは高い。

情報インフラデータはどうか

 このほかに特記すべき情報としては,情報インフラ関連のデータがあるだろう。例えばLANの設定情報や,ファイアウォールのポリシーなどの情報である。これの情報は,物理的なインフラ(ビルやフロアなど)と異なり,リスクが分かりにくい。リスクが分かりにくいということは,利用価値次第で重大な問題に発展する可能性があるのにもかかわらず,低レベルの管理しか行われていない可能性がある,ということでもある。しかし,この情報の利用価値はあるのだろうか。

 金銭に交換することは難しいだろう。研究開発データやビジネスのコアデータに接触するための一次情報としてなら,売れる可能性は皆無ではない。しかし,直接的な売買はアシがつきやすく,売る側の期待値に比べて,リスクを犯すほどの高値での買取は期待できないのではないだろうか。

 盗む側にとってみれば,サーバーがファイアウォールによってフィルタされるセグメントに存在するなど,あまり穴の無いネットワークになっていたとしたら,サーバーへのアクセス・ポリシーが分かったとしても情報を簡単には盗み出せない。不正侵入検知ツール(IDS)が仕込まれていて,素直に攻撃コードを送信したらバレてしまうような構成になっていると,

  • ファイアウォールのフィルタを潜り抜ける方法
  • サーバーに侵入する方法
  • IDSに気づかれない方法
がそろって初めて情報に接触できるようになる。このためにインフラの情報を利用するといっても,結局どこかではトライアル&エラー的な侵入行為を行わなければならないと考えるのが妥当だろう。当然,リスクは高くなる。

 すべての障壁において,管理者権限を持つIDとパスワードが分かるのなら,それなりに売れる情報にはなるだろう。が,それ以下なら,市場価値はそれなりで,売り買いのネタとして取り扱うことでのリスクは研究開発情報の場合とそれほど変わらない(=高い),ということになってしまう。

園田 道夫 Michio Sonoda

筆者は情報処理推進機構(IPA)の脆弱性分析ラボ研究員,および日本ネットワークセキュリティ協会(JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ,セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/),極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)にて連続的に読み物掲載中。