セキュリティ事件が発生すると対策が問題になりますが、なかにはあまり意味のない対策もあります。
パスワードを別送
メールに暗号化されたファイルが添付されていることがあります。
問題は、そのパスワードです。同じメールの本文にパスワードを書いて送ってくる人は、何を考えているのでしょうか?
よくあるのは、パスワードを別のメールで送ってくる人です。これもほとんど意味がありません。ITProでも実験していました。
10の疑問を試して解明 セキュリティ大実験室 – パスワードの別送に意味はある?:ITpro
この実験では、ネットワークをキャプチャしています。通信を傍受された場合、パスワードの別送は意味がありません。
その他にも、メールアドレスを間違え、関係のない人に機密ファイルを送るというセキュリティ事故があります。人間が送るメールなので、完全に防ぐことは難しいミスです。
添付ファイルの暗号化はこのミスに対する有効な対策です。しかし、パスワードを同じメールの本文に書いたり、同じメールアドレスにパスワードを別送しては意味がありません。
パスワードを送る前にメールアドレスの間違えに気づけば事故を防げますが、多くの場合、同じメールアドレスに続けて送っています。
容易にパスワードを類推できるヒントをメール本文に書くことも同じです。
パスワードはメール以外の方法で連絡しなければ意味がありません。
パスワードの定期変更
パスワードの定期変更が意味があるかどうかは、以前から議論になっています。しかし、逆効果になるという意見が有力です。
News & Trend – 「パスワードの強制定期変更」は時代遅れ、企業に再考促す:ITpro
パスワードの定期変更を義務付けると、どうしても覚えやすいパスワードになりがちです。
複数のサービスでのパスワード流用も起こりがちです。
しかも規則的な変更になります。すると一度パスワードを知られてしまうと、以降のパスワードも類推されます。
パスワードの定期変更では、パスワードの漏えいから定期変更するまでのセキュリティ事件を防げません。通常はパスワード漏えい直後にセキュリティ事件は起きます。
以上の理由から、パスワードの定期変更は、セキュリティ対策としてあまり意味がなく、逆効果になる可能性があると言えます。
USBをふさぐ
USBメモリなどで情報を持ち出す事件があると、物理的にUSBの接続口をふさぐことがしばしば行われます。
この対策で、USBメモリ等を使ってデータを盗み出すことは防げます。
しかし、それだけでは不十分です。犯人はUSBが使えたから使っただけで、他の手段が使えれば、それを使います。つまりすべての電子媒体を使えなくしなければ意味がありません。
現在のコンピュータは外部とデータ交換を一切せずに使うことはまれです。何らかの形で外部とデータ交換をするコンピュータがほとんどです。
そのデータ交換は、ネットワーク経由か電子媒体で行われます。高い機密性を要求されるデータを扱うコンピュータシステムは、外部とネットワーク接続しません。そうするとデータ交換は電子媒体で行うことになります。
その電子媒体の使用を禁止しては、システムとしてなりたたなくなります。
USBの接続口をふさげるコンピュータは、ネットワークで他のコンピュータとつながっているはずです。ネットワーク経由での情報漏えい対策の方が、USBの接続口をふさぐよりも、より重要です。
