映画のようにオタクは企業や団体の内部データをハックできない


ドラマや、映画で
コンピュータオタク(ナード)が、
誰でも簡単にハックして内部データを見ていますが

あれはありえないです。

ハックにより、企業が漏洩してしまうパターンはふたつ

・Webサービスなど公開しているサーバに対して
技術のバグや、使う人のミスで 侵入されてしまうケース。
・外部から見えるところにわざわざ置いているケース。

サーバは色々な最新技術で動いていますが、
まだ、悪意のある対策について弱いところがあるため
暴走してアクセスを許すこともありますが、
だいぶ安定してきました。

S社やB社、政府などが漏洩している場合は、
そもそも外から見えるところにおいているのが問題です。

この問題の難しいところは見えづらいところです。
情報というのはそれが流れているところに見に行かないと見えないので
わかりずらいという難しさがあります。
例えば、日本全国で 東京にいたまま、
九州の変化っていうのはわかりませんよね。
ITのシステムでも、チェックポイントを作って
流れている情報をいちいち見なければわからないので、
気づきにくいのです。

だから、出入り口のところに検問を作って、
宛先や用途を確認し、あっていないところは弾くようになっています。

そのため、中に入り込み、更にデータなどを取ってくるのは無理なんです。

踏み台にされたり、パスワードが漏洩しているのは
表側のミスであり、裏までは覗かれていません。

ファイルなどが漏れているのは、たいてい
外から見えるところに生のまま置いているから問題なのです。
銀行通帳を鉢植えのあたりにおいてあるようなものです。
システムのセキュリティではなく、人の問題。

ただ上の例のように表に出している情報
Webサービスで読み取れるクレジットカード情報は
外から見られるようになっているため、
使う側も一緒に注意しないと
漏洩する可能性があります。
(銀行を使う技術があっても、
自分が他の人に騙されておろしてしまったり振り込んだら
被害になりますよね。そういうようなことです)

現在は暗号化しその仕組やキーを頻繁に変えることで
高度なセキュリティを保っています。

あとは内部の犯行です。
いくら持ち出せないようにしていても
内部の人が持ち出したり、スパイになられてしまっては
ひとたまりもありません。

スパイになってもらうには相当な信頼関係が必要だと思いますが
そういう手間をかけて対応するのです。
アメリカがイラクにドライブのファームウェアを書き換え、
高速スピンによりドライブを壊しまくりました。
結局、イラクは手を上げ査察を受け入れました。
また昔のように仲良くなったようですが。

スパイまですると、
1000万円ぐらいでは割に合いませんね。

マイナンバーでも内部と外部のデータをわけましょうと推奨しているのは
そういうわけです。

難しかったら物理的に遮断すれば、
あとは内部犯行以外ありえませんからね。

また、流出するときによくあるケースは
ウエブサイトやメールウイルスなどです。

業務中に引っかかるのは良くないですが
100%防ぐのはかなり難しいと思います。

ただ外部につながるサイトに、顧客の情報を載せているマシンがあるというのが問題です。
さらに普通、プライバシー的に簡単に大量のデータが読み取れるようにはしないのが筋です。

この3重網を突破すれば、もう外に出てしまいます。

コメントを残す

メールアドレスが公開されることはありません。