半沢直樹で学ぶセキュリティ : Part3 クラウド上の隠し部屋を検知する
大人気ドラマ「半沢直樹」で描かれる、様々な情報を巡る攻防を題材に、企業のセキュリテイについて学ぶ本シリーズ。今回はフォックスの買収計画書が保管されている、「クラウド上に作られた隠し部屋」について考察したい。
■黒崎に見つかった「隠し部屋」へのアクセス方法
証券取引等監視委員会の黒崎駿一が東京セントラル証券に乗り込み、半沢達が握っているフォックス買収計画書を探し出そうとしていた。だが、買収計画書は極限られた人間しか知らない「クラウド上に作られた隠し部屋」に保管されている。アクセス方法を知らなければ、アクセスすることすら出来ないはずだ。しかし、黒崎の手には「クラウド上に作られた隠し部屋」にアクセスするためのメモが握られていた。
これが、黒崎が手にしていたメモの内容。隠し部屋と呼ばれるだけあって、斬新な方法で隠されていた。
■まさかのドラクエ方式で現れる隠し部屋
フォルダの奥深くに進み「下条システム」という何ら関係のないフォルダの下にその隠し部屋は存在する。そして、下条システムのフォルダに辿り着いたら、ゴミ箱アイコンの下に2cm進み、そこから右に2cm進んで空白地を五回クリックするという、まさかのドラクエ方式で「隠し部屋」への道が開かれるという仕掛け。
筆者の想像していた「クラウド上の隠し場所」とは全然違う、想像の斜め上を行く保管方法だった。
■現実社会での、クラウド上の隠し部屋 = シャドーIT
このシーンは本作において筆者がもっとも衝撃を受けたシーンであった。ドラマの演出としては面白いが、そもそもマウスカーソル合わせれば、ハイパーリンクを検出してマウスカーソルが反応するだろうし、隠し部屋の存在は知られているわけだから、ソースコード程度は調べられる可能性は十分にあるので、比較的簡単にバレてしまうだろう。隠蔽効果は低い気がするが、ドラクエ世代の筆者としては、この隠し方は大好きだ。
話を現実社会に戻そう。非常にユニークな仕組みで構成された「クラウド上の隠し部屋」だが、現実社会ではより検出しづらい方法で、隠されるのが一般的だ。
現実社会ではクラウドサービスの利用は既に当たり前となっており、企業が認めていない「シャドーIT」と呼ばれるクラウドサービスが蔓延している。1企業あたり平均して約2000個前後のクラウドサービスが利用されており、金融機関であっても1000個程度は利用されている。これらのうち情報システムが正式に認めているクラウドサービス数は多くて100個程度あり、それ以外のクラウドサービスは企業が認識していない、シャドーITということになる。
そして、これらのシャドーITの中には「クラウド上の保管庫」であるクラウドストレージが1企業あたり20~50個前後検出されるのが、現代社会の実情である。現実社会において「クラウド上に作られた隠し部屋を検出する」という行為は、このシャドーITを可視化することが該当するだろう。
■ProxyのURLフィルターではクラウドへの情報漏えいは防げない
では、なぜこれほど多くのクラウドサービスが社内で利用されているのだろうか?IT担当者ならこう思うだろう「この記事は誇張されている。うちはProxyのURLフィルタリングをしているから大丈夫」と。
残念ながら、Proxyで実装されているURLフィルタリングはもともとインターネットが自由だった時代の産物だ。昔のインターネットは現代よりもアンダーグラウンドな雰囲気を持っており、有害なアダルトサイトや武器の製造方法、違法コンテンツ等が溢れていた。こういったインターネットにアップロードされている有害なコンテンツを会社からアクセスさせないという「ダウンロード制限」の目的と、掲示板等への書き込みの証跡を取るという目的で企業で採用が進んだ。
ProxyはWebサイトへのダウンロード、アップロードを制限するという目的で開発が進んだため、日々誕生するクラウドサービスには追随出来ていない実情がある。だから、ProxyのURLフィルタリングで「オンラインストレージ」等でアクセスを禁止していたとしても、メジャーなクラウドストレージはブロック出来てもマイナーなクラウドストレージはURLフィルタリングに含まれておらず、Proxyを素通りしてしまうため、止めてると思っていたクラウドサービスが社内に蔓延する状態となっている。
■クラウドへの情報漏えい対策として開発されたCASB
Proxyではクラウドサービスへの情報漏えいが十分では無いという認識が拡がり、近年導入が進んでいるのがCASBと呼ばれるソリューションだ。
CASBはProxyのアクセスログを分析し、企業内で利用されているクラウドサービスの利用状況を可視化する。現代社会の「クラウド上の隠し部屋」であるクラウドストレージもCASBを導入すれば検出出来るようになる。
CASBもProxyと同じようなURLフィルタリング用のカテゴリを保持しているが、CASBはクラウドサービスへの情報漏えいを防ぐという観点でのカテゴリを保持しているので「翻訳サービス」や「オンラインビデオ会議」「ビジネスチャット」といった、ファイル共有機能を含んだサービスを対象としたカテゴリが豊富に用意されている。反対にアダルトサイトの有害コンテンツを規制するようなカテゴリは少ない。
■クラウド上の隠し部屋、存在しないと言い切れますか?
もし、黒崎の入手した「クラウド上の隠し部屋」がカモフラージュで、本物のデータが半沢しか知らないシャドーIT上のクラウドストレージに保存されており、CASBが導入されていなかったとしたら、きっとクラウドストレージそのものが検出されなかっただろう。だがきっと、この設定だとリアルだが、ドラマとして成立しなかったに違いない。
ドラクエ方式の「隠し部屋」は筆者はまだ見たことが無いが、どんな企業であってもクラウド上の保管庫である「クラウドストレージ」は普通に蔓延してしまっているのが実態だ。
「クラウド上の隠し部屋なんて、うちの会社には無いよ」と決めつけず、一度存在を疑ってみることを推奨する。