知らないと、ソーシャル・・・・というサービスを作る技術のことかなと思ってしまいますね。
セキュリティ担当者の方ならご存知でしょう。昔から機密漏洩の常套手段として用いられてきた手段です。
手間をかけて、サーバに侵入するよりも、担当者の上司のふりをして聞き出してしまうほうがずっと簡単なのです。
ソーシャルエンジニアリングって
Wikipediaによると、
「ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。」
よく知られているものでは、フィッシングがその代表です。少々逸脱しますが、振り込め詐欺もその一種といえますね。セキュリティ担当者なら、その知識もあり、十分用心しているでしょうが、一般社員はどうでしょうか?間違って、ID/パスワードを教えてしまう社員がいないと断言できますか?
ソーシャルエンジニアリングへの対策は?
ログだけでは、これを防止できないのは明らかです。社内からしかアクセスできないようにしていても、内部者が絡めば、止めることはできません。ではどうすればよいでしょうか?
認証を物理的に
パスワードだから盗まれるという発想で、認証については、指紋認証などの、物理認証を使う方法もあります。これは確かに効果的です。しかし、このような手を使う相手は、対策を研究してくるので、さまざまな回避方法を使ってきます。
内部者であれば、自分の仕業とわからないように、他の人の情報を盗んだり、ログオフしないまま席をはずしたら、そこでアクセスしてしたりして、他人のふりをするのは比較的容易です。物理的な方法だけでは、隙があることを意識しておくべきです。
知識を蓄える
あらかじめ常套手段を調べておいて、引っかからないようにするのはとても良い方法です。
管理者であれば、当然やっておくべきことでしょう。一般社員への周知は難しいので、別途対策が望まれます。
何が重要か?
対策の前に、なにが大切なのかを考えましょう。管理者と異なり、サーバを管理しない一般社員は、アクセスできるデータが守れることが重要ではないでしょうか?このデータが守れることに対しては、対策が可能です。
機密情報を盗み出してそれを利用しようとしても、それが見えなければ価値がありません。
ファイルを盗まれた、それを復号する認証情報も盗まれた。そんなときでも、それがわかったら、それ以降ファイルを見ることができなくする技術があります。それが情報漏洩対策ソフト「トランセーファー PRO」のデータ保護です。
単なるファイル暗号化では、認証が通ったら、元のファイルを得ることができるので、もう止めるすべがありません。しかし、データ保護なら、一度認証を通っても元のファイルを得ることはできないため、次回表示させるときは、再度認証しなければなりません。漏洩が見つかってからでも、情報を止められるのです。これが大きな違いです。
もちろん完全なシステムというのは存在しません。あの手この手を使って、試みるでしょう。しかし、データを盗もうとする人も、人間ですから、対策の甘いところと、そうでないところがあれば、対策の甘いところを狙うのは当然です。簡単な漏洩手段がないこと。これが、一番大事なことです。
■まとめ
- ソーシャルエンジニアリングとは、心理的な隙や行動のミスにつけ込んで秘密情報を入手する方法。
- ソーシャルエンジニアリングに対処するには、あらかじめ手口を知っておく。一般社員に対しては、認証を物理的に行い、更に、情報漏洩対策ソフト「トランセーファー PRO」でデータを守っておくと、事後対処も可能になるので、安心。