ブログ

最近の情報セキュリティの中で使われる「無害化」という言葉

2018年3月19日

先日、某病院様へ伺った際に聞かれました。
また、某全国規模の大金融系情報システムセンター様へ伺った際にも同じような話題になりました。

 

｢無害化って何か定義があるのでしょうか？｣と。

 

※以下の内容は、弊社独自の解釈も含まれています。

 

そもそも、情報セキュリティの世界で｢無害化｣っていう言葉を最初に使ったのは…
ネットエージェント株式会社だと思う。

 

弊社でも取り扱って販売し、お客様にご活用をいただいた製品の営業活動の際に使っていたのが最初では無いかと思います。

 

その商品は、
「防人(さきもり)」です。

 

防人は、2012年5月にリリースされた製品でした。
標的型攻撃メール対策の仕組み。

 

余談だが、この頃、フジテレビ系で放送されていた「ほこ×たて」で「最強ハッカー VS 最強セキュリティプログラム」というタイトルでありながら内容は、脆弱性のあるWindows系端末にアクセスして…というなんだか良く判らない形になって、後日談の方でネット上が盛り上がる…という出来事などもありました。

 

さて、話を戻すと、その「防人」は、電子メールの受信経路上にＭＴＡとして導入し、受信するメールに添付された添付ファイルを受信者に届く前に「悪意のあるプログラムを含むことのできるファイル形式」から「内容を確認できる機能しか持たないファイル形式」、つまり、「画像」に変換することにより、標的型攻撃メールを「無害化」する…という製品でした。

 

これは当時とっても画期的で、弊社からご提供したお客様も「無害化」の導入を推進するための手段として選択していただきました。

 

この防人製品を紹介する表現の中で【無害化】を使っていました。

 

※この製品は、今日現在ではネットエージェント社から発売は終了しています。

 

その後、少しの時間が流れて、2016年から2017年の夏までの間は、全国全ての自治体で大規模なネットワークセキュリティ強化が実施されました。

 

この時にもセキュリティの用語として「無害化」が出てきます。

 

しかし、その「無害化」は、色々な仕掛けに対して使われました。
いずれも、セキュリティ強化が目的ではあるのですが。

 

• ｢通信の無害化｣を実現するためネットワークの分離を実施
• ｢標的型メール攻撃の無害化」を実現するため、メールの無害化を実施
• ｢セキュアなセグメントの無害化」を実現するため、ファイルの無害化を実施

が、代表的な「無害化」だと思います。

 

全ての国民に割り当てられた、マイナンバーの情報が漏えいし国民の生活や生命に被害が及ぶような悪用事案が発生しないように、住民情報を運用するLGWAN[総合行政ネットワーク（Local Government Wide Area Network）]を、堅牢に守るためのキーワードでした。

 

その「無害化」を実現するために、多くの仕組みを提供するメーカやベンダーは、限られた時間の中で多様な対策の仕事を実施しました。

 

弊社も、その中でいくつかの自治体様向けの仕事していました。

 

• メールの無害化
  「Active!Zone」＋「DEEP Mail」
  https://goo.gl/WLfCYD
  https://goo.gl/q8NX5p
• ファイルの無害化
  ｢VOTIRO-SDS」
  https://goo.gl/ZDjj1S
  https://goo.gl/ENpPb4

 

このツールを中心にパートナー様とご一緒してきました。

 

残念なのは、色んな仕組みを提供するメーカやベンダーの人たちの中には「総務省が指示する無害化は…」と言いながら、それを好都合に解釈して、”おおよその事ができます”的な、玉虫色の表現を使って「多少違っても予算が厳しいから安価にしましょう」という価格を抑えるのだから、仕組みが劣っても仕方ないでしょ。という論法で提案をしたり、或いは、無害化の求める形すら変えてしまう提案まであったと言います。

 

｢無害化｣は、想定されるセキュリティリスクを「無害」にするものです。
つまり、可能性を「ゼロ」にすることを言います。

 

逆に言うと「ゼロ」にならないのであれば、それは「無害化」とは言えません。

 

“私たちの考える無害化としてご提案しています”というベンダーの言い方は好ましいとは言えません。

 

混乱を招くだけだからです。

 

そして、年は2018年になりました。
2017年度末として、そして、2018年度として、動き始めた訳ですが全国の自治体で実施した「無害化」の考え方は、他の業界へ検討と実施の流れが始まりました。

 

• 教育庁、教育委員会様
• 金融関連様
• 医療医薬関連様

が、中でも早い検討と実施に入られたようです。

 

例えば、2018年1月12日には、九州の大分県教育庁様での入札が行われました。
大分県下の教育庁・教育委員会様では、この春にも仕組みが稼働します。

 

弊社も少しだけご一緒しました。

 

他の都道府県の教育庁・教育委員会様でも、同様の検討が開始されていると思います。
いくつかの県については、弊社もご一緒しております。

 

そして、金融関連では、全国組織の電算センター様向けのお話としていくつか伺っております。

 

こちらについては、「Webアクセスの無害化（分離)」というキーワードも出てきました。

 

さらに、病院系様向けの「無害化」の話題もあり、お声がけをいただいた先へお伺いして、これまでの弊社の事例・実績をご紹介しながら、具体的な無害化の対策とはどういうものか？というご案内をしております。

 

情報セキュリティにおける「無害化」は、ネットワークでの無害化から、電子メール、添付ファイル、電子ファイルの無害化、そして、Webアクセスの無害化とその展開を広げています。

 

弊社では、「Webアクセスの無害化」に対する新製品をご紹介する計画でいますが、これにより、いずれの「無害化」に対しても、より具体的で確実な「無害化」をご提案できるようになります。

 

情報セキュリティの「無害化」は、2018年度のキーワードになる状況です。

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

(Vol.114)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2020、スワットブレインズ　掲載記事の無断転載を禁じます。