妄想! 情報クリーンルーム

no extension

またも思いつきで記事を書いてしまうが, 以下を読んで連想したのが「情報クリーンルーム」という言葉だ。

ずいぶん昔に聞いた話なので今は違うかもしれないけど, クリーンルームにはいくつかのレベルがあるらしい。 私は一番低いレベルのクリーンルームにしか入ったことがないけど, これは防塵服を着て(変な帽子も被ってマスクもする)2重扉の間でエアシャワーを浴びてやっと入れるというもの。 トイレに行くのにも(手順をやり直さなければならないので)エラい大変だった覚えがある。 機材の搬入とかのチェックも厳しかった。 一番厳密なクリーンルームは人の出入りを絶対的に禁止する。 作業は別の部屋(もっと低レベルのクリーンルーム)で遠隔操作によって行う(もしくは遠隔操作もなくて完全な自動運転)らしい。

今の情報セキュリティもこのクリーンルームの発想に近い。 より厳密な情報管理が求められるほど, そしてその要求にアーキテクチャが応えれば応えるほど「人」の存在がネックになる。 完全にセキュアな環境とはすなわち「人」が存在しない環境なのである。

まず「外部」との接点によって環境の汚染度を定量的に評価し, 汚染度によってドメインを分ける。

インターネットに接続できるドメインは最も汚染度が高い。 このドメインを他のドメインから物理的に切り離さなければならないだろう。 もちろんこのドメインに機密情報を永続的に置くことは許されない。 おそらくこのドメインに置かれる端末は定期的に(OS レベルで)再インストールする必要がある (もしくは完全にディスクレスで動作しシャットダウンによって機密情報もメモリから消えるようにするとか)。 「外部」との間で行う情報の持ち出し/持ち込みはこのドメイン以外では禁止する。 もちろん私物パソコン(ケータイ・PDA を含む)を持ち込んだり家に帰って仕事をするなどもってのほかである。

次に汚染度が高いのは「人」が機密情報にアクセスできるドメイン。 普段の仕事はこのドメインで行う。 このドメインでは機密情報に「ファイル」の形でアクセスできる。 ただしアクセスの前に必ずチェックアウト手続きを行う。 この手続きによって誰がいつどの情報にアクセスしたか管理者側が把握できるようにする。 もちろん使い終わった情報はチェックイン手続きによって結果(複製や配布情報も含めて)を報告する。 情報の検疫もチェックイン手続きで行う。 先ほどのインターネットに接続できるドメインとは物理的に切り離されていることが重要。 これによってネットではなく「人」の出入りを監視することで機密性を高めることができる。 当然ウソをつく「人」にはペナルティを与え, このドメインへのアクセス権を剥奪する。 また情報の機密性に応じてこのドメインを更に細分化することもできるだろう。

もっとも汚染度が低いのは「人」が情報に直接アクセスできないドメイン。 「人」は検索用の端末から必要最小限のサマリを「閲覧」できるだけ。 作業はソフトウェアによって自動化される。

とまぁ妄想を繰り広げてみたけど, 情報セキュリティに本気で取り組んでるとか豪語する大手の企業や組織は当然この程度(もしくはそれ以上)のことはやっているに違いない (って真に受けないでね。 リスクは常に全体で最小になるように再配分されなければならない。 「人」を除外(=外部化)したために全体のリスクが引き上げられるのなら, その方法は失敗なのである)