torum

主に開発中のアプリにまつわる技術系の事。

「医療・警察関係でFAXがなくならない理由」の勝手な補足

たまたま、

“FAX全廃議論”で再考する、ITリテラシーと信頼関係の問題:小寺信良のIT大作戦(1/2 ページ) - ITmedia NEWS

という記事を読んでいたら、「セキュリティ」について、根本的に誤解しているような内容が見受けられたので、筆ならぬキーボードをたたいてみました。

 

 民事裁判手続きや警察など機密性の高い情報を扱う省庁では、メールに切り替えると「セキュリティを確保する新システムが必要」との理由からだそうだ。

[...] 

  じゃあ逆にFAXがそれほどセキュアなのか、という問題もまたある。全員のデスクにFAX機があるわけでもなく、多くは部署ごと、あるいはフロアごとに2台とか3台共有している程度で、送信文書の取り忘れやら、届いたFAXの放置やら、無関係の部署の人間やFAX配布係の外部委託者が内容見まくりで、セキュリティ的には結構ズルズルだったはずだ。

[...] 

  行政のお手本たる国が「大事な要件はまだまだFAX」は、どう考えても時代遅れであろう。

 

この筆者の理屈は、FAXだってセキュアじゃないからメールなどでも構わないだろう、という論理ですね。FAXだと近くにいる人にチラ見されるからセキュアじゃない、という物凄く「セキュリティ」について、短絡的に考えすぎている、と言えます。というか、それ「情報セキュリティ」の内の「コンフィデンシャルァリティ」という極一部の話しにしか過ぎないですから、と。

警察や医療関係など機密性の高い情報を扱う所でなぜFAXが使われているのか、という点にいては、

医療・警察関係でFAXがなくならないのには理由がある FAX全廃がもたらすセキュリティ欠陥(山田敏弘) - 個人 - Yahoo!ニュース

が良くまとまっていました。

つまり、外部からの侵入を防ぐ為に、機密情報を扱うシステムは、インターネットなどの外部ネットワークとは物理的にネットワークを切り離している、という事です。外部のインターネットなどに接続したネットワークは、悪意のある部外者から368日24時間、攻撃の端緒を探してアクセスを受けている、というのは紛れもない事実なのです。攻撃が成功してしまったら、情報が外部に漏れるだけでなく、システムとネットワークが乗っ取られる、ということです。

外部からだけでなく、元々、医療機関などでも、看護師などが、患者の電子カルテを覗き見して、SNSで晒したり、USBでデータをコピーして外部へ流出させたり、と言った問題が多発してきたので、USBをそもそも使えなくしたりなどして、物理的にガードしている訳です。不可能ではありませんが、飛躍的にその可能性を低下させる訳です。

なので、外部ネットワークから電子的アクセス手段を切り離す、というのが最大の防御方法である事は確かなのです。FAXでもチラ見されるからセキュアじゃないじゃん、という次元のレベルの話しでは決してないのです。しかし、その利点の裏返しは、インターネットに繋がらないので、不便、というものです。

だから、FAXなどのやり取りが残るし、メールでやり取りしても、外とつなぐネットワークと内のネットワークが切り離されているので、電子的データで直接やり取り出来ませんから、手入力で打ち直しなどが起きるのです。

これを解決する方法とは、外部から侵入され乗っ取られる可能性を飛躍的に増大すること、と完全にセットになります。他の方法はありえません。

なので、FAXだってセキュアじゃないじゃん、言い訳すんな、という非難はテクノロジーを理解していないが故の、言いがかりに過ぎない、と言えます。

はてなのブックマークのコメントなどを読むと、そういうテクノロジーを理解していない層の、政治的動機に基づくものかなんなのか、幼稚なコメントが多くて、ひっくり返りそうになったので、晒しておきますね。

[B! セキュリティ] 医療・警察関係でFAXがなくならないのには理由がある FAX全廃がもたらすセキュリティ欠陥(山田敏弘) - 個人 - Yahoo!ニュース

 

結論としては、意味のないFAX等の利用は廃止していくのが良いでしょうが、FAXなどを必要とする警察・医療機関とのやりとりが残っている官公庁の部署などでは、一律廃止は難しいだろう、という事です。「セキュリティを確保する新システムが必要」とは言いますが、既存のテクノロジーでそんなものは存在しないからです。

補足1:知らない人も多いだろうから補足しておきますが、アメリカを始めとして海外ではどうなのかというと、色々な分野で外部からの攻撃にやられっ放しです。日本で医療機関や警察などでランサムウェアの攻撃の被害を受けていないのは、こういうネットワーク切り離し、という対策が一定の効果を上げてきた、という事でしょう。 

補足2:医療や警察機関のように、機敏に触れる内容を扱うシステムはネットワークを切り離す不便さを補うほどの機密性があるから、わざわざそうする訳ですが、不動産業のように、命に関わる訳でもなく、単なる物件情報をあつかう業種でFAXでなければいけない理由はありませんので、そういう所でFAXを使っているのはまったくの別問題です。

補足3:機密を扱うネットワークを外部から切り離したとしても、100%安全という訳ではありません。システムを運用する以上、例えばシステムの更新をする必要がありますが、その更新情報に紛れてマルウェアがやってくる事もあり得ます。サプライチェーン攻撃という非常に高度な洗練された手法ですが、SolarWindsの事件はまさにそれでした。