情報セキュリティの考え方が「間違っている」ケース(その1)

新年あけましておめでとうございます。本年もどうぞよろしくお願い申し上げます。

ブログの更新が滞っておりました。。。

昨年も「情報セキュリティ事故」が多くありましたが、どうもちょっと違うなぁ・・・と思うところがあります。

例えば、個人情報漏洩の場合、その対策を考えなければならないのですが、情報セキュリティの「どの部分」なのか。。。技術的対策、人的対策、環境的対策・・・実務に沿った対応をしなければ、対策もクソもありません。

情報セキュリティの中に、上記の様々な要素が含まれているのですが、技術的対策に偏っている感が相当あります。技術的な問題だけで発生したことであれば、もちろんそれで十分ですし、それしかありませんが、それでも人的なミスも含まれていることがあります。

技術的問題 人的問題
社内 設定、管理、無知等のミス マネジメント、なれ合い等の内部よがり思考
社外 外部からの攻撃等 ←同じような攻撃に耐えられる弱点の認知

 

とりあえず別けても、これだけあります。もっと詳細に別けなければなりませんが、大方このどこかに入るでしょう。発生した問題によっては、左右のどちらかだけというケースもあるとおもいますが、左よりの技術的に偏っています。技術的問題で見えてきたものは、人的問題に置き換えても考えられる問題ですが、技術と人を別けて考えている以上、それらは別物になってしまいます。

ベネッセの漏洩事件は、完全に人的なマネジメント、ルール等の問題ですが、ニュースなどを見ていると持ち出しに使用したスマホの問題になっています。スマホは情報を持ち出すための「単なる手段」に過ぎませんが、接続しても認識しない等・・・の対策を考えるのは、どうなのでしょうか? もちろん「それ」も必要ですが、ある程度の情報を扱う企業の場合、そもそもスマホを持ち込ませない等の対策を最低限しています。持ち込めなければ、入れ物がなくなる訳なので、他の方法を考えない限り「大量のデータ」を持ち出すことは難しいはずです。

しかし、物理的な方法よりも、技術的方法を考えているところに、情報セキュリティ対策の危うさがプンプンしてます。出来なくさせる方法はいくらでもある中、偏った思考で対策されたものは・・・情報セキュリティ以前の話です。

上記のケースで言えば、物理的対策を行い、更に技術的な対策をする二段構えであれば十分と思います。その二段構えの一段飛びでは、どこまで意味があるのだろうか?と・・・

基本的な考え方が最も重要なのですが、目先の問題だけにとらわれ、肝心な部分を見落としているケースが多くあります。対策を行うにしても、どの立ち位置から何を見据えるか?によって、風景は変わります。対策を行う側のマネジメントが間違っていれば、事故は必ず起きますし、起きてしまった事故に対して対策を行っても、更に大きな問題が起きるのは経験上目に見えています。一方通行の逆走をイメージした思考をもたない限り、背中の風景は見えません。ベネッセの顧客情報漏洩に思う「大きな勘違い」

攻撃側の視点を持たなければ、弱点は発見出来ません。今一度、情報セキュリティの考え方について、考え直してみませんか?

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る:情報セキュリティ研修

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。