エグゼクティブの最大関心事←ネットワークセキュリティ
エグゼクティブの最大関心事はネットワークセキュリティ:ZDNet Japanより
調査結果によると、企業のエグゼクティブの52%が自社ネットワークにおける最重要項目として「ネットワークセキュリティ」を挙げており、統合ネットワークによってITセキュリティの脅威に対し防御力を向上できると考えていることが判明した。
セキュリティの脅威では、49%が「ハッカー」をワースト1に挙げ、ウイルスやワームからの保護が重要としながらも、3分の1は「なりすまし」を最も恐れる脅威のひとつに挙げている。またこの調査により、CSO(Chief Security Officer:最高セキュリティ責任者)」の重要性が注目されていることも判明している。
こんな調査結果があるようだ。世界規模で行われた調査のようで、1つのトレンドかもしれない。
半分ちかくが外部要因であるハッカーをあげているのには興味深いところだ。
確かにあるだろう。最近増えてきたのだろうか?
私の従来の認識と感覚では、半分はないだろう!ってのが正直な感想だ。
脆弱なネットワークが増えたのは、以前よりもネットワークに繋がるコンピュータの母数が増えた分だけの結果であろう。
一方で、以前よりも機器的や技術的にセキュリティが向上もしている。
結果の数字を大目に見ても、やはり半分の外部脅威は大き過ぎるのではないか?
いずれにしても、内外ともにネットワークセキュリティが重要になってきている現れだ。
ここで1つ考えたいことがある。
外部と内部をわけた場合に、ネットワークセキュリティだけの問題でなく通常にあり得る事を考えてもらいたい。
例えば、小売店などの盗難のにおいて外部要因は万引きなどになり、内部要因は従業員になる。航空機などに武器を持ち込む場合にも、外部要因は乗客などになり、内部は運行関係者などになる。また銀行強盗では、マスクを被った強盗が外部になり、行員の不正行為などが内部になる。
昔言われていた事として銀行強盗は、ネットワーク上で行われる事になるだろう・・・なんて話もあった。
外部に対しては結構徹底的に対策をしているものだ。
また、外部から攻撃するにはそれなりの準備やリスクがともなってくるもの。
門扉だけを頑丈にしても、内側で何が行われているのか?正視しなければならない。
逆に内側だけやっても意味がないことは言うまでもない。
まずは考えられることは最低限しなければならないが、想定外(死語かもしれない(笑)な事態でも発生するものであるとの認識を持って考えなければならない。
ルールの決まったゲームであれば、ルールを破ればゲームは成立しない。
ここで言う外部と内部については、ルールがあるのだろうか?
ルールで縛れるものだろうか?
どちらかと言えば、破ってこそ意味のあるルールって感じではなかろうか?
決まり切ったことだけでは対応しきれないってこと言いたい。
意外なことでも発生してしまう現実と、発生した場合の対応が必要になる。
そもそも意外なことはわからない?
それも1つの答えであるが、わからないから仕方ないになるのだろうか?
であれば、それも考えなければならない。
しつこく書いているが、守る側の視点だけで守るから事は発生する。攻撃側の視点にたってものを考えれば、如何に容易く出来ることが多い事かわかるだろう。
だってそれはルール違反じゃ・・・なんて事が通用しない相手なのだから、攻撃防衛を両面から考え抜いて対策案を考えることがもっとも重要である。
先日発生した、機密漏洩などもやり方にもう少し配慮があれば・・・と思ってしまう。
起きてしまった事は起きてしまったこと。だったらせめてその後対応において、やり方はいくらでもあったはず。結果論で言うつもりはない。
どうして犯人が自宅に持ち帰ったとされるデータをぶっ壊す事が出来るのだろうか?
それなりの時間を与えてしまった結果ではなかろうか?
フリーズ!してしまえば、こんな事は起きなかっただろう。
もしも、自分がやっちゃった側だった場合なら、どんな行動を起こすだろうか?
容易に答えは出てくるはずだ。
あらゆる局面を考えても、想定外の事は発生する。
ほとんど発生しない事でも、発生した場合の損害が大きければ対策しなければならない。
決して青天井にコストを使う事もないのだ。
ポイントとなるところだけに集中すればいいのだ。
どれだけ内側からのがやりやすい環境にあるのか?実際にやらなくとも自分が実行した場合にどれだけ容易く出来るのか?今一度考えてみればわかるだろう。
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。