情報漏洩の人的対策:その1
大日本印刷の漏洩事件は、従来あった情報漏洩の歴史を変えるだろう。
私は未だに性善説が好きである。セキュリティにおいて性悪説で考えるのも1つの考え方として有効な方法であるが、そんなに悪い人ばかりが多いのだろうか?
一部の悪い人だけで、全部が性悪説で考えるのはどうなのだろうか?
しかし現実問題として、一部であってもその一部が及ぼす影響を今回の事件で目の当たりにしたもの事実だ。
そもそも二元的な性善と性悪だけで考えるところに無理はないだろうか?
良いか悪いかの2つで考えた方が、わかりやすく見えやすいから2つの両極端な思考で考えてしまうもの。
性善と性悪の考え方なんかよりも、もっと重要なことがある。
それは如何に事故を起こさないか。起きてしまっても被害を小さく出来るかだ。
何も起きないことに越したことはない。しかし何かのトリガーで起きることは起きるものである!という考え方がとても重要なことであり、現実でもある。
では、どうすれば良いのだろうか?
経営学において有名な言葉がある。組織は戦略に従う・戦略は組織に従う。
では、戦略の部分を人に置き換えたらどうなるだろうか?
組織は人に従う?・人は組織に従う?なんかしっくりこない日本語になっている。
人は組織に従うは日本語としてはOKだ。組織は人に従うは、なんとも言えない日本語になっている。いずれも正しいのかどうか疑問?な部分も含んでいるように思える。
あくまでも文字遊びのような話で、日本語として変な気もするが、文字遊びだけでは済まない意味を含んでいそうだ。
よくある方法としては監視を行うことである。しかしそれも完璧ではないのだ。
勿論やらないよりも良いかもしれないが、コストパフォーマンスに見合うか疑問である。色んな方法を組み合わせれば有効になる場合もある。これもTPOにあわせて条件も方法も変わってくる。
例えば、弱点になりそうなものは見せたくないもの。
エロ本に例えるのは、適切な表現ではないかもしれないが、見えないから見たくなるものは人間の本性だろう。
だったら、すべてをガラス張りにして見せて、ちゃんと考えるようにすることが有効策の1つであると私は考える。
イケナイことをしっかりと周知し、それでも危険と引き替えした場合の自分に降りかかるリスクを認識すること、させること。
必ず何かをする場合、例えばモノを買う場合でも比較をするはず。
情報漏洩において引き替えにするのは、犯す危険と報酬のバランスになる。悪意を持っている場合。
現在の法整備の問題にも影響してくるだろう。情報漏洩罪がまだ検討中だからだ。情報を盗むことの罪が今は明確に決まっていない。情報の書かれた紙を盗んだとか、データの入ったメディア媒体を盗んだとか、電気の窃盗などなど・・・中身に付いての刑事罰がない。それと引き替えに、報酬が大きいことが原因になっているのだろう。
人間がうっかりしたときや悪意を抱いてしまった時に事は発生してしまう。
なので徹底的に対策側と攻撃側の立場になり、シミュレーションを行う事である。
同じ人が対策側と攻撃側の両面を徹底的に考えることで、その組織にあった最善の策が見えてくるのである。
ほとんどの場合は、対策側だけの視点でしか見ていない。だから弱点が見えないのである。守りたい側の考え方も十分にわかるが、それだけでは効果的ではない。
本当に攻撃する訳でなく、疑似体験や避難訓練のようにシミュレーションすることで見えてくるものや得るモノは大きい。
色んな視点で見ることがもっとも有効な人的対策の1つである。
全部を知ることで、自分以外の人も対策と攻撃の両面を知ることになるので、これ以上の抑止はない。
すべてを知らなくとも、隠しても・・・
インターネットなどでいくらでも情報や手法を知ることができるのだから、両方を知り体験することで機能するものは大きく、最大の牽制機能が働く事になる。
あり得ない事まで考えないと、本当の情報セキュリティ対策にはならないのである。
監視一辺倒の対策よりは、意識向上も含めてもっとも有効な1つの策である。
新倉茂彦
最新記事 by 新倉茂彦 (全て見る)
- 【共通用語】パスワードを電話で伝える時に間違えない方法 - 2020/12/03
- 【国勢調査2020】調査員支給のバッグがフリマに←総務省は注意喚起? - 2020/09/15
- 【国勢調査2020】騙されないために最低限守るべき注意3ヶ条(前回2015年) - 2020/08/05
45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ
■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。
■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。