情報漏洩・・・狙い打ちの場合
最近、情報漏洩についての事件や問題が多くなってきた。今に始まった事ではないのだが。。。
対策においては、技術的なものがほとんどである。人的な対策はほとんど見ない。だからこそ、言い続けているのだが。。。
で、分けて考えてみた。対策側と漏れる側だ。
対策側
1.技術的なもの
2.人為的なもの
技術対策は、漏洩対策のソフトやハードウェアなどなど、、、きりがないほどある。
漏れる側
1.悪意なくうっかりミス
2.狙い打ちして持ち出す
どれほどの対策を施しても、この”狙い打ち”されたら、まず回避不可能だろう。
技術的に狙い打ち困難な状況を作り出すことも可能と思うが、そもそも”ある情報”に対して行っているのだから、出来なくもない。
ハイブリット型とでも言うのか?図に書いたとすれば、田の中に4要素を入れれば、出来ていない部分が浮かび上がってくる。それは、人為的に狙い打ちする部分が欠けていること。
この部分を補うには、「人為的に狙い打ちしたくなくなること」を作り出すしなかない。
それ以前に、うっかりでも回避できない状況は多数ある。詳しいことは敢えて書かないが、いくらでもそんなシーンはある。ほとんど物理的な問題になる。
で、人為的に狙い打ちしたくなくなることとは、戦意を失わせること。
人は見られている事に対して、とても敏感だ。コンビニの防犯対策にも”声かけ”がある。こんにちわ!いらっしゃいませ!など、声をかけることで、見ているぞ。。。と表現している。
もちろん、お客様にたいしての礼儀があることは言うまでもないが。。。例えば、万引きをするにも、高価な物でなければ、そのリスクに対するリターンは合わない。10円のうまい棒を万引きするならば。。。合わないだろう。10円の商品でも、1000円の商品でも、万引きには変わらないのだ。
これは情報漏洩の場合でも同じこと。金銭的価値が高ければ、リスクがあっても実行する、戦意が出てくる。金銭的価値が低くとも、企業へのダメージを与えるだけであれば、それほど難しくもない。
戦意を失わせるものの1つに、心理的作用や罰則がある。法律と同じこと。本来は、それ以前の話なのだが、そうでもしないと戦意はなくならない。倫理道徳でOKであれば、一番良いに決まっている。しかし、そうもいかないのが現状だ。
狙い打ちでも、うっかりでも、漏れれば同じ事だが、いずれにおいても心理的作用を最大にする方法を活用することが、有効である。
それでも、100%回避できないのも事実。しかし、戦意を失わせるだけの価値に見合うだけの対策コストを使っていないもの事実だ。
常に狙う側が、優位に立っていることを忘れてはならないのだ。
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。