情報漏洩・・・狙い打ちの場合

最近、情報漏洩についての事件や問題が多くなってきた。今に始まった事ではないのだが。。。

対策においては、技術的なものがほとんどである。人的な対策はほとんど見ない。だからこそ、言い続けているのだが。。。

で、分けて考えてみた。対策側と漏れる側だ。

対策側

1.技術的なもの

2.人為的なもの

技術対策は、漏洩対策のソフトやハードウェアなどなど、、、きりがないほどある。

漏れる側

1.悪意なくうっかりミス

2.狙い打ちして持ち出す

どれほどの対策を施しても、この”狙い打ち”されたら、まず回避不可能だろう。

技術的に狙い打ち困難な状況を作り出すことも可能と思うが、そもそも”ある情報”に対して行っているのだから、出来なくもない。

ハイブリット型とでも言うのか?図に書いたとすれば、田の中に4要素を入れれば、出来ていない部分が浮かび上がってくる。それは、人為的に狙い打ちする部分が欠けていること。

この部分を補うには、「人為的に狙い打ちしたくなくなること」を作り出すしなかない。

それ以前に、うっかりでも回避できない状況は多数ある。詳しいことは敢えて書かないが、いくらでもそんなシーンはある。ほとんど物理的な問題になる。

で、人為的に狙い打ちしたくなくなることとは、戦意を失わせること。

人は見られている事に対して、とても敏感だ。コンビニの防犯対策にも”声かけ”がある。こんにちわ!いらっしゃいませ!など、声をかけることで、見ているぞ。。。と表現している。

もちろん、お客様にたいしての礼儀があることは言うまでもないが。。。例えば、万引きをするにも、高価な物でなければ、そのリスクに対するリターンは合わない。10円のうまい棒を万引きするならば。。。合わないだろう。10円の商品でも、1000円の商品でも、万引きには変わらないのだ。

これは情報漏洩の場合でも同じこと。金銭的価値が高ければ、リスクがあっても実行する、戦意が出てくる。金銭的価値が低くとも、企業へのダメージを与えるだけであれば、それほど難しくもない。

戦意を失わせるものの1つに、心理的作用や罰則がある。法律と同じこと。本来は、それ以前の話なのだが、そうでもしないと戦意はなくならない。倫理道徳でOKであれば、一番良いに決まっている。しかし、そうもいかないのが現状だ。

狙い打ちでも、うっかりでも、漏れれば同じ事だが、いずれにおいても心理的作用を最大にする方法を活用することが、有効である。

それでも、100%回避できないのも事実。しかし、戦意を失わせるだけの価値に見合うだけの対策コストを使っていないもの事実だ。

常に狙う側が、優位に立っていることを忘れてはならないのだ。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。