抑止で防止はできませんが、防止よりは「心理的」に影響する抑止セキュリティ思考
セキュリティの根本的な考え方を変えなければならない時期に来たと思っています。
証券会社、保険会社、自衛隊・・・今年も大きな漏洩事件がありました。内部からの漏洩です。被害の大きさ、イメージ失墜を考えれば、犯行報酬と比較しても「まったく合わない」です。懲役も2年ちかくになりました。
しかし、これらの事件でもセキュリティ対策はされていた。はずです。技術的な防止や、業務プロセスなど、やりにくい環境もあった。はずです。
セキュリティ思考で間違っていると思うものに、防止策があります。防止の有効性の限界を知らなければ、防止の効果も対策も思った通りに機能しません。これは監視カメラの死角と同じです。見えない場所があるのです。
防止策は、極端な言い方をすれば、「子供に火遊びはいけない!」と言っていることと変わりません。確かに火遊びは危ないので「いけない!」と教えなければなりませんが、「なぜいけないのか」の説明がないままに、ダメ!ダメ!の連発では、余計に好奇心が煽られます。
火遊びが出来なくする環境作り。例えば、マッチやライターなどを届かない場所に置く。隠しておく。。。など、方法はありますが、これだけでは「火遊びがいけない」理由もわからず、「やりにくい環境」しかありません。
セキュリティにおいても、「いけない」「できない」環境は必要です。ただ、これだけでは「なぜダメなのか?」を理解しないままに・・・なってしまいます。
火遊びをすると・・・「こんなことになってしまう」イメージや実例を教える、知らしめなければ、根本的な原因はなくなりません。
どうなるか?わからないから・・・つい。。。やってしまうのです。頼まれてもやりたくいと思う、最悪な結果をイメージしなければなりません。情報漏洩でも同じようなものです。
USBメモリーの使用を制御するためには、防止もいいですが、物理的使えない方法を提供するべきです。USBを塞ぐ方法などです。これは、塞がれているので使うことが出来ません。持ち出しにも使えませんが、他のUSB機器(マウス)なども使うことが出来ません。ここまでするのならば、防止効果も最大限に発揮できるでしょう。
これが「どれほど無茶なことか・・・」本来のUSBの意味がなくなってしまいます。なので、折衷案として防止制御になっています。
常に色々なことを考えていますが、最終的に私の考えるセキュリティは「抑止」になりました。
抑止で防止は出来ません。セキュリティ事故のほとんどは人災です。出来ないとわかっていても、出来る方法はあります。これは、防御側よりも攻撃側のが強いのと同じです。どれほどの防止策を施しても、回避策を探すほうが簡単なのです。
しかし抑止は「心理的」に働きます。
防止できないものでは「意味がない」とよく言われますが、本当でしょうか?
セキュリティがセキュリティのために行われているから、意味がなくなっているのでは?と思うのです。
だから「どうなっているのか?」「どうなってしまうのか?」・・・対象者に、はっきりと見えない「抑止」が最大の効果を発揮するのです。
抑止効果のポイントは、
1.防止には、きりがない。
2.抑止対策はされているらしい。何か見えないけど、何かされている状態って嫌らしい状態を保つ。
3.その結果イメージを鮮明に持てる。
セキュリティ以外でも有効なもの、これはマネジメントです。
どうなってしまうのか?鮮明なイメージを持たなければ、問題はなくなりません。教える、伝える責任もあると考えます。
心理的に影響することが、抑止効果です。なんでセキュリティなんか考えなければいけないのか?と誰しもが思っていることです。ダメ!ダメ!と言われているから。。。よりも、「自らやりたくないと思うこと」に向けていく。これこそが抑止効果と思っています。
セキュリティを抑止に向かせなければ、どれだけ教育、啓発をしても、対岸の火事だったり、自分には関係ない・・・上辺だけの効果がないものにしかなりません。傷に染みこむように伝わりません。
本来のセキュリティ思考、今一度考えてみませんか?
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。
2 thoughts on “抑止で防止はできませんが、防止よりは「心理的」に影響する抑止セキュリティ思考”
この投稿はコメントできません。
M.Gさん、コメントありがとうございます。
仰る通りです。画像にしても、画面に表示される以上は「どこかに」あるわけで、完全防止は難しいと思います。
クリックできないようにすることで、ちょっと警戒したり、なぜ?と考えたり・・・ですよね。
防止策だけでなく、抑止策との複合技が、最大の効果を発揮できると思っています。
確かに「抑止」のほうが結果的に効果がある場合が多いですよね。
例えば「画像の転用を防ぎたい」としてJavaScriptで「右クリックは出来ません」と出すようにホームページに細工しておくというのも「抑止」といえますね。
※実際にはこれは「右クリックが利かない」=「ダウンロードできないんだ」と思い込むような「右クリックでのダウンロード法を覚えたばかりのインターネット初歩者」向けの細工であって「画像が表示されている」以上はダウンロードされているので「インターネット一時ファイル」の開け方を知っている人が相手であれば意味はないのだが…でも一応そういう人でも「ページ作者の狙い」はどこにあるのか判ると思います。