2009年、私の気になったセキュリティ3大ニュース

2009年もあと2日です。年々思うのですが、1年が早く感じています。年齢も同時に増えています(笑)

間違いのないニュースは、JNSA 2009セキュリティ十大ニュース発表あたりを参考にしてください。

・・・

私の気になった今年のセキュリティニュース、今年書いたブログやクリッピング、RSSを見ていて・・・書く前に「これで十分じゃないか?」と思ったのが、2010年のITセキュリティ状況を予想するです。←リンク先の動画が埋め込めないので、こちらを参照ください。

ITmediaの2010年のITセキュリティ状況を予想するが元ネタらしいのですが、このなんともなロボット声がいい感じに仕上がってます。最近の動画はFLASHなのですが、動画がFLASHになる前のFLASHのような…気になりました。

以上!

・・・って。ほとんど言われちゃったし。。。と思っていたら、来年の予測でした。(自爆)

この中で、「2. ソーシャルエンジニアリング手法がソーシャルネットワークに進出する」が気になりますね。ソーシャルネットワークも、実生活上も含めて、ソーシャルエンジニアリング手法の存在って意外と知られていません。言われれば、「あぁ・・・それなんだ」と思うようなことばかりです。が、どの場面においても、知っている(手法)ことと、出来ること(回避)は違います。

ソーシャルエンジニアリング関連:
しつこい電話の撃退法には、セキュリティの基本も含まれていた(笑)

Macにウィルス対策が必要になっても、人をダマす古典的方法は変わっていない

プリテキスティングとソーシャルエンジニアリング

で。。。今年の気になったニュース・・・つい横道にそれてしまいました。本題に入ります。


1.
セキュリーナのせなちゃんが・・・
いや、今年の2月の出来事なのですが、やはりセキュリーナです!
CheckPC!

経済産業省が情報セキュリティの一貫としてCHECK PCのキャラクターでセキュリーナが登場しました。

キャラがどうこうって話は置いておいても(実はここが肝心なのですがw)、セキュリティを一般的に広める試みが、新しい時代に入ったと思っています。実際に一般的にこれが広まったかどうかは微妙なところですが…

しかし最近はテレビのCMでも、ウィルス対策ソフトが宣伝される時代になったのは、一般化していることなのだと思っています。

2.内部からの情報漏洩事件

退職社員のが「情報を持ち出す」ならば、突然の解雇よりも準備が出来た?みたいです

そもそも情報セキュリティを「性善と性悪」の2つで考えるのが間違いのはじまり

機密情報をIT管理者の88%が解雇されれば持ち出し、35%は無断アクセスする(米国調査)

三菱UFJ証券の情報漏洩防止策の7つの提言で気になった3つ

結果には原因があるが、その中間に予兆があり実行があったことに注目

10年前のHacker天国から、今は情報漏洩大国に向かう農耕民族の危機意識

陸上自衛隊14万人の名簿漏洩事件(7.14円/1人)って相場ですか?

医療に携わる人たちの「情報意識」病んでないか?と思う。(体験談その2)

アリコジャパンの情報漏洩事件、インターネットで国境超えにより捜査難航

セキュリティのルールは破るためにある?視点を変えれば守りにもなるのだ

三菱東京UFJ証券、アリコジャパン、陸上自衛隊・・・内部からの事件が大きく表面化しました。

簡単な話です。外部から狙うよりは、内部から行ったほうのがやりやすいに決まっているのです。さらに、昨今の労働環境の悪化により、普通だったらしないことをしてしまう環境も整ってしまいました。更に、コスト削減の影響もありセキュリティ対策が削られていれば、従来の数倍の確率で事件が起こるのは当然な結果です。

これを二元論的な性善説と性悪説で考える事自体に間違いがあることを気付いてないのが、大きな問題なのです。

内部を疑うのではなく、問題が起こりにくい環境づくりをはじめなければなりません。ダメダメ!の連発で実用性のないルールを作り、一方的な守る側の思考だけで作り上げられた「使い物にならない」「役に立たない」もの・・・見た目だけは立派に作られています。が、実効性に欠けているのです。

この環境作りは、内部の人たちも、企業全体も、ステークホルダーも。。。全体を守ることができなければ、すべてが続きません。

知らないことは、わからないのです。弱点を探すのならば、攻撃視点で考えなければ、セキュリティは機能しません。安全対策とセキュリティの違い→情報漏洩対策はマネジメント主体の仕事で、「情報システム部門」に負担が大きすぎると思う

来年は、更に増加していくものと考えています。セキュリティの根本的なことを考え直す時期に来ていると感じています。

3.個人情報とプライバシー

とくに「やましいこと」はありませんが、私にもプライバシーはあります。

「プライバシー」の解釈が間違っている方と悪用する連中

情報セキュリティ標語の「か」:街頭で、答えて交換、個人情報

情報には、個人情報以外にも、機密情報も含まれます。が、個人情報の取り扱いが未だに雑な感じがしています。プライバシーと明確に分けるべきケースもあります。分けて考えられないケースもあります。両方の考えを持っているので、過去に書いているものには矛盾しているものがありますが、矛盾が問題ではなく、これらの情報を預かることや、預けている人たちの気持ちをもっと考えるべきだと思っています。

個人の情報を企業が束にして管理していると、その従業員の方々は、塊として管理しています。企業だって、個人の方々が属しているだけの集団でしかありません。その預かっている情報の中に自分のものが含まれていれば、ちょっとは扱い方も変わってくるはずです。

誰だって、人に知られたくないものはあります。

一方で、個人情報に過剰反応していることもあります。自分で漏らした個人情報って、結構多くあるものです。個人個人が情報に対するリテラシーを高めていくしか方法はないと思っています。

・・・来年向けて:iPhoneなど、スマートフォンのセキュリティ対策が必須になってくると思っています。ウィルス対策などはソフトウェアでできるのですが、気になるのは紛失盗難などの物理対策です。なくさないのが一番なのですが、無くすことを前提に使う。面倒なパスワードを設定すれば、通常使うときにも不便になりますが、無くしたときには絶大な威力を発揮します。これはトレードオフの関係にあります。

番外編として、アップルの情報管理統制が、とても参考になると思っています。

アップルの情報管理統制に学ぶ、情報セキュリティの本質

アップルの情報管理統制に学ぶ、抑止効果は神の存在に似ていた

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。