「情報セキュリティ国際キャンペーン」:今、何が出来るのか?
今月は、NISC(内閣官房情報セキュリティセンター)主導で、「情報セキュリティ国際キャンペーン」が行われます。
今回の3カ条は、
1.知る
2.守る
3.続ける
です。これ「もの凄い基本」なのですが、基本が一番大切なのです。
最近のセキュリティ事件を見ると、パスワード流出、見ただけで感染してしまう大手サイト…色々とネタは尽きません。
初めてお目にかかる方にご挨拶をすると、私の名刺に「情報漏洩対策セキュリティコンサルティング」と書いてあるので、ほぼ「ウィルス対策等の・・・」と、ITセキュリティなイメージが強いようです。
ここで1つ正しく分類しておかなければならないのが、「情報セキュリティ」は広義な意味であって、その中には、「人的セキュリティ」、「物理的セキュリティ」、そして「技術的セキュリティ」などか含まれています。
ITセキュリティだけが、情報セキュリティ対策ではありません。
今回のキャンペーンで見れば、知って、守って、続けるのは、人が行うことです。
情報セキュリティのITセキュリティは、情報システム部門などが行うことです。ITセキュリティ対策の変化は凄い勢いで変わっていきます。これを情シスの方々が頑張っているのです。有り難うございます。
しかし、全社的に見ると、一般社員の方々がほとんどです。情シス社員100%の会社は、システム系の会社以外ほとんどありません。
この一般社員の方々を対象に「情報セキュリティ」を考えなければならないのですが、どうも企業のマネジメント系な方々は、技術的なこと以外も「情シス」へ振っています。これ相当な無理があります。
例えば航空会社で考えて見ます。飛行機を飛ばすためには、色々なスタッフの方が携わっていますが、超簡単に言う と、飛ばすための整備を「エンジニア」の整備士が、飛ぶためのマネジメントを「パイロット」が行っています。この例では、お互いに「専門家」であり、資格 が必要です。
これ、情報セキュリティにおいても同じです。情報システムを円滑に動かすための「エンジニア」と「マネジメント」を兼任しているケースもありますが、基本「専門分野」は異なります。両方出来る方は、相当少ないのではないでしょうか?
私のような、何でもセキュリティでしか考えず、漏洩対策の弱点ばかり探している「セキュリティ・バカ」も特異な専 門分野です。エンジニアの方には無理なことと思っています。逆にエンジニアの方にしか出来ないことも多くあります。自分が出来ないことを出来るひとを「凄 い!」と常に思っています。
鳥の両翼、車の両輪のように、両方の要素が必要であり、バランス悪いと「うまく進まない」ものです。
で、今回のキャンペーンの「知る、守る、続ける」は、意識の話です。
自身が「最近気になっていること」を、よく目にすることがありませんか? これって、気になっていることを「意識」しているので、目に入りやすくなっているだけなのです。車を意識していれば、街でよく見るように思いますが、そんなに変わってません(笑)
セキュリティなお話しをするとき、特に注意していることがあります。
1.立場を変える
2.視点を変える
3.性善性悪のような2つだけで考えない
ことに意識しています。すべてを逆から見るようなものです。現状を客観的に見るための方法です。意外と狭い範囲しか見てないもので、それがすべてのように思ってしまうことが脅威と感じています。
人をマネジメントする難しさは、どの会社でも同じことです。それを無理矢理コントロールしようと考えていることに、間違いが多くあります。
セキュリティな課題は「どんどん増えて」一向に減りません。守らないから増やすという考え方が間違っていることなのです。普通に考えてみれば、お約束ルールが増え続けていけば。。。麻痺します。
更に、守って当たり前!な、正しいことをしても何のインセンティブもありません。セキュリティを正しく出来るひとには「もっと自由度を増やす」などの楽になる方法を提供する必要があります。適当にやってる人と同じ枠にはめてしまっては、やってられません。
基本が出来ないのに、応用はききません。
例えば、パスワードの話にしても、前回書いた(Googleグループのダダ漏れで思う「鎖は一番弱い輪以上に強くなれない」)と同じで、8文字以上のパスワードを使え!と言う前に、使える方法を提供しなければなりません。使える方法も伝えず、一定のルールだけを押しつけるのには無理があります。(パスワードの問題が多くあるのに、なぜ変えないのですか?)
6文字でもいいですよ。数字だけでない作り方を全員が出来れば、鎖は多少強くなります。一部の人は20文字、また一部は8文字であっても、超簡単なものだったら、鎖は弱いままです。
以前あるところでパスワードの話をしたとき、パスワード25文字以上をツールでランダムに生成してるから、そんな作り方は必要ない!と言われたことがありました。情シスの方でしたが、
情シスの理解≠一般社員の理解
ではありません。この手の話、結構あるのですが、こんなところに無理があるように感じています。使命感だけでは専門分野は広がりませんし、逆効果です。
今回のキャンペーンを機会に、今一度、情報セキュリティについて「相手の気持ち」を思って考えて見ませんか? セキュリティが窮屈では、誰も興味をもちません。
TCNICでは、「情報セキュリティ標語」の活用を進めております。「知る、守る、続ける」には、簡単な方法でなければ、どれ程良いものでも継続は難しいものです。
意識向上がなければ、セキュリティ対策も、大きく言えば「社会道徳」も低下していきます。強い体制を作るためのお手伝いをいたします。
お気軽にご相談ください。有り難うございました。
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。