長期休暇前のセキュリティ的お約束と休み明けにビックリした事例

2018年もあと数日です。最近(と言っても10年弱w)時間のスピードが急激に速くなってきていて…と、わかる人にはわかるはず(爆)

長期休暇の前に言われる「セキュリティお約束」があります。もうほとんど中身的に変わってないのですが、何度もしつこく言わないと中々浸透しないが現実です。

ここで言われるセキュリティは、ウィルス対策や、詐欺メール等々…外部から内部に向けた脅威が主なものです。これこれでキッチリ対応しておきたいものです。今日は長期休暇明けの別な脅威について書いてみます。

お約束のセキュリティ

IPAのサイトを参照下さい。

年末年始における情報セキュリティに関する注意喚起

長期休暇における情報セキュリティ対策

今年はカレンダー的に休みが長い傾向にあります。長いとこでは12月28日(金)~1月7日(月)くらいまでの10日間超くらいになります。年によってはもっと短いです。この長期はゴールデンウィークくらいでしょうが、それより多くの企業で長期休暇となるのが今回です。

せっかくの機会なので、是非リンク先のIPAサイトを参照下さい。

セキュリティの脅威は外部からとは限らない

それでも圧倒的に外部からやってきますよ。でも、別けずに360度の全方向へ目を向ければ、また違った風景が見えてくるものです。ここでは長期休暇などの後に起きた深刻な事例を2つ紹介します。

事例1.年明けに担当者が来なかった

状況:30名規模の企業で、今で言う「1人情シス」のような役割。本人の希望ではなく、単にその中で一番詳しかったからという理由で選任

原因:社内で起こるIT関連は全部彼に任せっきりでした。よく言えば頼られていたのですが、逆の言い方ではすべての情シスっぽい案件から、日頃のトラブルまで全部丸投げされていました。頼る側の30人対彼1人の負担は半端ない仕事量、ブラック臭が漂うような劣悪環境で・・・壊れてしまった。メールで連絡がきただけでした。

その後:何の引き継ぎや書類等、何もなかったが、特別データの破壊等もなくどうにか手探りで業務復旧が出来ました。

ポイント:対応事例と聞いた話も含めると、この事例は多く起きていると思います。共通するのは理解の出来る上司に恵まれなかったということと、権限もないのに業務だけ丸投げ(責任含め)されていること。情シスの業務がよくわからなくとも、情シス部分を自身の得意分野に置き換えて考えれば、どれ程最低な状況にあったのか…理解は難しくないと思います。

休み明けに大きなトラブルが起きなかったですが、これだけでも十分に大きなトラブルです。更に外部からのトラブルが起きていれば、状況はもっと悪くなってたことが容易に想像できます。

事例2.全部入りノートPCが盗難にあった

状況:休み中の休み期間中も業務が動いていた会社で、担当者が全部入りのノートPCを持ち帰ってしっかりと保管管理していた。

原因:持ち帰りの道中も飲食せず、自宅でもしっかりと管理されていた。車の中にバックを置いたまま30分買い物に行った間に盗難にあった。

その後:暗号化等もしっかり対策された状態で、漏洩した事実は確認されなかった。しかし関係各社、関連機関への報告をしなくてはならず信用などに影響が出ました。

ポイント:ちょっとした僅かな隙がほころんだ事例ですが、それ以外の対策も管理もしっかり出来ていました。結果だけで言えば、どれ程の対策や対応がされていても、一つの問題が起きれば事故となります。90点くらいの完璧に近いものでも、ちょっとのミスが残念です。

この事例と別ですが、PC内には何もデータがなかったにもかかわらず、漏洩したことがありました。クラウド上のストレージサービスを利用していて、その接続が繋がっていた事が原因となりました。これはデータ量がかなり広範囲に及びました。盗難紛失の直後にそれらのサービスを止めていれば、被害も最小限になっていました。

…一つ一つは小さな事ですが、積み重なってくると大きくなりますし、複雑に入り込んできまます。ブルースシュナイアーの言葉と同じです。地道な積み重ねです。

参考記事:恒例!お休み前のセキュリティなお約束できてますか?(気になるポイント

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。