NTTではUSBメモリーの使用を禁止する! 単品対策と全体バランスはどうですかね?
先日の漏洩事件ですが、USBメモリーの使用禁止ということをするようです。単品対策としては間違ってないですが、全体見た時セットの対策としてはバランス悪い場合もあるのは、誰でも知っていそうなものですが、どうですかね?
前回ブログ:NTT西子会社の大規模情報漏洩で件数や期間よりも「属性」が気になる
NTTで「USBメモリの使用を禁止する」 島田明社長が明言 Xでは「マウス使えない?」などのデマも
「われわれは現在、緊急対応として、グループ全社がルールを的確に守り、実施しているのか否かを確認し、課題があった場合は適切に対応していく。業務においてUSBメモリの使用を原則禁止していたが、一切禁止にしていく必要がある。例外的に使わざるを得ない場合は許可を取るようにしていく」
過去の漏洩事故や詐欺などをみても、毎回思うことがあるんですよ。
・偽物の案内が郵送とか、アップデートCDとかが、送られた事故。
その対策として、
・今後もこのような案内をお送りすることはありません!っていうのが、いくつもありました。
これ、本当にそうですか? その時に起きた問題だけを捉えれば、確かにそうだと思います。実際に送っていないですからね。
でも、今後も…ってなりますかね? 今後、何がどのように起きるか?その時どのような対策方法をとるか?なんて、事前に解るわけないと思うんですけどね。これがわかるのならば、事前にも解ってたんじゃないの?と。だったら事故起きないはず。バランス悪くないですかね?
基本は出入り口の対策
出入り口の対策は、人的でも同じです。漏洩とか持ち出しって、必ずどこかの出入り口を通るので基本です。
今回のUSBメモリーの使用もそうですが、データーを媒体で持ち出すならば、USBポート、SDカードスロット、Bluetoothとかの無線…色々あります。量は多くなりますが紙媒体もあります。
もう10年以上前にUSBポートが存在しないPCってのがありました。ポートないだけなのに高かったイメージだけ記憶があります。でも、こういう物理セキュリティってわかりやすいし、一番確実です。だってUSB入らないから出入り口にならない。既存のUSBポートを塞ぐ簡易的なものも以前からあります。
何とトレードオフしますか?
出入り口を塞ぐ方法ですが、このUSBメモリーの使用禁止だけが、どれほどの有効性や意味があるのかは何とも難しいです。ほとんどの事件の場合、限りなく100%に近い99%以上とか、こんなルールなくても持ち出すことはありません。うっかり系事故の場合は業種にもよりますが、70-80%くらいの従業員の方は注意しているので起きません。
1%とか、20-30%の人による問題で起きていますが、それをどうやって起きにくくするか?これの追求をしていくしかありません。全体の人数割合は低いですが、ダメージは相当なものになります。
で、何の不便とトレードオフするか?ということになります。
わかりやすい言い方をすれば、スマホの画面ロック。顔認証なら早いですが、パス入力を毎回すると面倒ですよね。パスなしで横にピッとなぞるだけのが楽です。紛失盗難の可能性が1%なら、99回のパス入力をするか?パス入力なしにするか?面倒な99回を選べば1%の事故が起きても「中身のデータや、プライベートな写真」を見られる可能性は低くなる。って話ですが、例外的に「フルオープンでOK!」とか言う方もいるので、それは話になりませんが・・・いずれ痛い目にあうと思います。
で、USBが使えなくなると、
結構不便ですよ。データのやり取り以外にも、USB使いますからね。起動しなくなっても、CDとか内蔵してないとUSBから起動も出来ないし、何かの外部機器も繋げられない。
単品対策としてはいいのかもしれませんが、全体のバランスがよくない。
悪意に対してはやりにくくなる。通常業務の悪意なき人達の業務も変えなくてはならない。USB単体が繋がらなくても業務に問題はない場合もありますが、全体バランスを考えたときに、どこ取って、どこ削るかのトレードオフ関係をしっかり考えないと、業務のやりにくさから、事故を誘発するプロセスを作っているケースが多くあるのは、それを経験した方しかわかりません。
単に数字のパーセンテージで事故確率は低くても、ダメージで考えたときの損害とは違うこと。なにか簡単な方法ないですかね?
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。