形のない情報という”無形資産”をどのように守りますか?
予想外、どこまでなにを、予期してた? (意識行動編)
洩れる前提の思考と視点で考え抜いても予想以上のことは思いつきません!
漏洩対策には、まず最低限の人的な「意識改革・向上」が必要です。しかし「意識改革・向上」など、そんなことやったところで?…具体的に効果があるのか?…と思われているようです。
現実には、最も簡単である「漏洩防止機器の導入」等、技術的な対策だけを選択するという安易な方法が行われています。その対応適用できる範囲を把握していれば1つの有効で充分な策となります。しかし、これだけではすべて網羅できません。
誰もがわかってることですが「人間は意識しなければ」行動はできません。うっかりミスや、知らずに行っている危険な行動、わかっていても実際には出来ていないこと…最終判断・行動は人が行います。
例えば…「最近気になっていること」がよく目に入ってくることがあります。
単に気になっていることが、世の中で流行しだした訳ではありません。意識しているからこそ、目に触れる機会が多くなっているだけのことです。
今、行われている情報セキュリティ・漏洩対策は、規則だけが上積みされ肥大しています。大きくなりすぎたものが、必ず破綻するのは自然の原理です。
規則を破る(守らない)⇒ 規則を作る ⇒ 管理する ⇒ 管理される…すべて人が行っていることですが、情報セキュリティや漏洩対策において「人を中心」に考えて行われているでしょうか?
厳しい管理=セキュリティの向上ではありませんし、余計に事故原因を誘発している事実など、もう十分にわかっているはずです。この時代、人を機械のようにしか扱わない企業の行き先は、誰しもが想像出来る結果となります。
セキュリティ対策という範囲はとても広く、その1つである情報セキュリティの中にも、ITセキュリティがあり、その中にも、技術的、人的、物理的な対策までもが多く含まれます。
しかし現状は、ITセキュリティの技術部分がセキュリティのすべてであるような対策しか行われていません。
また一方では、現実問題として従来の技術的防止だけの対策に限界を感じている…と気づかれた方々も増えています。
情報漏洩の実態
毎年、漏洩事件のレポートが出ますが、円グラフの構成要素は多少変化しますが、10年前とほとんど変わっていません。
90%ちかくが、非技術的である人的要因が起因しています。
悪意のある行為を完全に防ぐ方法はありません。しかし、やりにくい環境作りや、起きてしまっても早期に発見出来る仕組みを取り入れることが、唯一出来るマネジメントであり有効策です。
情報漏洩対策を考える上で必要なことがあります。
どのような意識が結果としてどうなるのか?という視点です。
① うっかりミス、日常行動に潜むリスク等の「悪意のない無知」
② 不満や退職時などの目的をもって情報を盗む「悪意をもった犯行」
実際にはグラフのように「①のうっかりミス」が90%以上です。人間は必ず間違いをします。間違いを前提で対策するには、常に意識した行動をしていなければなりません。
逆に発生する可能性は①よりも圧倒的に少ないですが「②の悪意を持った犯行」では、たった1人の決して難しくない行動だけで「企業を揺るがす大きなダメージ」を与えることが出来るのは、昨今の事件を見れば言うまでもありません。
これらの①と②は、対策案も防御策も全く異なったアプローチが必要ですが、善悪だけの思考や、性善性悪で簡単に分類してしまう雑な方向に進んでいます。対策の肝がわからないため、安易な対策案により管理者の思考停止状態になっているのが現状です。もしもそんなに簡単なことだけならば、これほどの事件事故は起きていません。
では「どのようなこと」を「どのように考え」・・・対策を行っていけばいいのでしょうか?
見方によって状況は「まったく変わる」思い込み
これをどこから見て、どう捉えるのか?
平面でみると何かのチャートのように見えるかも知れません。立体で捉えると見える面(状況)も多くなります。
色や補助線を入れ別けることで見え方も変わってきます。単にシルエットで六角形と認識することも必要ですが、その中はどのようになっているのか浅深が問われ、ポイントの見極め、捉え方が重要となってきます。
目の錯覚は見方によって急激に今まで見えていたものと違うものが浮かび上がってきます。マネジメントである情報セキュリティ・漏洩対策においても、状況の捉え方、アプローチ等の視点、思考によって見える現状の姿は変わってきます。
従来のアプローチ方法では、実際の姿とは異なったものとなり、その対策方法は「現実に即していない」ものとなってしまいます。それでは何の解決どころか、状況を悪化させてしまうことにもなりかねません。
見方と捉え方を変えない限り、状況を正しく捉え見ることはできません。
人が引き起こす情報セキュリティの問題は既にわかっている
技術対策と人的対策の比較をすると、とても対照的です。
技術的対策は「一括で修正可能」です。しかし、問題が見つかるまで、見つかった後にしか対応出来ません。
人的対策となる弱点の要素は「既にわかってる」ものばかりです。これらの対策には「応用出来る能力」を身につけなければなりません。
なぜルール(規則)があるのに、守らない(守れない)のか?と考えたことはありますか?
・ 守らない(守れない)側に問題があるのでしょうか?
守られないようなルール(規則)に問題のあることが多いものです。現業に即したルール(規則)に沿っていないから、出来ないのではないでしょうか? このようなケースを多く見てきました。
どちらかだけが必要な訳ではなく、両方のバランスが取れた状態にしなければなりません。鳥の両翼、車の車輪のように、一方だけでは機能しません。
セキュリティは表裏一体
私たちは、善悪のように常に二元的思考をします。一方があれば、もう一方もあることです。しかし一方だけでは成立しません。また別けた方が考えやすくなりますが、それも1つの考え方として捉えなければ、状況を無理にどちらかに当てはめていくような思考へ陥ります。
これはセキュリティにおいても同じです。悪意の対策を行うのであれば、真面目に業務をしている善意の人たちにも報酬(対策)が必要になります。一方だけの思考では、全体を守ることはできません。
そもそも、やる気のモチベーションが下がります。悪意のモチベーションを下げる対策は必要ですが、善意のモチベーションは上げなければ「全体のバランス」がとれません。守っても守らなくても「そんなに変わらない」環境の中で、誰が本気でセキュリティに取り組みたいと思うでしょうか?
自分だったらどうだろう?と相手の立場になって考えることも、先のバランス、両翼と変わりません。ここがセキュリティにおける「重要な視点」となります。
メビウスの輪と同じく、表と思って進んでいたら裏側を進んでいて、気がついたら元に戻ってきます。
表裏一体の輪と同じく、メビウスの輪のような「思考や視点」が、セキュリティには必要不可欠です。
今までのセキュリティ対策思考を「変える」ときです。
「本気で前向きなセキュリティ対策」への取り組みをサポートいたします。
セキュリティ教育標語読本(意識改革教育教材)
50音の情報セキュリティ標語「あ~ん」までの45個を 、日常のビジネスシーンにある16のカテゴリー(行動・確認・パスワード・操作・規則・盗難・ウィルス・ゴミ・トレードオフ・なりすまし・メール・他人・リサイクル・メモ・紛失)
に分類し、短い言葉で日常の中にある「情報セキュリティの気づき」を込めました。
セキュリティ標語の元となった事例、注意ポイント、プロの視点から構成されます。
情報セキュリティやコンプライアンスの要素を、標語としてノウハウを詰めた読本です。