オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

もしも明日解雇されるならば、私は機密を持ち出す---回答者の88%・・・らしい

»

大半のIT管理者は「明日解雇されるなら機密情報を持ち出す」--米調査ITproセキュリティより 

情報セキュリティ会社の米Cyber-Ark Softwareは米国時間2008年8月27日,企業のIT管理者300人を対象とした意識調査の結果を発表した。それによると,回答者の88%は「明日解雇されるとしたら,会社の機密情報を持ち出す」という衝撃の事実が判明した。「会社の情報を持ち出さずに離職する」とした回答者はわずか12%にすぎなかった。

IT管理者が持ち出そうと考えている情報は,最高経営責任者(CEO)のパスワード,顧客データベース,研究開発計画,財務報告,M&A(企業の買収・合併)計画のほか,さまざまな権限を行使できるパスワードのリストなどが含まれる。「会社の情報を持ち出す」と答えた88%のうち約3分の1は,このパスワード・リストを持っていくとしている。

随分と正直な回答だと思います。88%はもちろん多いと思います・・・が、やはり正直な回答ですね。

これが30%とかだったりすると、ウソっぽいです。正常時に聞いているのですから。

何もないときに、ごく一般的な質問をした場合に、そのほとんどは「本音の回答」をしないものです。

・道端でツバを吐いてはイケナイ?って聞けば、ほとんどの人は「しません」と言うでしょう。

・他人に見られていなくとも、トイレ以外のとこで「立ち小便」は?「しません」とも言うでしょう。

しかし、風邪をひいていてタンが絡めば・・・ティッシュなど持っていなければ「吐きます」し、どうしても我慢が出来なければ「立ち小便」もするのです。良いか悪いかって話ではなく、するときは「する」のです。

この「正直な88%」よりも、その管理者が「扱える情報の範囲」に脅威があると思います。

同じリスクでも「危険」と「恐さ」は別な話です。乗り物の事故で言えば、航空機事故は恐いですが、自動車事故で死ぬ確率のが圧倒的に多く危険なはずです。ここでは、「持ち出せる情報範囲」が危険であり、「88%」が恐さな感じがします。

平常時。普通に扱える範囲の情報が広いことは、職責上当たり前のことでしょう。管理者ですから・・・

罰則を、とんでもなく大きくすることでは、対応できません。例えば、そんなことをしたら・・・「1億円」の罰則を与えたとしても、それ自体がそれ以上のモノであれば、戦闘意識は高まりますし、それ未満のモノであっても・・・罰則の大小に関わらずに、「やるときはやる」ものです。

ここでは、個人のクビである「解雇」と、持ち出しです。破壊的になんでもするでしょう。それが88%って正直な回答にしては、恐さを感じます。

米国の調査ですが、米国だけに限らないことではないでしょうか?

Comment(0)