情報セキュリティの大原則←問題が起きるのも、それを回避するのも【人】なのに・・・
企業システム対する不正アクセスや内部関係者による情報漏えいなど、企業を取り巻くセキュリティのリスクが経営課題となり始めている。経済情勢の悪化など経営環境が厳しさを増す中で、セキュリティ対策の不備はビジネスに大きな影響を与えるといっても過言ではない。企業が2009年に取り組むべきセキュリティ課題について、ガートナージャパンでセキュリティ調査を担当するリサーチディレクターの石橋正彦氏に聞いた。
(中略)
ITmedia 情報漏えい事件の原因をみると、組織に関係する人物のミスや故意による行動が少なくないようです。
石橋 企業が情報セキュリティを考える上で忘れてはならないのが、「重要情報を扱うのは人間である」というセキュリティの大原則です。重要情報に対する外部からの脅威や悪用を防ぐための技術が多数存在していますが、こうした技術への依存が強まると、重要情報を扱っているのは誰なのかという視点が抜けてしまいがちです。
どうも流れとして技術対策が先行している感があります。もちろん「人」に出来ないことは、技術的対策に任せればいいのです。一方で「人」にしかできないことに、もっと注目する必要があると思っています。
私は犬好きで、2匹飼っております。「人」と「犬」は全然違うでしょう。でも、ちょっとだけ考えてみました。野生の動物でない限り、愛玩犬の場合など、犬は買い主に従うしかありません。エサを与えてくれる、可愛がってくれる、遊んでくれる・・・犬から見れば、管理してくれているのは買い主になります。この管理がなければ、野生に育っていない犬はエサを確保する術も知らずに死んでしまいます。少しだけそんな犬たちを見てきました。勝手な買い主の責任ですね。
ここで言う管理とは、「自分だけでは何もできない」ことと定義しておきます。
じゃあ、「人」の場合はどうでしょうか?
最近わかったことなのですが、如何に自分は何も知らないのか!と、切に感じております。私の場合、最も厄介だったのは、「ちょっとだけは知っている」ことが、イコール「結構知っている」に自分の中で変わっていたことでした。何も知らないことを、知ることが必要でした。
情報セキュリティの仕事をしていても、「人」について真剣に考えている人は少ないと感じております。問題を起こさないための策を考えるのも「人」ですし、それを実施させるのも「人」です。また、これらを破るのも「人」ですし、狙い打ちするのも「人」で、狙い打ちされるのも「人」だったりします。
そもそも「人」は、間違いをするものである、大前提をもって考えなければならないと。と言いながら、書いている私自身も「人」であります。なので、間違っている可能性も十分にあるのです。それは自分ではわからないですね。他の方の意見や話を聞きながら、修正するしかないと思います。
誰かに管理されることが、良いのかどうかわかりません。管理されることで「責任の軽減」くらいは得られるかもしれません。管理されなければ、ぜんぶ自由ですが、それはそれでどんなものでしょう? 隣の芝生は青いのと同じでしょう。
結局は、自己管理をしなければならない。これが私の結論です。この自己管理をしなければ、責任も何もないでしょう。どれだけ回避しても、最終のツケは回ってきます。
インターネットやコンピュータの出現で、従来では考えられなかった「情報セキュリティ」や「漏洩対策」なども必要になってきました。
しかし、そんなものがある前から、「人」を騙すことや、騙されることは存在していました。コンピュータを騙すこともありますね。コンピュータも「人」が作ったものですね。そこには既にある間違いや、「人」がやってしまう間違いがあります。数学のように間違いと間違いは、マイナスとマイナスのかけ算のようにはいきません。より大きくなってしまうでしょう。「人」はゼロイチで考えられないですから・・・
以前に書いたもしも明日解雇されるならば、私は機密を持ち出す---回答者の88%・・・らしいやコントロールに見る情報漏洩の問題も「人」の話です。
自分で自分を守るための、自己防衛としても、自己管理が必要であると考えてます。その術を知らなければ、何もできない。ここに認識のズレがあるように感じております。
人的な対策のもっとも有効な方法は「自分だったら絶対にイヤなこと」を基準に考えています。戦っているわけじゃないですが、戦闘意識を失わせることは、狙い打ちする人に効果があります。間違いを回避するにも、後に発生する鮮明なイメージを持つことが、うっかり軽減につながっていきます。
結局、「人」なのに、情報セキュリティの事故は、自分には発生しない。と何の根拠もなしに疑っていません。これだけ多くの事故や新聞紙面に出てくる情報セキュリティ関連の問題・・・
引き続き、考えていきます。