オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

セキュリティ会社が見せた「情報漏洩対策」の基本の基本

»

情報漏洩対策は、技術、非技術ともに仕組み作りが大切であること。この基本姿勢が全体のあり方を作り上げていくのです。 

「情報漏えい対策は技術も大事だが、最後は人の意識に頼る。わたしの行動を参考にしていただきたい」――暗号化ベンダー米PGPのフィリップ・ダンケルバーガー会長兼CEOがこのほどインタビューに応じ、同社で起きた情報漏えい騒ぎのエピソードを紹介した。同氏は、「技術だけでは解決できない課題へのヒントにしてほしい」と話した。

「日ごろからデータ保護の重要性を提唱しながらも、騒ぎに発展したのはわたしの責任。従業員も意図的にしたわけではないので、責めなかった。公開の場で顧客に謝罪し、信頼回復に努めた」(ダンケルバーガー氏)

 その後、同氏は全従業員を召集して自社のデータを適切に取り扱うようへの注意を呼び掛け、セキュリティ意識を高める研修や啓発を徹底したという。同氏はまた、顧客からのクレームにも対応し、謝罪と再発防止のための取り組みを説明した。

 「メールアドレスが漏えいしただけで、“トップが取るべき対応なのか”という人もいるが、被害者は“メールアドレスが知れ渡るのも嫌だ”と考える。ビジネスのデータはかけがえのないものであり、わたし自身がデータを守るという姿勢を見せたかった」(同氏)

 

メールアドレスが漏洩しただけ?そんなのよくある話だろう。って思われがちですが、それもケースによっては、重大な事になる場合もあります。

もちろん、どんなケースにおいても漏れたものには変わりないのですが、実例から考えてみます。

メールアドレスが漏れるもっとも多い状況は、送信先を全部toにしてしまったり、ccにしてしまったり、受信者全員に送付先アドレスが丸見えになることです。

メルマガや特定の案内など、それが知られたくない場合もあるのです。知られたことにより、大きな問題になったこともありました。何よりも、その管理体制の問題から、別な問題まで露呈されてしまったのです。事後対応もよくなかったこともひっぱりました。

その後、沈静化したあとは、何もなかったように何もしなかったのです。

 

ダンケルバーガー氏はこうした状況について、「重要なデータが漏えいすることでどのような影響が出るのか、それを徹底して守る意識が十分ではないようだ。技術的な対策も大事だが、運用する人の意識で効果は変わる」と話す。

 企業での情報漏えい対策を考える上で、同氏は特にデータの漏えいによって企業自体が被る損失を理解する必要性を挙げる。具体的には、漏えいによって失われる顧客の信頼がどの程度でなり、ビジネスの機会や本来得られるべき収益がいくら失われるのかという点を企業の経営層が十分に理解する。経営に甚大な影響を与える重要データを死守する姿勢を、経営層が持つべきだとしている。

企業風土がこれらの意識を変えていくのです。

意識が変わっても、精神論じゃ守れないだろう!と、よく言われますが、コレが大切なのです。

確信犯には、これらは通用しません。が、確信犯が全体のどれほどあるでしょう?被害規模で言えば多いとおもいますが、起こりにくい仕組み作りが大切なのです。

技術的に守れるものであれば、もちろん対策しなければなりません。いつも書いている事ですが、対策側よりも破る側のが有利なのです。

ここ数年は、情報漏洩が原因となる大きな事件が多くあります。管理職向けの部下育成などの研修がある一方で、情報漏洩対策の基本となる、攻撃側の視点から防衛する研修を通じて、どこが弱点となりうるのか?シミュレーションしてみないとわからないこともあるのです。

決裁権がある=デジタルデバイドなんて、今時通用しません。よくわからない?ならば、方法は2つしかありません。

1.わからないから情報セキュリティに関わる仕事をしない。

2.わかるようになるまで、関わらない。

これで仕事が進むのでしょうか?ほとんど無理でしょう。極端な話、名刺にメールアドレスが書かれている限り、一つの連絡方法として使われるのです。この便利で今時不可欠な連絡方法がなくなれば、多少はそれらの間違いも減少するでしょう。が、これも仕事に支障が出るでしょう。

基本の基本は、人が操作する限り、間違いもミスも起きることです。であれば、技術対策だけに頼っていても解決しないと思うのです。

Comment(0)