情報漏洩対策はマネジメント主体の仕事で、「情報システム部門」に負担が大きすぎると思う
システム運用管理、負担が増加する一方で情報漏えいへの不安も大きく:CNET Japanより
IDC Japanは12月2日、国内システム運用管理に関するユーザー調査結果を発表した。運用管理の対象範囲は拡大傾向にあり、業務の負担も増えているという。
・・・
CIOと運用管理担当者の両方に、システム運用管理における課題について質問したところ、両者で最も多い回答となったのが「情報漏えい対策」、次が「運用管理コストの削減」だった。情報漏えい対策と運用管理コストの削減はCIOと運用管理担当者で共通の問題意識としてとらえられており、最重点課題となっているようだ。
先日書きました、「情報システム部門」が「情報戦略部門」になるための5つの視点と同じく、「情報システム」と「情報戦略」は機能が違う以上、別けなければなりません。
情報漏洩の対策は、「情報システム」と「マネジメント」が協力しなければ対策出来ません。この組み合わせは「情報戦略」の一部に入ると思います。
情報漏洩の対策を考えるには、「そんなことまで…」とか、「あり得ないと思うこと」、性善説とか性悪説の二元論で考えることが「間違い」だったりします。
ブルース・シュナイアーは「セキュリティはなぜやぶられたのか」の本で、「安全対策」と「セキュリティ」の違いを述べています。
安全対策 |
セキュリティ |
同時に起きる偶発的な火災を処理するには消防署がいくつ必要か?と考える。 |
放火魔が消防署の能力を超える数の火災報知器を動作させ、放火攻撃の効果を高める危険がある。と考える。 |
機内持ち込み荷物にナイフがあっても、X線検査で見つけられる。と考える。 |
X線で検出されにくい材質のナイフを検出されにくく持ち込もうとする者がいる。と考える。 |
緊急時、安全に避難出来る非常口の数を考える。 |
非常口を封印してビルに火をつけ、殺人を行う者がいる。と考える。 |
出典:ブルース・シュナイアー: 『セキュリティはなぜやぶられたのか』、p74、日経BP社、2007
この違いが「セキュリティ」であると。。。
情報セキュリティの中にも、シュナイアーの分類で言う「安全対策」に入るものが、ほとんどでは?と思います。
情報漏洩の対策を行うには、ここで言う「セキュリティ」な思考で考えなければ、効果は出ません。
「狙う側」は常に「守る側」よりも優位な状態にあります。守られていない部分を狙うだけなので・・・
一方の「守る側」は、あり得ない部分まで考える。必要があります。が、実際にそこまでの対策をするには、コストがかかりすぎます。業種によっては、被害が大きくなる等、対策のコストバランスが見合う場合もあります。
防止の環境を作っても、破ることは「難しい」ことではありません。100%防止ならば可能かも知れませんが、100%防止にすると仕事になりません。
抑止で防止はできませんが、防止よりは「心理的」に影響する抑止セキュリティ思考で書いた、抑止対策を組み合わせることで、効果が上がると考えています。
ようは、いかに「やりにくい環境」を作り、やってしまいそうな場合でも「その結果」を鮮明にイメージすることが必要です。
得体は知れないけども、何かの力が働いているように見せること。防止で無理ならば、この抑止で制御する方法が、もっとも良い方法であると思うのです。私は「魅せるセキュリティ」と呼んでいます。
ダメ!でなく、なぜダメなのか?・・・より100%に限りなく近い人たちは、「情報漏洩」などしないと思っていますし、そう考えていきたいです。しかし、現実に起こってしまい、莫大な影響を与える「情報漏洩」の対策は、マネジメントの方々が、攻撃思考で考えなければ、実現できないと思っています。