オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

ソニーのPSNから最大7,700万人分の個人情報が漏洩←対応の遅さが「早さ」と「信用」に加速する

»

攻撃されて漏れちゃったものは仕方ない。としか言いようがありません。過去形だからです。しかし、その後の対応って「最も大切」なのでは?と関係者の方々に聞いてみたいですね。

史上最大級の個人情報流出、ソニーにとって大きなつまずきに

ソニーが大規模な情報流出に見舞われた。同社のビデオゲーム用オンラインネットワークから流出したのは、ユーザーの氏名、住所に加え、クレジットカードデータも含む可能性がある7700万人分の情報であり、インターネットセキュリティ史上、過去最大の情報流出の1つになった。

人数も多いです。人数が多いから問題なことも1つあります。それ以上に対応の遅さは何に時間がかかったのでしょうか?

7,700万人分の個人情報も大切ですが、1人の知られたくない情報だって十分に大切なのです。人数は漏洩した「1単位」でしかありません。プレゼンなどで単位をワザと変えて見せることはよくある手法です。1時間を60分となど、同じ時間でも少なく見せたい場合と多く見せたい場合で単位を変えることはあります。

7,700万人分の単位は変えようがありません。7,700万人分の漏洩した「中身」を考えなくてはなりません。

クレジットカードの情報も「どの範囲」まで含まれていたのか?が問題になります。悪用するに十分たり得る「データ」が含まれていたのか?あるいは、悪用はできないけれども、「だれ」が「どのカードを持ち」「クレジット番号」・・・と、あまり良い気分ではありません。悪用するには、カードの有効期限やセキュリティ番号が必要になります。それらがどこまで含まれていたのかでしょう。

1人の知られたくない情報も、一般的には・・・と言い切れません。その内容や範囲は「人それぞれ」違うからです。自分の情報を自分で漏らした、落とした、紛失したなど自分に原因があるのであれば、仕方ないことです。

情報漏洩は、自分でしていることも多くありますが、ニュースになるのは自分以外のチカラが働いて発生してます。こうなると解決策は極端になりますが「使わない」しか方法はありません。何を使わないのかは、そのサービスだったり、カードであったり、ネットであったり・・・使ってないものからは、漏れようがありません。これ、当たり前のことですが、当たり前のことの見落としって結構多くあるものです。

信用はされるものでなく、一方的にするものです。この方向はユーザーから向いています。

冒頭、漏れちゃったものは仕方ないと無茶な言い方をしましたが、なんで漏れたのかも必要なことですが、今できること、次に起こりうること、それらを「どのように」回避することができるのか?と全部が見えていなくとも、現状の知りうる範囲を開示することも、その事件発生の中でできる信用なのではないでしょうか?

と書きながら、最近も漏洩したイロイロなものにも共通すると思います。出来うる情報開示です。

 ソニーは、悪いニュースを迅速に情報開示しなかったとして非難を浴びる最新の日本企業になった。東京電力は3月11日の東日本大震災の後で起きた原子力発電所事故の件で批判されてた。昨年にはトヨタ自動車が大型リコール関連問題で酷評された。

状況の把握に時間がかかる場合もあります。しかし、情報の把握をしている最中であることを伝えつつ、出来ることもあるのでは?と思ってなりません。

極端な話、1週間遅れたから「何がどのように変わるのか?」となります。今回の情報漏洩では、おそらく大きく違わないと思います。しかし預かったお客様の情報が漏れてしまった訳ですから、お客様への早い段階での連絡は必須です。ことが大きく変わるとか、1週間寝かしたら良くなるものでもありません。今出来うること!それが信用に繋がっていくのではないか?と思うのです。

当事者はどうしても、ことを小さく考えたくなるものですし、早く伝えなきゃならないこととわかっていても、十分な把握が出来てないなどと、当事者の目線だけで余計なことまで考えてしまうもの。相手のことを第一に考えるならば、もう少しマシな方法も考えつくはず。何よりも大切なのは、自分たちのこと「保身ありき」でどうにかしたいと願うこと。わからなくもありませんが、客観的な視点がなくなっています。これらをコネコネしていると、時間はかかり、信用はがた落ちします。

普通に考えればわかりそうなものですが、当事者になると突然盲目になってしまうのです。当事者にとっては普通じゃないことが起きているから。

コンプラとか、ディスクローズとか、リスクとか、横文字なキレイごとを並べる前に、もっと現場を見ること!これに尽きると思うのですよね。

Comment(3)