~攻撃は最大の防御なり~正解のない対策を斜めから斬る

セキュリティ意識を向上させる3つのポイント

»

情報セキュリティの話をする機会が多いの(当たり前w)ですが、どうもセキュリティ(抽象的な言い方)と言うと、ITセキュリティがメインディッシュのように思われているようです。情報セキュリティ(ちょっと限定した言い方)の中に、ITセキュリティがあり、人的、物理的等の要素も含まれています。

別な言い方をすれば、フルコースのメインにお魚とお肉があれば、ITセキュリティと人的セキュリティのような感じです。全体の中の部分的なものです。鳥の両翼、車の車輪のように、両方あってはじめて成り立つもの。それがITと人的な関係と思っています。

ITセキュリティの中にも、サーバ、アプリケーション、利用者向け等、目的によって専門領域も変わってきます。

人的なセキュリティは、人の意識向上しかないと思っています。イメージとしては、ウィルス対策ソフトのように、感染しても、水際で食い止めるようなもので、人も意識を高く持っていなければ、危機を水際で食い止めることは出来ません。出来れば、水際より手前で防ぎたいものですが、手遅れになる寸前はやはり水際しかないのかなぁ…とも思ってます。

情報セキュリティの必要性は、誰しも十分にわかっています。ITセキュリティならば、必要な対策を施すことで対応が出来ますが、利用者が「それ」を破ることも出来てしまいます。結局、理解出きていても、実践的に行動に移せなければ意味がありません。知っていることと、実際に出来ることの違いです。

意識は「持つもの」です。

1.セキュリティの危険を「知る

2.知ったものを「観察」する。

3.観察対象に「注意」を向ける。

これはセキュリティに限ったことではありません。日常の中で「実際にしていること」です。

例えば、海外旅行に行けば、日本にいるときとは意識が違うはずです。日本へ戻れば意識はいつも通りになります。そしてセキュリティに関して言えば「いつも通り」の中で最も低い状態になっていませんか?

違いは簡単で、ガイドブックに書かれている「危険を知って、それを観察して、注意している」からです。安全な日本に住んでいると中々わからないものです。

しかし、こういう風に書くと、なんだか面倒で難しそうに見えますが・・・実は普段からやっていることです。

食べ物の場合

糸を引くことがない「食べ物」や「匂いがおかしい」等、以前の経験か、その危険を予知して、観察して、注意すると食べないという選択をしているはずです。腐りやすい時期の弁当など、特に気にしていなくとも、発見すればそうしていると思います。

私は、はじめて行った場所でランチ時に「他と比べて極端に空いている店」にはまず入りません。よほどマズイか、何か問題があると思ってるからです。同じようなことは、誰しも経験済みのはずです。

食べ物がわかりやすい点は、直接身体に入ってくるもので、直に影響が出るからです。

なりすましの場合

では、セキュリティの場合どうでしょうか? 「なりすまし」を例にすれば、警察官のような格好をしている人は、おそらく「そのような立場・職業の人」と思い込みます。
しかし、制服による「なりすまし」があることを知っていれば、状況に応じて「そのような立場・職業の人」と思わないかもしれません。状況を観察すれば、何か変なところが見えるかもしれません。注意することで「なりすまし」から、自身を守ることが出来ます。

振り込め詐欺、集金詐欺なども、「なりすまし」ですが、その状況を「知って、観察して、注意」することで、回避できます。が、冷静でない心境に持ち込まれるので、普段なら間違わない判断が歪んできます。

実名トークな場合

飲食店やカフェなどで実名トークをしている人が多くいます。よほど気をつけていない人以外は、普通にしています。感情的な話や、愚痴などになると、かなりの内容が含まれてきます。「医療機関の8割で患者データを紛失らしいが、しゃべる漏洩はもっとあるって(体験談その1)」「 医療に携わる人たちの「情報意識」病んでないか?と思う。(体験談その2)

セキュリティ意識に必要な「立場、視点を変えてみる」ことをしてみれば、おそろしい実態が見えてきます。

こういう質問をすると、ほぼ「そんなことはしません!」と模範解答が返ってきますが、実際は・・・自身がよくわかっていることです。

1.まずは「知る」ところは、いつもは喋る側なので、逆の聞く側になってみることです。5分程度、黙って耳に集中して雑音の中から聞こえる誰かの会話に耳を澄まします。

2.その中から興味のありそうな話題、一番良く聞こえる話、何でもいいのですが、「観察」に適した話に集中してみます。

3.「注意」して聞いていると、その話の中身が大まかに見えてきます。愚痴なのか、日常の話か、結構マズイ話、コンプラ的に問題のあるもの・・・単に聞いているだけの自身が、止めたくなるような、興味本位でもっと聞きたくなるような話になっていると思います。

これ、普段は自分自身がしていることを、鏡に写したように見ているだけの風景です。

実態を知れば、少なくとも同じ場面になっても、変わらず同じことはしないはず。ただ、知っていることと、実際に出来ることの違いはあるので、意識しなければ、継続出来ません。

逆に言えば、この実態を知ることで、何が問題なのか? 自身の気づきに繋がっていきます。

意識する、続けていくこと。日常の中でもしていることを、ちょっとだけセキュリティに置き換えただけです。

それでも、私たちはうっかりミスなどをしてしまいます。だからこそ、意識の継続が必要で、何度も意識し続けることが必要になります。社会人、ビジネスマンである以上、最低限身につけなければならない心得であると思っています。

Comment(3)

コメント

内田ヒトシ

更に大事なことは、セキュリティ専門家と称する人たちが虚構を述べない、真っ赤な嘘はつかないことでしょう。特にパスワード暗証番号については「誰にも出来ないことをアンタはやりなさい」式のガイドラインばかり。また、iPhone5sのように指紋認証と暗証番号のどちらでもログインできるシステム(利便性は上がるがセキュリティは下がる)でセキュリティも利便性も高くなるといったあからさまな嘘をばらまく人も少なくない。

ardbeg32

ネットニュースを漁れば毎月のように事件事故が報告されているし、それを社内に通知しても馬耳東風。指示待ち社員と同じで、目の前にある問題(仕事・セキュリティ)を「自分事」として捉えてないと思うんですよね。
腐ったものを食べないのは「自分事」だからであって、腐るかもしれないお菓子を職場に放置するのは「自分事」じゃないし、だまってそっとかたずける優しい社員は「自分事」だと思うからではないでしょうか。
啓蒙教育=知るがさっぱり効果を現さない一方で、CatやSKYSEAのような監視ソフトを入れると一発でインシデントが減るのはやはり「自分事」という牽制効果が働くから。
デジタルを使わない業務監査でも、一部のサンプルを見るだけで社内全体への効果十分なのは「牽制効果」が働くからですし、新倉様が仰るような「知って、注意出来る」ような真っ当な人間って余り見た事がありません。

内田ヒトシさん、コメント有り難うございます。

>セキュリティ専門家と称する人たちが虚構を述べない、真っ赤な嘘はつかないことでしょう。
私も気をつけなければならないことと思っています。
気になることは、出来る人の基準で「仕組みが作られている」ことだと思います。
一般社員の方々がセキュリティだけを意識していない、出来ない中においても、パスワードの英数記号みたいな理想論を伝える前に、具体的に使える作り方を提示することと考えます。
http://blogs.itmedia.co.jp/niikura/2013/05/post-fd10.html


ardbeg32さん、コメント有り難うございます。

自分事をもっと大きく見れば、自身がやらない、出来なければ「会社にダメージを与え、自身の安定した仕事に影響する」ことが見えていないのだと思います。

>「知って、注意出来る」ような真っ当な人間って余り見た事がありません。

だからこそ、意識を高く持つための啓発が必要だと考えています。真っ当な…は、普通に当たり前になれば、そうなると確信しています。
牽制、抑止が働くのであれば、少なくとも「そこに意識」を向けているから。
全体の底上げが出来なければ、鎖の弱い部分と同じで、弱い場所の強度しかありません。
http://blogs.itmedia.co.jp/niikura/2013/07/google-4af6.html

どうも有り難うございました。

コメントを投稿する