オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

セキュリティ意識を向上させる3つのポイント

»

情報セキュリティの話をする機会が多いの(当たり前w)ですが、どうもセキュリティ(抽象的な言い方)と言うと、ITセキュリティがメインディッシュのように思われているようです。情報セキュリティ(ちょっと限定した言い方)の中に、ITセキュリティがあり、人的、物理的等の要素も含まれています。

別な言い方をすれば、フルコースのメインにお魚とお肉があれば、ITセキュリティと人的セキュリティのような感じです。全体の中の部分的なものです。鳥の両翼、車の車輪のように、両方あってはじめて成り立つもの。それがITと人的な関係と思っています。

ITセキュリティの中にも、サーバ、アプリケーション、利用者向け等、目的によって専門領域も変わってきます。

人的なセキュリティは、人の意識向上しかないと思っています。イメージとしては、ウィルス対策ソフトのように、感染しても、水際で食い止めるようなもので、人も意識を高く持っていなければ、危機を水際で食い止めることは出来ません。出来れば、水際より手前で防ぎたいものですが、手遅れになる寸前はやはり水際しかないのかなぁ…とも思ってます。

情報セキュリティの必要性は、誰しも十分にわかっています。ITセキュリティならば、必要な対策を施すことで対応が出来ますが、利用者が「それ」を破ることも出来てしまいます。結局、理解出きていても、実践的に行動に移せなければ意味がありません。知っていることと、実際に出来ることの違いです。

意識は「持つもの」です。

1.セキュリティの危険を「知る

2.知ったものを「観察」する。

3.観察対象に「注意」を向ける。

これはセキュリティに限ったことではありません。日常の中で「実際にしていること」です。

例えば、海外旅行に行けば、日本にいるときとは意識が違うはずです。日本へ戻れば意識はいつも通りになります。そしてセキュリティに関して言えば「いつも通り」の中で最も低い状態になっていませんか?

違いは簡単で、ガイドブックに書かれている「危険を知って、それを観察して、注意している」からです。安全な日本に住んでいると中々わからないものです。

しかし、こういう風に書くと、なんだか面倒で難しそうに見えますが・・・実は普段からやっていることです。

食べ物の場合

糸を引くことがない「食べ物」や「匂いがおかしい」等、以前の経験か、その危険を予知して、観察して、注意すると食べないという選択をしているはずです。腐りやすい時期の弁当など、特に気にしていなくとも、発見すればそうしていると思います。

私は、はじめて行った場所でランチ時に「他と比べて極端に空いている店」にはまず入りません。よほどマズイか、何か問題があると思ってるからです。同じようなことは、誰しも経験済みのはずです。

食べ物がわかりやすい点は、直接身体に入ってくるもので、直に影響が出るからです。

なりすましの場合

では、セキュリティの場合どうでしょうか? 「なりすまし」を例にすれば、警察官のような格好をしている人は、おそらく「そのような立場・職業の人」と思い込みます。
しかし、制服による「なりすまし」があることを知っていれば、状況に応じて「そのような立場・職業の人」と思わないかもしれません。状況を観察すれば、何か変なところが見えるかもしれません。注意することで「なりすまし」から、自身を守ることが出来ます。

振り込め詐欺、集金詐欺なども、「なりすまし」ですが、その状況を「知って、観察して、注意」することで、回避できます。が、冷静でない心境に持ち込まれるので、普段なら間違わない判断が歪んできます。

実名トークな場合

飲食店やカフェなどで実名トークをしている人が多くいます。よほど気をつけていない人以外は、普通にしています。感情的な話や、愚痴などになると、かなりの内容が含まれてきます。「医療機関の8割で患者データを紛失らしいが、しゃべる漏洩はもっとあるって(体験談その1)」「 医療に携わる人たちの「情報意識」病んでないか?と思う。(体験談その2)

セキュリティ意識に必要な「立場、視点を変えてみる」ことをしてみれば、おそろしい実態が見えてきます。

こういう質問をすると、ほぼ「そんなことはしません!」と模範解答が返ってきますが、実際は・・・自身がよくわかっていることです。

1.まずは「知る」ところは、いつもは喋る側なので、逆の聞く側になってみることです。5分程度、黙って耳に集中して雑音の中から聞こえる誰かの会話に耳を澄まします。

2.その中から興味のありそうな話題、一番良く聞こえる話、何でもいいのですが、「観察」に適した話に集中してみます。

3.「注意」して聞いていると、その話の中身が大まかに見えてきます。愚痴なのか、日常の話か、結構マズイ話、コンプラ的に問題のあるもの・・・単に聞いているだけの自身が、止めたくなるような、興味本位でもっと聞きたくなるような話になっていると思います。

これ、普段は自分自身がしていることを、鏡に写したように見ているだけの風景です。

実態を知れば、少なくとも同じ場面になっても、変わらず同じことはしないはず。ただ、知っていることと、実際に出来ることの違いはあるので、意識しなければ、継続出来ません。

逆に言えば、この実態を知ることで、何が問題なのか? 自身の気づきに繋がっていきます。

意識する、続けていくこと。日常の中でもしていることを、ちょっとだけセキュリティに置き換えただけです。

それでも、私たちはうっかりミスなどをしてしまいます。だからこそ、意識の継続が必要で、何度も意識し続けることが必要になります。社会人、ビジネスマンである以上、最低限身につけなければならない心得であると思っています。

Comment(3)