オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

情報漏洩マネジメント「うっかり」と「狙い打ち」対策の違い

»

対策を考える人たちは、性善とか性悪とかに別けることで、一見わかりやすくなったように陥りがちですが、本当にそうなのでしょうか?

善から悪に変わる場合もあれば、悪から善になることもあります。悪に対する処方を善にしてしまえば、何らかの問題を起こしてしまう引き金になるかもしれませんし、それをきっかけに悪意に傾いてしまうかもしれません。善に対する処方も、10%悪には効くかもしれませんが、80%悪には効かないかもしれません。 過去ブログ:そもそも情報セキュリティを「性善と性悪」の2つで考えるのが間違いのはじまり

海の色が薄くキレイな所と深く青いところがあるように、善と悪も「濃度」というか「本気度」・・・その時の環境によって、傾きも速度も変わってきます。

先日のベネッセで発生した情報漏洩事件では、容疑者がスマホを充電目的で偶然接続したら認識した・・・とニュースになっています。その後ネット上では、最新のスマホに対応した対策がなかったから・・・等が多く見られます。また、ベネッセ自身も容疑者逮捕のプレスリリースの再発防止策で、技術的面でのサポートとか、脆弱性評価とかが書かれていました。

ベネッセ関連のブログ:

ベネッセの思う「重要でない情報」を7つのケースで考える

ベネッセの顧客情報漏洩に思う「大きな勘違い」

ニュースになったものしか情報がありませんので、実際はわかりませんが、

そもそも、スマホの持ち込みが必要ある場所だったのか?

と、思ってしまうのです。

じゃあUSBが認識出来ない対策を・・・、USBを塞いでしまおう・・・、スマホとPCがUSB以外でも繋がらないように・・・など、見る場所がどうも違うような気がしています。高性能なカメラもビデオもついているので、画面を撮ってしまえば、手間こそかかりますが、十分に情報を盗ることが出来ます。

その作業場所で何らかの連絡手段が必要ならば、病院にあるような院内PHS見たいなものとか、無線機など、方法はいくらでもあります。そんな機器を持つ必要すらないのかもしれません。限られた場所だけでの制限ですから・・・実際のところは何とも見えません。

情報セキュリティや漏洩対策が、何らかの機器を入れることで対策出来る。とのテクノロジー偏重な思考が事件を誘発しているように感じます。必要なテクノロジーは絶対に使った方がいいですが、扱う側である人とのバランスが取れていません。

うっかりの場合

ほとんど、90%以上は「うっかりミス」が原因で漏洩しています。

・雑な書類の扱い

・裏紙使用や、コピーファックスの原稿忘れ

・交通機関、飲み屋など、誰でも聞くことができる場所での会話

・日常業務で当たり前と思ってやってきた中に潜む、緩い弱点や危険な行為

・パスワードやリマインダーの管理

・誤○○、送信・送付・封入・設定・交付・記載・焼却・裁断・廃棄などの問題

・・・全く悪意はありませんが、再々確認を行っても起きてしまう問題から、ちょっと気をつければ十分に出来ることまで、かなり幅広くあります。

ここで必要なことは、うっかりミスの防止策うっかりすることへの意識しかありません。指差し確認とかありますが、声に出して行動することも意識確認の1つです。
ただ、パスワード入力時に文字をブツブツ言ってしまうことがありますので、注意が必要です。笑い話のように聞こえますが、自身ではわからないことなので、まわり(社内)の人たちが全員で気を配る的な事をすることで、弱点も見えてきますし、牽制が働き、セキュリティ意識の向上に繋がります。

外出の多い人はもちろんですが、通勤も含めれば、何か(会社のものとか、預かりものなど)持ち歩いていることは普通にあります。
しかし、これらが結構雑に扱われているので、紛失盗難してくれ!と言わんばかりの状態になってます。

会社から預かったり、自分の預金から引き出したり、もしも現金100万がカバンに入っていたら・・・電車の中で居眠りも出来ないでしょうし、棚に置くこともありません。膝に抱えて離さないでしょう。一方で、100万円かかった資料だったり、100万円分の個人情報、100万円分の機密情報などの紙ファイルだったらどうでしょうか? 価値はどちらも変わりませんが、扱いの慎重度には大きく開きが出てきます。

狙い打ちの場合

やる気満々で狙い打ち(盗る)場合、どれだけやる気を失わせるかがポイントになります。

・やりにくい環境(物理的、技術的、人的・・・)

・やった場合、自身に戻ってくる代償

・日常の行動変化(出社時刻の変化、不意打ちに声をかけたときの間、何かわからないけど普段と違うこと)

・盗るつもり(攻撃視点)で考える

・コミュニケーションの強化

まずは狙う側である攻撃視点でものを見る、してみなければ、弱点は見えません。弱点が見えなければ、何も手を打てません。

やりにくい環境作りは、多岐にわたります。これはじっくり観察しなければ見えてきません。

わかりやすい場合とわかりにくい場合もありますが、何らかの行動変化が必ずあります。ちょっとしたことでも、あれ?おかしいな?と気になることには、何かが隠れています。コミュニケーションを多く取ることで、少しは感じるようになってきます。

対策側は、どうしても守ることばかりに目がいきがちですが、狙う側の視点に立たなければ、守ることは出来ません。実際に守る側がどれほどのことをしてきていても、過去の事件を見る限り、守り切れていません。明るみに出る度に、難しいだろうなぁ。。。と思うことは少なく、攻撃側も世界一と言われるほどの能力を持ち合わしていません。結構簡単なとこを突いてるだけです。

日々色々な現場を見ている中では、役職者のが実行権限が多い分だけ、出来る範囲も格段に広がります。今回のベネッセもそうでしたが、IT管理者に限らず、企業の上から数えた方が速い位置にいる権限者が問題を起こしていることが多くあります。これは狙う視点以前の話で、日常の中で普通に行われる業務をしているだけです。託して任せているので、中々気づくことができません。
中には、パワハラのようなことまでして、巻き込み隠ぺいしているケースも多くあります。命令は権限者が、実行は部下が。。。って感じで。

ここでは「うっかり」と「狙い打ち」の2つに別けて書きましたが、そんなに両極端に存在するものでもありません。先の濃度や環境など、様々な影響もうけてきます。

少なくとも、情報セキュリティ、漏洩対策において考えなければならないことは、

1.他人の視点(うっかりならば外から見た視点、狙い打ちなら攻撃側の視点)、従来の思考と真逆の視点等、見る場所を変える。

2.テクノロジー偏重のバランスを戻すために必要なこと(いらないものまで導入しているとか、使う側の意識啓発、そもそもの仕事プロセスの見直し)を、日常業務の中から見つけ出すこと。

3.情報セキュリティや漏洩対策と聞いた時に、自分ではよくわからないと振ってしまうマネジメントをしなければならない立場の人、経営層の方々など、アレルギーを起こす前に、よくよく考えれば、セキュリティに特化した事ばかりではないという事実を知ること。

と考えています。

誰しもがエクスキューズ対策でセキュリティを考えている間は、どこまで行っても大して変わりません。立場によって考え方も、対策方法も変わってくるものを、金太郎飴な思考では無理があります。外見上細くなっていれば弱点も見えますが、外見は変わらないにも関わらず、問題がある場合が多くあります。これは飴を切ってみなければわかりません。断面が金太郎のはず。。。と思っていても、渦巻きのようになっているかもしれません。

情報セキュリティや漏洩対策は、マネジメントが変わるとことからはじまります。

Comment(0)