NTTではUSBメモリーの使用を禁止する! 単品対策と全体バランスはどうですかね?
先日の漏洩事件ですが、USBメモリーの使用禁止ということをするようです。単品対策としては間違ってないですが、全体見た時セットの対策としてはバランス悪い場合もあるのは、誰でも知っていそうなものですが、どうですかね?
前回ブログ:NTT西子会社の大規模情報漏洩で件数や期間よりも「属性」が気になる
NTTで「USBメモリの使用を禁止する」 島田明社長が明言 Xでは「マウス使えない?」などのデマも
「われわれは現在、緊急対応として、グループ全社がルールを的確に守り、実施しているのか否かを確認し、課題があった場合は適切に対応していく。業務においてUSBメモリの使用を原則禁止していたが、一切禁止にしていく必要がある。例外的に使わざるを得ない場合は許可を取るようにしていく」
過去の漏洩事故や詐欺などをみても、毎回思うことがあるんですよ。
・偽物の案内が郵送とか、アップデートCDとかが、送られた事故。
その対策として、
・今後もこのような案内をお送りすることはありません!っていうのが、いくつもありました。
これ、本当にそうですか? その時に起きた問題だけを捉えれば、確かにそうだと思います。実際に送っていないですからね。
でも、今後も...ってなりますかね? 今後、何がどのように起きるか?その時どのような対策方法をとるか?なんて、事前に解るわけないと思うんですけどね。これがわかるのならば、事前にも解ってたんじゃないの?と。だったら事故起きないはず。バランス悪くないですかね?
基本は出入り口の対策
出入り口の対策は、人的でも同じです。漏洩とか持ち出しって、必ずどこかの出入り口を通るので基本です。
今回のUSBメモリーの使用もそうですが、データーを媒体で持ち出すならば、USBポート、SDカードスロット、Bluetoothとかの無線...色々あります。量は多くなりますが紙媒体もあります。
もう10年以上前にUSBポートが存在しないPCってのがありました。ポートないだけなのに高かったイメージだけ記憶があります。でも、こういう物理セキュリティってわかりやすいし、一番確実です。だってUSB入らないから出入り口にならない。既存のUSBポートを塞ぐ簡易的なものも以前からあります。
何とトレードオフしますか?
出入り口を塞ぐ方法ですが、このUSBメモリーの使用禁止だけが、どれほどの有効性や意味があるのかは何とも難しいです。ほとんどの事件の場合、限りなく100%に近い99%以上とか、こんなルールなくても持ち出すことはありません。うっかり系事故の場合は業種にもよりますが、70-80%くらいの従業員の方は注意しているので起きません。
1%とか、20-30%の人による問題で起きていますが、それをどうやって起きにくくするか?これの追求をしていくしかありません。全体の人数割合は低いですが、ダメージは相当なものになります。
で、何の不便とトレードオフするか?ということになります。
わかりやすい言い方をすれば、スマホの画面ロック。顔認証なら早いですが、パス入力を毎回すると面倒ですよね。パスなしで横にピッとなぞるだけのが楽です。紛失盗難の可能性が1%なら、99回のパス入力をするか?パス入力なしにするか?面倒な99回を選べば1%の事故が起きても「中身のデータや、プライベートな写真」を見られる可能性は低くなる。って話ですが、例外的に「フルオープンでOK!」とか言う方もいるので、それは話になりませんが・・・いずれ痛い目にあうと思います。
で、USBが使えなくなると、
結構不便ですよ。データのやり取り以外にも、USB使いますからね。起動しなくなっても、CDとか内蔵してないとUSBから起動も出来ないし、何かの外部機器も繋げられない。
単品対策としてはいいのかもしれませんが、全体のバランスがよくない。
悪意に対してはやりにくくなる。通常業務の悪意なき人達の業務も変えなくてはならない。USB単体が繋がらなくても業務に問題はない場合もありますが、全体バランスを考えたときに、どこ取って、どこ削るかのトレードオフ関係をしっかり考えないと、業務のやりにくさから、事故を誘発するプロセスを作っているケースが多くあるのは、それを経験した方しかわかりません。
単に数字のパーセンテージで事故確率は低くても、ダメージで考えたときの損害とは違うこと。なにか簡単な方法ないですかね?