オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

解雇されれば情報を持ち出す・・・現実味が増してきた世の中の変化

»

もしも明日解雇されるならば、私は機密を持ち出す---回答者の88%・・・らしいで書きましたが、その後ご存じのように、世の中が不安定な状況になってきました。 連日のニュースを見ていても、明るい兆しは見えないし・・・

で、ちょっと考えてみました。超私見なものです。

情報漏えいでよくある「紛失してしまった」「P2Pで漏れちゃった」・・・などの事件も後を絶ちませんが、もっと確信的に実行しやすい環境と場面にも、注意を向けたいものです。

この、もしも明日・・・は、もしもでなくなる可能性が大きくなってきました。もしも明日・・・ならば明日に向けて持ち出すのでしょう。しかし、その明日は「いつ自分の身」に及ぶかもしれない可能性が高くなってきた今は、どうでしょうか?

 

漏えいの経路

1.表沙汰になりやすいこと。個人情報の漏洩など ← 自ら公表せざるを得ない。
2.なりにくいこと。企業内の機密情報など ← 公表することが良いとは限らない or 隠蔽など

これは、その情報ソースが誰のものか?の違いだけです。相手のものか自社のものか。

1の個人情報などは、企業が個人の方の情報をお預かりしているので、それが漏れれば報告しなければなりません。

2の機密情報の場合は、企業内だけのものであれば、表沙汰にしないほうが良い場合もあります。
これが、他企業にまたがるものになると、1企業だけの判断はできません。隠蔽に関しては、一時的にはいいのかもしれませんが、ほぼバレるものです。

これらの流通媒体は、WinnyなどのP2P、Web上のサービスを利用する、紙で持ち出す、メモリーに書き出して。。。などなどがあります。

 

現実的な対策をしてますか?

そもそも、企業がセキュリティ対策をするにあたり、非現実的な実態に無理のある事を多く行っています。

持ち出し禁止の対策は、それはそれで必要ですが、業務に支障が出ている場面が多く見受けられます。

労働環境から見れば、残業ダメとか、持ち出し禁止・・・
誰も残業したくないと思いますが、そうでもしなければ終わらない事も多くあるのです。

立場による考え方の違いで見れば、仕事が遅いからだろう。なんて見方も出てくると思います。
一方で、絶対的な仕事の量が多いから、処理しきれない。のも現実です。

非現実的なセキュリティ対策を行い、実態に則していません。しかし円滑に業務を進めるために、ルールを破るしか方法がなかったりします。

これは対策側が、きつい対策を行うことが「良い」と思い行われているわけですが、実態とは大きくかけ離れています。極端な例で言えば、交通担当であった警察官の飲酒運転と同じようにしか思えません。

ここには、セキュリティ対策を行う側の判断基準に、守ることだけしかありません。自社にとって最適な方法を見つけられないか、他の企業も導入しているから・・・などの、判断基準しか持っていないことが大きいと思っています。方法を考えるにあたって、他の企業も導入しているから安心・・・なんてのは、問題外です。

明確な判断基準を持っていないから、そんな部分で判断するしかないのでしょう。

 

現実は・・・ 

従業員の方々は、そんな中でストレスを感じながら、情報を扱っています。が、情報管理は、自分に直接の影響がないために、ずさんになりがちです。

で・・・結局は、エクスキューズできる対策に走ってしまうのが現状ではないでしょうか? 先の導入事例が多いからや、何かあったときのために、何かしておかなければ・・・って感じでしょうか。

各自が管理しなければならないか、管理しなくとも良いようなガチガチなものになっています。これらは、 労働環境の矛盾も影響しています。会社への帰属性もあったりします。

例えば・・・モバイルのパソコンがあるから、何処でも仕事ができる環境になりました。メールで、何処でもデータを受け取れる環境にもなりました。

モバイルで仕事をするのが良いか悪いかは別にして、飛躍的にビジネスのスピードが上がったことは間違いないでしょう。私はモバイルで仕事ができなければ、仕事になりません(笑)

モバイルPCを使うのに、特別な資格も試験もありません。運転免許証のようになったほうが良いと思います。持ち歩く中身や、なくなる危険を知らないから問題が起きるのです。同時に持ち歩く分、それなりにいろんなことが出来てしまうこともあります。免許の更新時に見せられる「事故の悲惨な映像」は、見た後に気分がどんよりとします。でも、見るからこそ、気をつけよう!と思うきっかけを頂いているのです。

管理側と管理される側の立場により、管理項目もチェック項目も変わりますが、最終目標は、何のためにどうするのか?って部分だと考えます。


自分の身が怪しくなると・・・ 情報を持ち出す・・・とすれば

企業そのものがなくなってしまう場合と、自分の身だけが怪しくなってしまう場合があると思います。いずれも、自分を中心に考えれば、職がなくなることにおいて、同じことです。

もしも明日・・・は、そうなるのであれば、88%の人が持ち出すらしいのですが、今日の状況下では、この事前準備は既に行われていると考えます。破滅的な行動に出ることは、容易に想像できます。会社がなくなれば「うやむや」になりますし、自分に及べば、その後にどう使うかは後で考えたとしても、材料だけはGETしておくでしょう。

 

セキュリティなんかに金はかけたくない

企業が存続し続ける前提で考えれば、今は余計なコストはかけたくない。ってのもわかります。または、存続が困難だから、これ以上余計なコストをかけたくないってこともあるでしょう。

しかし、今日の企業活動における源泉は何でしょうか?源泉がなくなって吹っ飛んだ例もありますよね。

・・・コストをかければ良いわけではありません。バランスが重要です。しかし、何もしなければバランスもありません。何も起きないと言えるのであれば話は別ですが。。。何もしない対策って考え方もありますし・・・

でも・・・結局、人はミスをしてしまうものです。私は持ち歩きますが、盗難対策や万一紛失した場合の対策はおこなっています。しかし最大の防御は、その中身の価値も手元を離れた時に発生することを、よくよく理解しているから、神経質なくらいに注意しているのです。

そこには、ひみちゅなデータも多くあります。現在進行中の業務データもあります。ものによっては、オンラインストレージを使っているものもあります。

データフォレンジックも行うので、どれ程容易に中身を見ることができるか?をわかっています。これは脅威を感じるほどに、かなりの事ができてしまうので、細心な注意をしています。

事前に守っておこう!ってレベルを通り越してしまった。今はそんな感じがしています。

Comment(0)

コメント

コメントを投稿する