そもそも情報セキュリティを「性善と性悪」の2つで考えるのが間違いのはじまり
私も以前、性善説と性悪説でセキュリティを考えていました、が、この限界に気づいたのでした。歴史に学ぶことは多くあり、個人的に中国古典は好きです。が、人間の行動はそんなに簡単じゃないと思うのです。
個人的には、性善説であると思いたいですし、そう願っています。しかし、そうなっていない。結果としての事件や事故を見る限り・・・
じゃあ、性悪説か?って、世の中そんなに悪くないんじゃないの?と思います。一部の少数の人が引き起こすトラブルですが、それを全部一緒くたに考えるには、無理があります。
分類を分けた方が、説明も理解もマネジメントもしやすくなります。でも、本当にそうでしょうか?
三菱UFJ証券によれば、社員への情報セキュリティ対策ではコンプライアンス強化の一貫から全社員を対象にした研修を毎月必ず実施していたという。しかし、元従業員が顧客情報保護に対する意識をどの程度持ち合わせていたかは定かではなく、「システム部門として特別な内容を実施していたかは把握していない」(広報部)と説明している。
システム部門であろうが、管理部門であろうが、営業部門であろうが。。。「そんなのかんけぇねぇ♪」のです。コンプライアンスって一体何をもって、言っているのか。
法令遵守なんて、バカなことを言っているから、コンプライアンスの強化なんて言って、何を実施しているの?と。。。
同じことを反復学習することが必要です。戦闘意識を失わせるような、もう勘弁してとうならせるような。。。とこまでやってますか?。。。いくら何でも、そこまではねぇ。。。なんて平和ボケしているのに問題がある。と思うのです。
アクセス権限の悪用を防ぐには、現場社員と管理者が本来必要とする最低限度の内容にとどめ、特権レベルは非常時の最終手段として利用する場合には厳格に監視体制を導入すべきであるという。特権を利用する場合には、申請者と承認者、監督者を分ける。申請者が申請内容の通りに権限を実施したかどうかをアクセスログや操作ログなどで厳しく照合するプロセスが必須となる。
アクセス権限の管理は必須です。が、日常の業務を円滑に支障が出るような、セキュリティだけの観点から見た権限管理ほど、間違っていることに気づいていない。ことに問題があるのではないでしょうか?
アクセスログや操作ログを取っておくことが重要ですね。後に何があったのかわかりますし、何よりも、見ているぞ!と抑止効果が発揮されます。
どうもセキュリティのことだけを考えた、仕事の仕組みを作っているのに、問題が起きるのはなぜか?。。。と、疑問を感じて欲しいのです。こんな仕組みほど、バカバカしいことはありません。誰しも、セキュリティのために仕事をしているのではありません。
すべてがバランス良く、業務効率もセキュリティも、調和がとれれば良いのですが、ケースによりまちまちですし解は色々あるでしょう。
情報セキュリティのルールを作るのも、破るのも、事故を起こすのも・・・すべて人が引き起こします。もちろん守っているのも人です。
情報がある限り、漏洩は必ず起きます。不意にも、悪意にも。。。
人のマネジメントが一番難しくもあり、逆に一番頼りにもなるのです。簡単に善か悪か2つにわけて考えるのは、もうやめましょう。