オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

セキュリティのルールは破るためにある?視点を変えれば守りにもなるのだ

»

実態調査によると、破って当たり前のようです。半数ちかくの人が守ってない結果になっています。これは単にルールを守ってないという話ではないと。。。思うのです。

 多くの企業で、従業員が社外秘情報をUSBメモリにコピーして持ち出したり、同僚と同じパスワードを使ったりするなど、会社のセキュリティポリシーを無視した行為が日常化している。フラッシュドライブメーカーIronKeyが6月10日に発表した調査で、こうした実態が明らかになった。

 調査は、IronKeyの委託で調査会社Ponemon Instituteが従業員を対象にアンケート調査を実施した。それによると、従業員の69%が社外秘などの情報をUSBメモリにコピーしていると回答。しかし、会社のポリシーでこのような行為が認められているのは13%のみで、48%がポリシーに従っていないことが分かった。

なぜ、こんな事になるのでしょう?って・・・難しいことじゃないのです。普通に仕事をするのに「これらを破らなければ」円滑に業務が進まないからです。

かっぱらい天国じゃありません。確信犯のかっぱらい系の人には、「ルールを破る」という言葉が辞書にありません。

真面目に仕事をしている人たちが、なぜこんなことをしなければならないのか?←ここが抜けているのです。

前回書きました、情報セキュリティ標語の「き」:金曜日、残った仕事を、持ち帰るでも、なんで「こうする」必要があるのか?と考えなければなりません。労働環境の話です。

 

「個人で使うインターネットソフトを会社のコンピュータにダウンロードしている」という従業員は53%、「職場のコンピュータのセキュリティ設定やファイアウォールを無効にしている」は21%、「同僚と同じパスワードを使っている」は47%。「情報を記録したリムーバブルメディアを紛失したことがある」と答えた43%のうち、72%はすぐには会社に届け出なかったと打ち明けた。

この要因と結果の数字をどのように読みますか?

・ルールを守らなかったから?確かにそうです。

・セキュリティを知らなかったから?かもしれません。

・誰にも言わなきゃわからない!これドカンと大きくきますね←あとで

何もない時に、会社が従業員に質問をすれば、誰しもが「ルールを守ります」と言うでしょう。質問している側であっても「特別な理由」や「例外」などの、大義名分さえあれば、ルールを守れないし、破るのです。

なぜ守られないのか?破るのか?何かの「原因」があるかも知れませんし、単に「面倒」な事だけかもしれません。いずれにしても、守られずに破るにも大義名分があるのです。。。ここにセキュリティの本質があると考えます。

逆の視点から考えなければ、実態に即したセキュリティなんて無理ですね。クレヨンしんちゃんの「ママとの約束事項」は30個くらいあったと思います。どれだけ守られているか不明ですが、1個だけでも守られれば良いものや、1個だけでも守られないものがあればって、私たちも同じようなものです。

連鎖的にブーメランのように自分に戻ってくるような仕組みだったら?と常に考えています。

Comment(0)