オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

10年前のHacker天国から、今は情報漏洩大国に向かう農耕民族の危機意識

»

2000年前後にWeb改ざんが多発し、当時の日本はHacker天国と言われ、今では情報漏洩大国になりつつあります。狩猟民族と農耕民族の危機に対する意識に大きな違いがあるのです。常に獲物を狙い食うか食われるか?の意識が危機に対するセンスを持つのです。しかし、我々日本人のDNAには「それがない」のです。ならば、身につけて行かなければ本当に情報漏洩大国になってしまうのです。

アリコの情報流出事件は「情報漏洩大国」への警鐘か日経BPネットより

個人情報の流出・漏洩が「いつでも、どこでも」になりかねない

 まさに「再び」である。23日に発表されたアリコジャパンの情報流出事件には、正直なところ「またか」のウンザリ感がともなう。なにしろ、りそな銀行の個人情報紛失が明らかにされた22日の翌日である。また、6月には三菱UFJ証券の顧客情報流出事件で元部長代理が逮捕されたばかりだ。

 はからずも前々回のコラムで、「第二、第三の『三菱UFJ証券情報流出事件』は起きるか」と指摘したが、1カ月もしないうちに似たような事件が起きたわけである。こう次々とでは、金融機関や保険会社の情報管理に不安を感じるのも当然だろう。

SecurityNEXT個人情報漏洩事件一覧を見ても、何でこんなにあるの?と思うほどに事件は発生してます。ここに出てこない事件も多くあるでしょう。または漏洩の事実を知らないケースもあります。外部からの指摘で気がつくなんてこともあります。

個人情報だけが情報ではありません。企業の根幹となる機密情報もあります。

個人情報は、その個人の方々の情報を「お預かり」しているのです。しかし現実は「お預かりもの」をしているようには感じません。預かっている企業に働くのは人です。個人がある組織で集合体となると会社になるのです。この働く個人の方々も自分の情報が含まれていれば・・・「預かりかた」にも何かが変わると思うのです。

機密情報の場合は、企業単体で持っている場合と、複数の企業間で持っている場合などがあるでしょう。ここにはノウハウの固まりがありますので、漏洩したら事業そのものに影響する重大な問題となります。

もしも明日解雇されるならば、私は機密を持ち出す---回答者の88%・・・らしいこれはちょうど1年前に書いたものです。金融危機の前に調査されたものなので、今日ではもっと深刻なレベルにあると思います。

その続編である、機密情報をIT管理者の88%が解雇されれば持ち出し、35%は無断アクセスする(米国調査)も、同じ調査会社の結果です。

ここに物語られている事態が、先日の三菱UFJ証券の事件では現実となりました。管理者であれば、ほとんど何でも出来るのです。と言うか、何でも出来なければ管理者としての仕事にならないからです。

善悪の判断は必要ですが、人を同じように判断できるほど単純ではないのです。(そもそも情報セキュリティを「性善と性悪」の2つで考えるのが間違いのはじまり

この性善説と性悪説で考えていることが間違い。例えば狩猟する獲物をライオンとします。ライオンに性善説も性悪説も通じるでしょうか? 狩猟民族の人たちも、頭で考える前にカラダが覚えている本能で動いているのです。ライオンも同じです。でなければ、お互いに食うか食われるかのギリギリを勝負しているのです。

私はどこまでも豊かな国である日本に生まれたことを感謝しています。諸外国で起こっているようなトラブルもなく、安全に暮らせるのです。水も豊富で飲み水で下水を流すことが出来るのです。水事情の悪い国に比べれば、こんなに豊かな国はあるでしょうか? ライオンに食われる心配もありません。そんな心配をしなくてもいいDNAを持てたことを有り難く思うのです。

近年では安全神話も崩れてきましたが、それでも十分に安全です。夜中に繁華街にいても、コンビニに1人で買い物にも行けるのです。海外であれば、同じことが出来るでしょうか?

この安全な中にずーっと暮らしていると、それが当たり前のことになり、平和ボケしてしまっていると思うのです。

そもそも違うDNAであることを認識して、それに対応できる体制を作るしか方法はないのです。どれほどのルールを作っても、誓約書を何枚も書かせても・・・麻痺していくのです。オオカミ少年のように。。。

昨今の労働条件や不景気による問題も多くありますが、企業があり続けることに必要なことは、簡単に片づけられることではありません。コスト削減も必要ですし、外科的処置も必要です。

しかし、セキュリティに対する意識は未だに高くなく、予算の限られた中では優先順位まで低いのです。それで何が、何を守ることが出来るでしょう? 情報セキュリティの中心にいる人ですら、マネジメントはルールだけで出来る!と言い切った人がいました。そんなバカなことを言っているのは、頭だけで考えて、守る側の視点しか持っていなければ・・・そうなるでしょう。熊に襲われそうになったら、死んだふりをする。これが本当に有効か知りません。もちろん考えることも必要ですが、考えるだけは解決出来ないこともあるのです。

思考のスコープを広げてみて、視点を変えてみない限り、ライオンは後ろにいるかもしれないし、空から熊が落ちてくるかもしれないのです。

せきゅりてぃをセキュリティに変え、攻撃思考を持つことが、今もっとも必要なことだと確信しています。

参考:結果には原因があるが、その中間に予兆があり実行があったことに注目

Twitterのデータ漏洩で学ぶことは、基本である「セキュリティの鎖」思考

Comment(0)