オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

抑止で防止はできませんが、防止よりは「心理的」に影響する抑止セキュリティ思考

»

セキュリティの根本的な考え方を変えなければならない時期に来たと思っています。

証券会社、保険会社、自衛隊・・・今年も大きな漏洩事件がありました。内部からの漏洩です。被害の大きさ、イメージ失墜を考えれば、犯行報酬と比較しても「まったく合わない」です。懲役も2年ちかくになりました。

しかし、これらの事件でもセキュリティ対策はされていた。はずです。技術的な防止や、業務プロセスなど、やりにくい環境もあった。はずです。

セキュリティ思考で間違っていると思うものに、防止策があります。防止の有効性の限界を知らなければ、防止の効果も対策も思った通りに機能しません。これは監視カメラの死角と同じです。見えない場所があるのです。

防止策は、極端な言い方をすれば、「子供に火遊びはいけない!」と言っていることと変わりません。確かに火遊びは危ないので「いけない!」と教えなければなりませんが、「なぜいけないのか」の説明がないままに、ダメ!ダメ!の連発では、余計に好奇心が煽られます。

火遊びが出来なくする環境作り。例えば、マッチやライターなどを届かない場所に置く。隠しておく。。。など、方法はありますが、これだけでは「火遊びがいけない」理由もわからず、「やりにくい環境」しかありません。

セキュリティにおいても、「いけない」「できない」環境は必要です。ただ、これだけでは「なぜダメなのか?」を理解しないままに・・・なってしまいます。

火遊びをすると・・・「こんなことになってしまう」イメージや実例を教える、知らしめなければ、根本的な原因はなくなりません。どうなるか?わからないから・・・つい。。。やってしまうのです。頼まれてもやりたくいと思う、最悪な結果をイメージしなければなりません。情報漏洩でも同じようなものです。

USBメモリーの使用を制御するためには、防止もいいですが、物理的使えない方法を提供するべきです。USBを塞ぐ方法などです。これは、塞がれているので使うことが出来ません。持ち出しにも使えませんが、他のUSB機器(マウス)なども使うことが出来ません。ここまでするのならば、防止効果も最大限に発揮できるでしょう。

これが「どれほど無茶なことか・・・」本来のUSBの意味がなくなってしまいます。なので、折衷案として防止制御になっています。

常に色々なことを考えていますが、最終的に私の考えるセキュリティは「抑止」になりました。

抑止で防止は出来ません。セキュリティ事故のほとんどは人災です。出来ないとわかっていても、出来る方法はあります。これは、防御側よりも攻撃側のが強いのと同じです。どれほどの防止策を施しても、回避策を探すほうが簡単なのです。

しかし抑止は「心理的」に働きます。

防止できないものでは「意味がない」とよく言われますが、本当でしょうか?

セキュリティがセキュリティのために行われているから、意味がなくなっているのでは?と思うのです。

だから「どうなっているのか?」「どうなってしまうのか?」・・・対象者に、はっきりと見えない「抑止」が最大の効果を発揮するのです。

抑止効果のポイントは、

 1.防止には、きりがない。

 2.抑止対策はされているらしい。何か見えないけど、何かされている状態って嫌らしい状態を保つ。

 3.その結果イメージを鮮明に持てる。

セキュリティ以外でも有効なもの、これはマネジメントです。

どうなってしまうのか?鮮明なイメージを持たなければ、問題はなくなりません。教える、伝える責任もあると考えます。

心理的に影響することが、抑止効果です。なんでセキュリティなんか考えなければいけないのか?と誰しもが思っていることです。ダメ!ダメ!と言われているから。。。よりも、「自らやりたくないと思うこと」に向けていく。これこそが抑止効果と思っています。

セキュリティを抑止に向かせなければ、どれだけ教育、啓発をしても、対岸の火事だったり、自分には関係ない・・・上辺だけの効果がないものにしかなりません。傷に染みこむように伝わりません。

本来のセキュリティ思考、今一度考えてみませんか?

Comment(0)