オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >
RSS
新倉茂彦の情報セキュリティAtoZ

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

ソーシャルメディアの活用とセキュリティ:ダメダメの禁止がセキュリティを悪化させている

»

一昨日、企業におけるソーシャルメディアの活用とセキュリティに関するお話を聞いてきました。

セキュリティ企業のクリアスウィフトは4月21日、「企業に勤める従業員を対象としたWebと電子メール利用の実態調査結果」を発表した。組織内のポリシーと従業員の意識に大きな違いがあることが分かった。

 職場で導入されているWebや電子メール運用ポリシーは、「個人情報のメール送信禁止」(39%)が最多だった。「Webサイトへの業務関連情報の書き込み禁止」(37%)、「Webメール禁止」(30%)、「Web経由ファイル転送禁止」(20%)が続く。

 職場での利用実態について、利用頻度が「ほぼ毎日」という回答がWebメールで47%、ブログ・チャット・掲示板は16%だった。また「オンラインショッピングを週に1日以上利用する」という回答も20%あった。回答者の半数以上は、職場でのファイル転送サービスの利用や休憩時間に業務以外の Webサイトにアクセスできることを希望していた。

資料はこちら

話を聞きながら、わんとぴでも書いてみました。以下。。。

  1. 誤がつくものは多くある。誤…送信・送付・封入・設定・交付・焼却・裁断・記載…などなど   
  2. メール誤送信対策、未だに減らない古典的で大きなリスク   
  3. 意識は高いし、必要性も理解している。が、現状の対策は進んでいない。@日本のセキュリティ調査←これが日本は情報漏洩天国と呼ばれるところです。 
  4. Webとメールの内部リスク、強く意識している。情報漏洩は95%@日本のセキュリティ調査
  5. しかし実態は、人為的ミス、故意で必要悪な操作・・・←これって従業員教育を行わない限り、企業にも従業員にも双方にリスクがある   
  6. 利用者に利用規制をする禁止型のポリシーが多い@日本のセキュリティ調査 
  7. Webメールとオンラインショッピングの利用がが圧倒的に多い。3番目にブログやTwitterなど@日本のセキュリティ調査
  8. サンプリングは、日本全国50名以上の企業に属する従業員515名@日本のセキュリティ調査  
  9. これは技術的なものよりも、利用者の情報リテラシー向上が必要な気がしている。
  10. セキュリティに懸念は残る。しかし2/3の企業は前向きに取り組みはじめている。←ここ大切です。セキュリティよりも、もっと必要なことが見えてないと思う   
  11. セキュリティのためのセキュリティは、必要ない。これは私の持論 
  12. しかし、セキュリティへの不安から積極的な関与をしていない。これは何とも見えにくい「セキュリティ」に問題がある・・・と本質から外れたセキュリティを問題にすることで回避してきた。@欧米のセキュリティ調査 ←ここ重要なポイント
  13. 従業員側の積極的な参加意識が高まってきた。仕事の推進にも好影響がある@欧米のセキュリティ調査
  14. 現在では、様々なメディアを使ったコミュニケーションが行われている。ここにセキュリティな脅威がある@欧米のセキュリティ調査
  15. 1対1、1対Nのメールコミュニケーションなど、相手が明確だった。従来は@欧米のセキュリティ調査
  16. サンプリングは、イギリス・アメリカ・ドイツ・オーストラリアの従業員1629名@欧米のセキュリティ調査

リアルタイムで聞きながら要点をまとめるのは苦手だなぁ。。。と思っていたのですが、抜粋してみると意外にまとまっていました(笑) と言ってもレベルは、私の中で基準としているものなので、ツッコミどころではありません(自爆)

太字にしたとことが、気になった部分です。新しい順に並んでいるので、時間軸で見ると下からはじまっています。

12のセキュリティーを理由にすることで積極的に取り組みづらい。・・・と言うのは、セキュリティと言えば、よくわからないことまでもが、言葉で包まれるマジックワードのようなものとして使われているような感じがしてます。

別に、すべての企業が全面的にソーシャルメディアを積極的に使う必要はないと思っています。ここで大切なことは、ソーシャルメディアに限らず、セキュリティに対する取り組みの中で、セキュリティだけを中心に考えることに問題があると思っています。

もちろん、セキュリティは大切ですが、誰しもセキュリティのために仕事をしているわけではありません。逆に、せっかく良いことまでも、セキュリティって理由で止めてしまうことに私は懸念しています。なんちゃってセキュリティ思考が悪影響を及ぼしています

3のセキュリティに対する意識は高いし、必要性も理解しているのに、対応が進んでいない。これがセキュリティに対する甘さです。対策しない、特に何もしないという選択・・・これも選んでいるのです。このリスクを知る必要があります。極論を言えば、対策出来ないから利用禁止も考え方としてはアリです。が、完全に利用禁止ができる環境でしょうか?今どきの事情を考えれば、インフラも環境の場も整っているのに、規制をすることにどれほどの意味があるのかと。。。携帯やスマートフォンの普及を考えれば、どうなのかと思うのです。

結局、業務中はダメにしても、業務外では禁止のしようもないですし、仮に出来たとしても、それで本当に規制出来るか?と。1つのコミュニケーションツールとして有効な活用方法を考えるほうが、全体のモチベーションにもセキュリティにも底上げに繋がっていくと考えています。

もっとも必要なことは、ソーシャルメディアが・・・でなく、情報に対する認識と意識や、リテラシーを向上させる方向に持って行くことが、ビジネススキル全体の向上にも繋がっていくと考えています。例えソーシャルメディアの規制をしても、直接の対話に必要なスキルや、どこまで言っていいのか解らない判断を迫られる場面の多くが日常のビジネスの中にあると思います。

また、誤のつく問題が多くあります。(送信・送付・封入・設定・交付・焼却・裁断・記載…)これは単純ミスやヒューマンエラーが原因です。間違えることを前提に考えることは、ダメとか禁止ではありません。それよりも、みんなの目で見守っていく。間違えることを前提に考える。これこそが、全体の成長になると感じています。

表層的な対応を考えるよりも、根っことなる部分に注目することで、応用は無限大に広がっていきます。

と、最近セキュリティに対する考え方をしています。

セキュリティな話題のTwitterは、http://1topi.jp/security/

新倉茂彦のTwitterは、http://twitter.com/niikura

新倉 茂彦 2010/04/23 09:26:15 Comment(0)