【もしも】ソニーの7,700万人漏洩事件で外部攻撃がなく、内部が関与していたとすれば・・・
昨日書いた「ソニーのPSNから最大7,700万人分の個人情報が漏洩←対応の遅さが「早さ」と「信用」に加速する」の続きです。今回の事件は、外部のハッカーに狙われたとされています。でもでも逆視点になったとき、もしも内部の関与が何らかの形であったとすれば。。。と、ちょっと思ったのです。
事件は起きました。外部攻撃とした方が多少は都合がいいのかも知れません。もしも内部からの持ち出し等が原因だったとすれば、都合が悪くなることは必至です。いったい「何を」「どのように」管理していたのかと…
とは言っても、実際に漏洩しましたので、何もしてない被害者であるユーザーにとっては、原因が外部であれ内部であれ、漏れたことに違いはなく、被害は変わりません。漏洩事件で毎回思うのですが、何もしていない被害者であるユーザーには、どうしようもありません。唯一言える「何か」となれば、そのサービスを利用していただけです。これが事前に「漏洩するリスクあり」とか言われていれば、ほとんどの利用者は使わないでしょう。なぜ使うのかと言えば、前回書いたように「そこに信用」があるからです。
一方で運営者側の視点で考えると、もしもな内部の関与があったとすれば、起きてしまった事件がより大きくなってしまいます。ことの真相はわかりませんが、状況の確認に1週間もかかったことがちょっと気になっています。このもしもな場合だと、外側に少しでも原因を傾けることが出来なくなり、100%内部完結事件になります。しつこいようですが、被害者ユーザーにとって原因は内外関係ありません。と言っても、もしもな場合は「気分的には大きく変わるところ」でもあります。実際に起きてしまった事件と、その原因がもしもなのですから…
ここ数年、労働環境が大きく変わってきました。
以前に書いた内部犯行に関するブログ:情報漏洩カテゴリー・犯罪カテゴリー
機密情報をIT管理者の88%が解雇されれば持ち出し、35%は無断アクセスする(米国調査)
三菱東京UFJ証券:1人1万円のお詫び金の算出基準ってなに?
そもそも情報セキュリティを「性善と性悪」の2つで考えるのが間違いのはじまり
続:三菱UFJ証券の情報漏洩に「情けなさ」を感じた。犯行報酬30万円の代償
退職社員のが「情報を持ち出す」ならば、突然の解雇よりも準備が出来た?みたいです
今回のもしもは、決してもしもではないように感じているからです。原因が内外どっちでも7,700万人分の漏洩事件を起こしてしまった社会的責任は大きなものです。このどちらにしても、どのように管理していたのか?と突っ込まれる部分が多くあります。
今回の事件はソニーで起きましたが、他の企業でも業態でも関係なく発生することであると言いたいのです。
技術的に対策可能なセキュリティは「行うしか」ありません。しかし、非技術的な人的問題のセキュリティに関して「どこまで真剣に対応」して考え尽くしているのか?と疑問に思うことが多くあるからです。
上記過去ブログにある内部犯行系、外側から狙うよりも余程簡単です。どれほどセキュリティが強化されていても、内外で比較すれば。。。ですよね。
お土産として、時限爆弾のように、外から出来ないことが内では出来るもの。どれほどの人数の方々が一生懸命真面目に働いていても、僅か数人、たった1人でも大きな仕掛けを作ることが出来ます。会社を根底から揺るがすようなことが。。。なぜそんなことをするのだろう?と考えてみてください。保身を中心に考えればこその、普通な行動であると思っています。しても良いのか悪いのか?そんなことは、関係ないのです。どこに、なにの中心を持ってくるのかな違いです。
震災後に起きている便乗詐欺、ニセ募金、被災地に乗り込む泥棒などの信じられないようなことも、ごく一部の人がしていること。人道的に…などとは通じない相手。そんなことはあり得ない!と思いますし、そう信じたいと思っています。でも、実際に起きていることでもあります。
人が作り、人が働き、人が管理し、人に管理され。。。人間ならば誰しも間違いや勘違いがあります。セキュリティ事故でも悪意なき「うっかり」などが圧倒的に多いのです。もっと人に注目をしてほしいと願っています。
セキュリティの防止が出来ない部分においては抑止をします。抑止なんかダメだ!止められないじゃないか!そんな精神論では…と言われますが、他に何があるのでしょうか? 止めようのないところを何で防止するのでしょうか?
海外では既に、ソニー、PlayStation Networkの個人情報漏えいで訴えられるとはじまっているようです。今回の事件は世界中にユーザーがいるので、その対応も難しくなっていくでしょうね。アリコの事件の逆方向な感じを思い出します。
情報は預かっているものである意識が無いと思います。
定期的に自社のWeb上にセキュリティ標語を掲載してます。
業務では、他人の情報を、預かっている(個人情報編)
業務で扱う個人情報は、自分のものではありません。
他人の情報であっても、束で管理しがちです。
しかし、逆の立場で考えた時、自分の情報が同じような管理をされていたら…
私たちも自分の情報を「どこかに」預けているのです。
情報を預かる立場は、預けている立場に変わることもあるのです。
結局、真相はハッキリしないままに終わってしまうのでしょうね。今回も。。。。