オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

お客様の個人情報が漏えいしました・・・と郵便物が届きました(これって自分事w

»

2011年もあと僅かです。今年のセキュリティな話題をブログにでも書こうと、この1年を振り返っていたところ。。。とある事業者から郵便物が届きました。

○○からね。なんだろう?と開封したところ、「お客様の個人情報漏洩のお詫びとお知らせ」。。。(・・?) えっ・・・なに?

とりあえず内容を読んで見ると、わたしの情報が入った紙ファイルが盗難されたようです。(・_・)......ン?

私の専門は「もちろん」セキュリティですよ。でもね、預けた情報の管理までは出来ませんから。いやぁ・・・どうもw

車両の盗難だったようです。が、営業用の車をわざわざ盗む連中は「相当少ない」わけです。高級車を狙わないと1盗難は1盗難なので、連中もリスクを考えれば、営業車なんかを狙うはずは考えにくい。となると、車両の盗難であっても、実は中に積んであった物品やら、カバン、資料ファイル等が目的になるはず。高級車と比較をすれば、転売価値の低い車よりも、転売価値の高い中身を狙ったと考えるのが普通と思います。グリコのおまけ(ちょっと年代を自分でも感じるw)のように「キャラメル」よりも「おまけ」に価値を感じるようなものです。最近では食玩がスゴイですよね。ってどうでもいいのですがw

通常営業車は、社名やブランドなどが書かれてます。コーポレイトカラーだったりもします。目立つようにペイントされている訳ですが、走行中の宣伝にもなれば、一方で中身を狙われた時には、広い駐車場の中にあっても「ココ」って言っているようなものです。

実際の状況は見えません。「お知らせ」郵便物でしか知りようがありません。車両の盗難となっていますが、車上狙いかも知れません。私が泥棒ならば、車ごと持って行くよりは、窓ガラスだけ割って中身だけを持って行く方が簡単です。

車+中身が無くなったのか、中身だけ無くなったのか。情報漏えいで言えば、どっちも変わりませんが、説明するときのイメージは大きく違うような気がします。

車ごと持って行かれたから、どうにも出来なかった。

車に積んであったものが、車上狙いで持って行かれた。

まぁ、どっちでもいいのですが、どうにも信用に至らない説明だと、色々考えてしまうものです。どちらも、私の個人情報が漏れたことには違いません。別に、今更個人情報の漏洩って・・・と思う一方で、面倒な勧誘電話とか迷惑極まりないなぁ。。。と思うのです。

今回洩れた範囲に、購買履歴が含まれているので、洩れた情報は「ターゲットが絞られた」多少価値のある情報になるはずです。

結局、車の中に情報の入った書類を「置きっぱなし」にしたのが原因です。置きっぱなしの書類だけならば車上狙い、車ごと全部ならば盗難ですよね。

どうにも腑に落ちないのが、再発防止策です。

「従来から書類の持ち出しを禁止していますが、更なる徹底を行う」

「個人情報が含まれる媒体の取扱に細心の注意を払うことを、再度徹底する通達を出し、勉強会等で意識付けの徹底を行う」

ことだそうです。何だったら私がやりますよ。意識の徹底。

従来から書類の持ち出しを禁止していることが、何とも表向きな表現で、現場では実質無理なことくらいなぜわからないのか?

マネジメント側がその程度だから、事故がおきるのですよ。持ち出さなければ、仕事にならないじゃないですか!と○○社の業務を見ている私でもわかります。

媒体の取扱について・・・も、何度も徹底した教育はしているはず。受ける側が「おざなり」で受けているだけです。逆の立場である教える側になることがありますが、「そんなこと耳にタコができるほど聞いているよ」な雰囲気が蔓延してます。事故が起きるまでは、大体そんなものです。

何度も聞かなければ、目にしなければ、徹底されようがありません。キレイな言い方をすれば「反復練習」で、乱暴な言い方をすれば「洗脳」です。

よく見る大きな間違いが、管理側のさせたいことと、管理される側のテキトーに受け流しているところです。とりあえず実施する、見たいなことです。

実際に何を目的としているのか?ここでは個人情報の扱いですが、管理側もされる側も、とりあえず的な感覚で行っているので、事故が起きた直後は無駄に徹底するための時間とコストをかけるのですが、段々と薄れていくものです。本気で「取扱い」の徹底を考えてないからです。

本気で徹底しているならば、書類を置きっぱなしには出来ません。

セミナーでよく話すネタですが、これらの個人情報が例えば1人1万円だとすれば、1000人の個人情報が入っている紙ファイルは1000万円になります。これが、例えばなので、実感がわかないようです。その紙ファイルを持って1000万円の貴金属を買うことは出来ません。

しかし、事故が起きれば、お詫びや対策費等でそれくらいは簡単に超えます。計算とキリが良いので一万円にしていますが、内容によって、個人差により、その価値基準は大きく変わります。

この例えばであれば、車の中に1000万円の現金を置きっぱなしに出来るか? この時期だと酔っ払って電車のつり棚に現金いりのバックを置くか? そもそも、そんなものを持っている状態で酔っ払えるのか?と思うのです。

そんなものは、その段階では紙幣ではありません。が、金銭的価値のある情報であることは間違いありません。

事故が起きるのは、この感覚を持ってないからこそ、減らないのです。現金か金銭的価値のあるものかの違いだけです。パチンコの景品と変わりません。あれだって金銭的価値のあるものを、現金化しているだけです。わかりやすい現金化ですが・・・

最近気になっているセキュリティなネタは、スマートフォンのセキュリティです。外的な脅威もありますし、物理的に盗まれる危険もあります。脅威が大きい割に、利用者の意識は高くありませんし、中身も色々満載です。ひみちゅなものでいっぱいです。近いうちに書きたいと思います。

情報セキュリティ標語:「業務では、他人の情報を、預かっている」「私たちは、自分の情報も、預けている

この意識があれば、情報は流通していて、自分も他人も関係なく、目の前の自分がしなければならないことが明確になってくると思っています。預かっているし、預けているのです。今回わたしは預けている側でしたが、どこかの立場では預かっている側にもなります。

身近な出来ることだけでも、十分セキュリティは高められます。ぜひ、全体の底上げになるような活動に協力してください。お願い致します。

Comment(5)

コメント

「更なる徹底」「検討します」「全社一丸となって」と、お化けは出たことがありません。(笑)

ookiさん、コメント有り難うございます。

>「更なる徹底」「検討します」「全社一丸となって」
おばけのが出る確率は高いと思われます(笑)

結局、大切なものを預かっている認識がまったく足りてないことですね。
逆の立場(預けている)になれば、十分わかりそうなものですが・・・

ardbeg32

案外、何をどうしていいのか、お金をかけすぎると本末転倒になるからお金をかけずに打てる対策に何があるか、を知らないだけかとも思いますよ。
ちょっとまともな内部監査部や、気の利いた教育を受けた情シスが入っていればそうでもないのでしょうけど・・・せめて施策の結果の見える化とその効果の公開くらいは思いついて欲しいですね。
子供に「夏休みの宿題しなさい!」「もうやったー!」
と言われて、素直に信じる親が何人いるか、まずはそのレベルだと思うのですが。

ardbeg32さん、コメント有り難うございます。

>子供に「夏休みの宿題しなさい!」「もうやったー!」
この例え、正しくですね。
聞いている親(管理側)と、聞かれている子供(従業員側)ともに「お約束」な答えのセットですよね。決まったギャグのオチのような者です。
AならばB、飲み過ぎても人に迷惑はかけない!と誰しも言うものですが、実際は本人にもわからないと考えてます。
双方共に、本気でやる気がなければ・・・どうにもならないのが、何とも歯痒い感じです。

ardbeg32

どうでしょう?親と子共の1対1ならともかく、経営層→中間管理職→ヒラの関係性ならどうにかなりそうな気もするのですが。
要は仰るとおり直接の管理者の中間層がまず本気でないわけですから、本気にならざるを得ない仕組みを作ることから。
たとえば、退社前・直帰前には必ず声がけしてチェックリストに記入、チェックリストが不備だったり抜き打ちテストでクロがでたらチェックリストの管理者も連帯責任、というのを明記したルールを作れば、あえて管理職を陥れようとする強者でもいない限り(w 一定の効果を見ることができるのではないかと。管理職と平がWinWinの関係にいたいなら、「それなり」に効くと思います。
もっとも内部監査部のような第三者がPDCAのCを受け持たないとすぐ破綻しますが。
事故が起こって管理者もろとも懲戒処分くらうよりはるかにマシだと思うのですが。

コメントを投稿する