毎年2月の「情報セキュリティ月間」:学科と実地の両輪が必要で続けることが最も大事
今年も2月恒例の「情報セキュリティ月間」になり、セキュリーナの2人も頑張っているようです。情報セキュリティのお約束って、わかっていても実践出来なかったりします。それがトラブルの原因となり、問題が発生しています。
政府が定める「情報セキュリティ月間」が2月1日、スタートした。内閣官房情報セキュリティセンター(NISC)では「スマートフォンの情報セキュリティ対策」や「企業における情報漏えい対策」を重点テーマに掲げる。情報セキュリティの普及や啓発に向けた官民連携での活動が全国で展開される予定だ。
今回のテーマは、情報セキュリティ対策3か条(国民を守る情報セキュリティサイト)に
1.個人情報等の重要な情報の扱は慎重に
2.パソコン等は常に最新のセキュリティ状態に
3.不審なサイトやメールにアクセスしない
また、スマートフォンの3つの対策(国民を守る情報セキュリティサイト)に
1.OSやアプリケーションは常に最新の状態で利用する
2.ウイルス対策ソフトウェアを利用する
3.信頼のおけるサイトからアプリケーションを入手する
1.ウィルス対策ソフト等の導入
2.ソフトウェア等のアップデート
3.パスワードの管理
とあります。
色々重複しているのが、余計にややこしい感じがします。
上記9項目の中で技術的な対策、例えば「ウィルス対策ソフトの導入」とか、「ソフトウェアのアップデート」は、ほぼ自動で行われますので、あまり気にすることはないと思います。が、自宅PCや一部の設定においては、アップデートの回避を利用者の意志によって、することもできます。
せっかく自動でやってくれるのに、それを回避してしまったら・・・まったく意味がありません。
昨年から密教学を学んでいます。事相(実践の作法、護摩とか)と教相(本などから得られる理論的なこと)の2つがあります。この事相と教相は車の両輪、鳥の双翼と例えられ、両方が揃って意味があることされています。
例えば、自動車教習所で学科と実地があるようなものです。
先の9項目も、すべて守ればセキュリティのリスクは低くなりますが、実際に「知っていること」ち「出来ること」は大きな違いがあります。また、漏洩で言えば、漏れる情報がなければ漏れようがないのだから、情報を止めてしまえば・・・今度は仕事になりません。
情報の価値
情報セキュリティは、情報+セキュリティなのですが、そもそも「情報」ってどんなものか? 情報がわからなければ、そのセキュリティもわからないのと同じです。情報って幅が広いので、どこまでを守るべき情報と考えるのか?難しいところです。
例えば、幼稚園児にとって「今日のおやつ」は興味ある情報ですし、「スーパーの特売情報」は主婦の見方です。投資家ならば株価に影響を与えるような情報に興味があるでしょう。この種類の異なった情報は、興味のある人たち以外にはまったく価値がありません。トウモロコシの価格が・・・ なんて、幼稚園児にはおやつに含まれる材料であっても、「トウモロコシの価格」を気にして食いだめすることもないでしょう。
また、これらの情報は、一度聞いてしまえば価値はなくなります。単に知ってしまったからです。知る前と知った後では、情報の価値は大きく変わります。コンサート会場いるダフ屋と同じく、始まるの高額なチケット代はショーが終わってしまえば、未使用の記念チケット程度にしかなりません。
セキュリティもウィキリークスと同じ仕組みで「民間企業」の情報が漏洩するとどうなるか?:その2で引用したシュナイアーの説で言えば、我々の考えるほとんどは安全対策であることがわかります。セキュリティな思考なのですね。
セキュリティの管理とは、ブルース・シュナイアーの安全対策とセキュリティの違いがとても重要と思っています。
安全対策
セキュリティ
同時に起きる偶発的な火災を処理するには消防署がいくつ必要か?と考える。
放火魔が消防署の能力を超える数の火災報知器を動作させ、放火攻撃の効果を高める危険がある。と考える。
機内持ち込み荷物にナイフがあっても、X線検査で見つけられる。と考える。
X線で検出されにくい材質のナイフを検出されにくく持ち込もうとする者がいる。と考える。
緊急時、安全に避難出来る非常口の数を考える。
非常口を封印してビルに火をつけ、殺人を行う者がいる。と考える。
出典:ブルース・シュナイアー: 『セキュリティはなぜやぶられたのか』、p74、日経BP社、2007
ここまで考える必要があるのかどうかは、時と場合によって変わりますが、1つのセキュリティな考え方の参考になります。
現実事例
スマートフォンを紛失したいなんて誰も思いません。しかし盗難紛失の可能性はあります。ここまでは誰でも知っています。
しかし、なくす前提での対策ってしてますか?
例えば、カバンや上着の取り出しやすい場所に入れておくと使うときに便利ですが、逆に盗られやすかったり、勝手に出ていったり(落としたり)する可能性も高いのです。自分が便利なことには、危険とのトレードオフも含んでいると考えるのも必要だったります。
車の違反についても、「やっちゃイケナイことは、免許を持っていれば誰しもわかっている」ことです。飲酒もダメだし、標識もちゃんと見ないといけません。一時不停止とか、駐車違反など・・・何らかの理由がそこにはあります。理由と言っても単に自分の正当化だったり、言い訳に過ぎません。
セキュリティ意識
あまり気にされてないように感じています。情報セキュリティはテクノロジー。。。みたいな風潮を感じています。漏洩事件で言えば90%近くが人的な要因です。もちろんテクノロジーで出来ることは、それに任せましょう。それ以外に方法はありません。
しかしカバー出来ないところは、気をつける意識しかありません。また続けることがセキュリティの強化に繋がっていきます。
意識啓発の活動として、情報セキュリティ標語やこのブログ等、しています。
単に「視点を変えるための方法」であったり、「パスワードの作り方」など実践で使える手法「パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!(情報セキュリティ標語:パスワード編)」。。。セキュリティな話題ですが、視点の変え方などはセキュリティに限った話題ではありません。他にも応用が効く「基本的な思考」です。
車の両輪、鳥の双翼という考え方と同じで、対策に意識も加わることで、はじめて実践的セキュリティに変わってくると思います。
過去のセキュリーナ関連ブログ: