オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

最も厄介な「悪意なき情報漏洩」でもインサイダー情報として刑事罰の対象になるかもしれない

»

情報セキュリティ対策の範囲は広いです。PCやネット、スマホ等の技術的な対策に注目されがちですが、最も弱い人的な対策も含めて考えなければなりません。メールや機密系書類が暗号化などで守られていても、暗号化を解かれたものを読むのは人間です。

暗号化のままに読める人間は、マトリックスに出てくるキアヌ・リーヴスくらいではないでしょうか?

車の車輪、鳥の両翼と同じく、技術と人の両方がバランスをとってはじめて前に進めます。片側の車輪や羽が小さく、動きが悪ければ、走行も飛行も出来ません。

情報の漏えい 企業にも危機感

株式のインサイダー取引を防ぐため、これまで処罰の対象になっていなかった「情報を漏らした側」に刑事罰や課徴金を科すことなどを盛り込んだ「改正金融商品取引法」が成立しました。
今回の法律改正で、企業の側も、社員が会社の情報を漏らして処罰されるのではないかと危機感を強めています。

技術的な対策もいたちごっこですが、問題が発見されれば「それを塞ぐ」対策を行うだけです。その発見数が多くあるので、対策が面倒に見えますが、1つずつでも潰し込んでいけば、その問題は完全に解消されます。需要と供給に似ています。弱点が見つかるという需要に対して、弱点を対策する供給をすること。順番では需要が先に出て、その対策をしていくことになります。

一方の人的なほうは、Aという問題が見つかっても、Aの対策を行っただけでは解消しません。便利だったり、面倒だったりと、自身に都合よく使い勝手を向上するために、Aの対策を如何に回避するか?を考えることが出来るからです。これは技術的対策上ではあり得ないことです。

例えば、USBメモリーを使えなくする場合、USBの入口を塞いでしまえばメモリーは物理的に使うことができません。メモリーが使えないならば、添付やWi-Fiで。。。と考えますが、それらも対策されてれば、データとして取り出すことは困難になります。

人は、これらを一括データとして持ち出せなくとも、画面をデジカメで撮るとか、別な方法を考え、どこにどんな弱点があるのかを探し始めます。対策する防御側よりも、回避する攻撃側のが常に有利な立場にあります。

と言っても、悪意をもった、これらの行動がどれほどあるのか?と。。。リーチ一発的に爆弾のようでもありますが、もっと問題となるのが、悪意なき漏洩と考えています。

悪意なき漏洩ほど、厄介なものはありません。この正確な統計的数字はわかりませんが、漏洩事例等で見る限り、人的な問題は90%近くあります。90%の人たちが悪意なき漏洩に関わっているのならば、なにがどのように問題なのか?を認識しなければ、これらの問題は解決しません。

情報セキュリティの教育に限界を感じ始めています。ネタも事例も一巡した感があります。ネタの中身もすべてのケースで異なりますが、ほとんど似通っており、事例も企業体が変わっただけで、前に聞いたことがあると錯覚するほど多く起きているので、一巡したと感じてます。

情報セキュリティ教育にかかるコストもおかしくなっており、実施者と受講者の立場の違いにより、おざなりになっています。とりあえず受けさせたと考える実施側、まったく興味なく流れるように受ける受講側・・・セキュリティ教育の費用に、受講者の時間単価×人数分のコストが含まれていないことが多くあります。何度回数を多く実施しても、費用だけかさんで、効果となる浸透度は余計に低下しているのではないか?と思うようなことが増えてきました。実際に事故が多発している現場での強制教育が、更なる悪化を招いています。

時間をかけて啓発する段階が一巡したのですから、意識に向けた「気づき」となるヒントを多く露出する機会を設けるほうが、効果が上がります。

先日公開した振り込め詐欺新名称に45個応募しました!未然防止に使える「注意喚起標語45個」に期待【無償提供】も、平常時に見れば何とも思わないものばかりですが、すべて「気づきのヒント」です。気づくための意識を活性化する場の提供でもあります。

普段何気に話している会話の中にも、ビジネスマンであれば意識しなければならないことは、多くあります。移動中や飲食店などで、普通に客先の話とか、愚痴、面白い話など。。。実名で話されている場面を多く見ます。おそらく私が仕事柄、そのような状況に意識を向けているから、そんな場面に出くわすことが多くなるのだと思います。

情報セキュリティ標語のように、音読しない長さの「気づき」を、多く見る機会を作ることで意識は向上します。

私自身がよくしてしまうことなのですが、ネットを見ていて思考よりも先にマウスの戻るボタンを押していることが多いです。そのページをさらっと見ていて、次に移ろうと思う間もなく押しています。しかし、画面の隅々まで見ていないのに、気になる文字や広告の残像が残ってます。結局、戻るのですが、広告だと同じものが表示されてなかったりして、何度もリロードします(笑) 意外と残っているものだなぁ・・・と解っていても、身体的に操作が先行しているようです。

気づきのヒントを多く見る機会を作ることが、意識向上には必要と考えます。

今一度、教育のコストと効果について考えて見ませんか?

Comment(1)

コメント

Ifreeta

秘密にすべき情報は、ネットに繋がっているパソコンでは処理をしない。

ネット回線と社内LANがいくら違うといってもどちらも扱える端末が一杯あったら、うっかりミスもあればハックもされます。

私のところは切り分けをしてパソコンを管理しています。たまに一緒にしたいという担当者が居ますが、何かあった時は上司まで全て懲戒免職になるがそれでも良いならと言うと引き下がってくれます。

USBを禁止にしようがネット環境に繋がっていれば、禁止しててないと同じことなのでセキュリティーとしては二流ですね。

コメントを投稿する