オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

Googleグループのダダ漏れで思う「鎖は一番弱い輪以上に強くなれない」

»

最近気をつけるようにしていることがあります。例えば、攻撃と防御のセキュリティ思考で考えた場合、防御側に「注意喚起」をすることで、その弱点を知り、改めることも出来ますが、この「注意喚起」が攻撃のネタとなってしまうために、既知の「注意喚起」しか出来ないことです。ここヤバイですよ!ってとこが、どの立場で聞くかによって、「あぁ…気をつけよう」となるか、「へー、そんな弱点があったのか!使えるかも?」となるか、包丁の使い方に似ているような気がしています。

あるとき、「臨界点」を超える問題が露呈したとき、それを一斉に知ることとなります。

タイトルにある「鎖は一番弱い輪以上に強くなれない」は、セキュリティの専門家、ブルース・シュナイアーの言葉です。

くさり.png

自身で管理しているものや、自己責任で何らかの漏洩が起きてしまった場合、そのもの自己責任です。もちろん、洩れた中身にもよりますが、すべて自分のものならば。。。そうなります。

アンケート等に住所を書く場合、住所の最後に数字やアルファベットを付けることで、どこで書いたのかがわかる方法があります。以前はやっていましたが、その文字をどこで書いたのかとの紐付けをしなければ意味がないためにやめました(笑)

今回のGoogleグループでは、住所録、名簿等の住所と何かが書かれたものもあるようです。内輪の名簿に、先のような面倒なことは書きません。

自分も含まれる「なんらかの情報」が洩れているかもしれません。随分前に「住所録付きの写真」を見たことがあります。社内のパーティーか何かの写真(数十枚)と、出席者の住所、連絡先、携帯電話、メアド等が含まれていました。ネット上に出回っていた情報なので、不特定多数の人が見ていたと思います。

グループである以上、内輪の信頼関係がある上で成り立っていると思いますが、鎖と同じく、1箇所でも弱い部分があれば、鎖の強度は「その部分」になってしまいます。

今回の問題は、セキュリティ設定もそうですが、利用者のセキュリティ意識に問題が多くあると思っています。

例えば、スマホやPCでメールを見る、なにかつぶやく。見えているのは目の前の画面だけですが、その先には「インターネット」という広い世界に繋がっています。あまり意識してないかもしれません。

セキュリティ設定も、利用者の意識も十分であるから、大丈夫!となれば、いいのでしょうが、強かった鎖も、新メンバーや、ちょっとした意識の問題で、弱くなるものです。

どうもこういう問題が出てくると、そのサービスが悪い!となりがちですが、このサービスに限らず、今まで抱えていた問題が「単にそこで」火が付いて爆発したに過ぎません。

個人個人がセキュリティの意識を持たなければ、どれほど強固な仕組みであっても、鎖の弱い部分になってしまいます。

テクノロジーで守れることは、それに任せるしかありませんし、それが最も正しい選択です。しかし、テクノロジーで人をコントロールすることはできません。情報セキュリティの「人的」な対策は、鎖の弱い部分を減らしていく地味な作業です。この機会に今一度、本気で考えてみませんか?

Comment(0)

コメント

コメントを投稿する