オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

10月は「情報セキュリティ国際キャンペーン」:この機会に見直す3カ条

»


今日から10月がはじまりました。以前、情報セキュリティキャンペーンには経済産業省の「セキュリーナちゃん」がいましたが、今回はNISC(内閣官房情報セキュリティセンター)主導でキャンペーンが行われます。セキュリーナファンな方は、以前のブログ(セキュリーナのせなちゃんが・・・)(セキュリーナが行方不明か?突然消えた「あのサイト」)も参照ください。

情報セキュリティ国際キャンペーン日本語版ポスター

情報セキュリティ国際キャンペーン

キャプチャーがうまく撮れなかったので、小さなイメージですが、クリックすればPDFが開きます。

今回の3カ条は、

 1.知る

 2.守る

 3.続ける

です。これ「もの凄い基本」なのですが、基本が一番大切なのです。

最近のセキュリティ事件を見ると、パスワード流出、見ただけで感染してしまう大手サイト…色々とネタは尽きません。

初めてお目にかかる方にご挨拶をすると、私の名刺に「情報漏洩対策セキュリティコンサルティング」と書いてあるので、ほぼ「ウィルス対策等の・・・」と、ITセキュリティなイメージが強いようです。

ここで1つ正しく分類しておかなければならないのが、「情報セキュリティ」は広義な意味であって、その中には、「人的セキュリティ」、「物理的セキュリティ」、そして「技術的セキュリティ」などか含まれています。
ITセキュリティだけが、情報セキュリティ対策ではありません。

今回のキャンペーンで見れば、知って、守って、続けるのは、人が行うことです。

情報セキュリティのITセキュリティは、情報システム部門などが行うことです。ITセキュリティ対策の変化は凄い勢いで変わっていきます。これを情シスの方々が頑張っているのです。有り難うございます。

しかし、全社的に見ると、一般社員の方々がほとんどです。情シス社員100%の会社は、システム系の会社以外ほとんどありません。

この一般社員の方々を対象に「情報セキュリティ」を考えなければならないのですが、どうも企業のマネジメント系な方々は、技術的なこと以外も「情シス」へ振っています。これ相当な無理があります。

例えば航空会社で考えて見ます。飛行機を飛ばすためには、色々なスタッフの方が携わっていますが、超簡単に言うと、飛ばすための整備を「エンジニア」の整備士が、飛ぶためのマネジメントを「パイロット」が行っています。この例では、お互いに「専門家」であり、資格が必要です。

これ、情報セキュリティにおいても同じです。情報システムを円滑に動かすための「エンジニア」と「マネジメント」を兼任しているケースもありますが、基本「専門分野」は異なります。両方出来る方は、相当少ないのではないでしょうか?

私のような、何でもセキュリティでしか考えず、漏洩対策の弱点ばかり探している「セキュリティ・バカ」も特異な専門分野です。エンジニアの方には無理なことと思っています。逆にエンジニアの方にしか出来ないことも多くあります。自分が出来ないことを出来るひとを「凄い!」と常に思っています。

鳥の両翼、車の両輪のように、両方の要素が必要であり、バランス悪いと「うまく進まない」ものです。

で、今回のキャンペーンの「知る、守る、続ける」は、意識の話です。

自身が「最近気になっていること」を、よく目にすることがありませんか? これって、気になっていることを「意識」しているので、目に入りやすくなっているだけなのです。車を意識していれば、街でよく見るように思いますが、そんなに変わってません(笑)

セキュリティなお話しをするとき、特に注意していることがあります。

1.立場を変える

2.視点を変える

3.性善性悪のような2つだけで考えない

ことに意識しています。すべてを逆から見るようなものです。現状を客観的に見るための方法です。意外と狭い範囲しか見てないもので、それがすべてのように思ってしまうことが脅威と感じています。

人をマネジメントする難しさは、どの会社でも同じことです。それを無理矢理コントロールしようと考えていることに、間違いが多くあります。

セキュリティな課題は「どんどん増えて」一向に減りません。守らないから増やすという考え方が間違っていることなのです。普通に考えてみれば、お約束ルールが増え続けていけば。。。麻痺します。

更に、守って当たり前!な、正しいことをしても何のインセンティブもありません。セキュリティを正しく出来るひとには「もっと自由度を増やす」などの楽になる方法を提供する必要があります。適当にやってる人と同じ枠にはめてしまっては、やってられません。

基本が出来ないのに、応用はききません。

例えば、パスワードの話にしても、前回書いた(Googleグループのダダ漏れで思う「鎖は一番弱い輪以上に強くなれない」)と同じで、8文字以上のパスワードを使え!と言う前に、使える方法を提供しなければなりません。使える方法も伝えず、一定のルールだけを押しつけるのには無理があります。(パスワードの問題が多くあるのに、なぜ変えないのですか?

6文字でもいいですよ。数字だけでない作り方を全員が出来れば、鎖は多少強くなります。一部の人は20文字、また一部は8文字であっても、超簡単なものだったら、鎖は弱いままです。

以前あるところでパスワードの話をしたとき、パスワード25文字以上をツールでランダムに生成してるから、そんな作り方は必要ない!と言われたことがありました。情シスの方でしたが、

情シスの理解≠一般社員の理解

ではありません。この手の話、結構あるのですが、こんなところに無理があるように感じています。使命感だけでは専門分野は広がりませんし、逆効果です。

今回のキャンペーンを機会に、今一度、情報セキュリティについて「相手の気持ち」を思って考えて見ませんか?

窮屈なセキュリティ、もうやめましょうよ。

Comment(0)