情報セキュリティの考え方が「間違っている」ケース（その１）

新年あけましておめでとうございます。本年もどうぞよろしくお願い申し上げます。

ブログの更新が滞っておりました。。。

昨年も「情報セキュリティ事故」が多くありましたが、どうもちょっと違うなぁ・・・と思うところがあります。

例えば、個人情報漏洩の場合、その対策を考えなければならないのですが、情報セキュリティの「どの部分」なのか。。。技術的対策、人的対策、環境的対策・・・実務に沿った対応をしなければ、対策もクソもありません。

情報セキュリティの中に、上記の様々な要素が含まれているのですが、技術的対策に偏っている感が相当あります。技術的な問題だけで発生したことであれば、もちろんそれで十分ですし、それしかありませんが、それでも人的なミスも含まれていることがあります。

とりあえず別けても、これだけあります。もっと詳細に別けなければなりませんが、大方このどこかに入るでしょう。発生した問題によっては、左右のどちらかだけというケースもあるとおもいますが、左よりの技術的に偏っています。技術的問題で見えてきたものは、人的問題に置き換えても考えられる問題ですが、技術と人を別けて考えている以上、それらは別物になってしまいます。

ベネッセの漏洩事件は、完全に人的なマネジメント、ルール等の問題ですが、ニュースなどを見ていると持ち出しに使用したスマホの問題になっています。スマホは情報を持ち出すための「単なる手段」に過ぎませんが、接続しても認識しない等・・・の対策を考えるのは、どうなのでしょうか？　もちろん「それ」も必要ですが、ある程度の情報を扱う企業の場合、そもそもスマホを持ち込ませない等の対策を最低限しています。持ち込めなければ、入れ物がなくなる訳なので、他の方法を考えない限り「大量のデータ」を持ち出すことは難しいはずです。

しかし、物理的な方法よりも、技術的方法を考えているところに、情報セキュリティ対策の危うさがプンプンしてます。出来なくさせる方法はいくらでもある中、偏った思考で対策されたものは・・・情報セキュリティ以前の話です。

上記のケースで言えば、物理的対策を行い、更に技術的な対策をする二段構えであれば十分と思います。その二段構えの一段飛びでは、どこまで意味があるのだろうか？と・・・

基本的な考え方が最も重要なのですが、目先の問題だけにとらわれ、肝心な部分を見落としているケースが多くあります。対策を行うにしても、どの立ち位置から、何を見据えるか？によって、風景は変わります。対策を行う側のマネジメントが間違っていれば、事故は必ず起きますし、起きてしまった事故に対して対策を行っても、更に大きな問題が起きるのは経験上目に見えています。一方通行の逆走をイメージした思考をもたない限り、背中の風景は見えません。ベネッセの顧客情報漏洩に思う「大きな勘違い」

攻撃側の視点を持たなければ、弱点は発見出来ません。今一度、情報セキュリティの考え方について、考え直してみませんか？