オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

紙に書いて情報を持ち出したから紙は禁止にしても根本と視点を変えなければ事故は減らない

»

先日も漏洩のあったベネッセですが、今回の事件は「紙に書いて持ち出した」という、とってもアナログな方法のようですが実は一番簡単な方法でもあります。

昨年のベネッセ関連のブログ:ベネッセの顧客情報漏洩に思う「大きな勘違い」ベネッセの思う「重要でない情報」を7つのケースで考える

しかし・・・このような漏洩って、どこでもある(できる)ことです。集団訴訟まで起きていますが、決してベネッセだけで起きるものではありません。ちなみに、私は集団訴訟に参加してませんが、被害者の1人です。

1.情報の価値

情報を利用(悪用)する側は、その情報に「どれほどの付加価値」が含まれるのか?という属性で価値が決まります。例えば、個人情報の場合なら、

・入学卒業や入社などの季節イベント(毎年ではない)

・高額商品(貴金属など)の購入者

・不動産の購入を考えている(生涯に数回あるかどうか)

・持病を持っている。ガン等の病気がある

・お受験に熱心な親御さんである・・・

色々な属性がありますが、利用(悪用)側は、ピンポイントで狙いたいため、これらの付加価値が情報の買い取り価格に跳ね返ります。普通に考えれば、当たり前のことです。

昨年のベネッセ大量流出事件では、約3504万件という大量の情報を一気に売りさばいたので情報価格は暴落し、二次三次の転売がくり返されています。

小出しにすれば一気に情報価値が上がるかと言えば、一概に言い切れませんが、少なくとも3504万件は、量り売りで価値はお得に下がったと考えます。

2.情報セキュリティはITだけではない

情報セキュリティというと、ITセキュリティのイメージが強いようです。過去ブログ: 【必読】企業の情報セキュリティに直接関わってない方々へ情報セキュリティの考え方が「間違っている」ケース(その1)

初対面の方との名刺交換でも、ウィルス対策?ファイアーウォール?・・・と、ITセキュリティの事ばかり聞かれることが多くあります。

USBメモリーや3504万件のようなスマホを使ったものならば、ITセキュリティで防ぐこともできたかもしれませんが、そもそもそんな機器を持ち込める場所ではないと考えることが先にあります。

セキュリティを考える時、ITセキュリティも重要ですが、セキュリティという防御の視点はもっと多くあります。バランスが悪いです。

3.どうすれば防げるのか?

じゃあどうすれば防げるのか?と、プロセスがなく答えだけを求められるケースが多いです。簡単に防げるならば、それはそれで良いのですが、安易に答えを求めることが「最も危険」であると考えています。実際に安易な答えを求める方々は、更なる何らかの事故を引き起こしています。原因と結果の法則のままです。認識というか取り組みに対する姿勢の問題と考えています。

頭に入ってしまった記憶を簡単に消せるものでしょうか? 非現実的で超乱暴な言い方ですが、退社時にハンマーで殴る訳にもいきません。実際にそれで記憶が飛ぶのか?と検証したこともありませんw

では紙に書けないように、持ち込みの制限(結構してますね)をすれば防げるのか?となりますが、ボディースキャナーで十分なのか?と、検出目的によっては使い物になりません。または、大物俳優のパンツに勝手に薬物が入っていたということもありましたが、紙をパンツに隠したりすれば、身体検査でもしない限り見つかりません。もしも勝手にメモが入っていたとしても。。。

頭の記憶を小出しに持ち出すならば、超手間はかかりますが、何も必要がなく、見つかりようもありません。記憶力があまりなくとも、手間さえかければ1日の就業時間中に何度も厳重エリアを離れた(ランチとか休憩、トイレ等。。。)時に記憶記録に変えれば、入れ物である記憶力は小さくとも、バケツリレーの如くできます。実際に面倒な手間をかけてやるかどうかの話です。

結局は、手間と見返りになってきます。手間であっても、それに十分な見返りがあれば、誰でも簡単にできてしまうこと。

割に合わない行為(犯罪)であることを十分に知らしめ、その仕組みを作ることと考えます。決してボディースキャナーまで入れるほどのことはありませんが、敵の意欲を低下させる視覚的効果は十分にあると思います。高価な機器でなくとも、仕組みだけで意欲低下はいくらでも出来ます。

情報セキュリティは、どこからどうすればいいのか?と、漠然とした問合せが多くありますが、身近で起きた事故事例から考えるアプローチや、漠然としていても何か「気になること」があるからモヤモヤしているものです。

機器持ち込み禁止、紙はダメ・・・規制を増やすよりも、そもそも出来ない仕組み、やる気が失せる方法・・・セキュリティに対する視点を変えなければ、対策は難しいと思います。地味で基本的なことからはじめることが、何よりも第一歩です。 

Comment(0)