標的型メール攻撃も恐いけど、もっと身近なとこの危険行為は大丈夫ですか?
漏洩事件が連日のように起きています。標的型メールなどを「ほぼ回避不可能」とか言い切った人もいましたが、本当にそうでしょうか?
今月に起きた事件や事故を見ても、水際で考えれば最終的には「人の行動」です。ここ最近のものに限っては、全自動な感染ではないようです。人体に感染するウィルスのように、空気とか飛沫感染とかありませんので。。。
恐いものと危険なものについて書いてみます。
標的型メール攻撃で広範囲な組織に影響が出ているようです。 実際にはもっと多くの場所で起きていそうな気がしますが、ニュースにでもならない限り、知る術もありません。 実際には、かなり広くばらまかれ、影響力のある組織などが標的とされ、セキュリティ意識の低いところで起きているように感じています。
狙われた標的型(外部から)と、ヒューマンエラー(自身から)は、方向が違います。が、水際で考えれば、ウィルス対策等の徹底、漏洩対策ソフトウェアでの通信監視等が考えられますが、機器の補助による対策支援だけでは無理があります。最終的な判断、行動は人に委ねられます”ポチっと”するか、しないとか。。。と考えています。
わかっていれば”ポチッと”しないはずですが
わかってないから、結果が出てしまった!とか色々書かれているものを見ますが、もう少し考えて見たいです。年金など社会的に影響のある事件が起きてしまったので、深くセキュリティを考えない、考えたことがない方々までが、セキュリティは・・・見たいな、結構面白いことを見聞きします。
わかったレベルとは、どの段階になるのか?と考えた時、 もちろん最悪な結果にならなければいい訳ですが、そのプロセスにも目を向けたいものです。
情報セキュリティの必要性を十分にわかっているのに、その対策を真剣に考えないことが多くあります。もちろん、何らかの最悪な結果を招いています。
知っていることと、実際に出来ることは違います。それにも引っかからない「仕事をしてはイケナイ」レベルもあるように思っています。
恐いのと危険は違うもの
米国では10歳未満の子供が、
銃が原因で死んでいるのは、100万丁/1人
プールに落ち溺れて死んでいるのは、1万1000個/1人
出典:スティーヴン・D・レヴィット: 『ヤバい経済学[増補改訂版]』、p147、東洋経済新報社、2007
やはり恐いのは拳銃ですが、危険なのは死んでしまうことと考えます。この例は極端な表現かもしれませんが、100倍違います。
これ、航空機事故のが恐いけど、自動車事故で亡くなる人の数のが圧倒的に多い現実を考えればわかります。
恐い=感情的な思い込み
危険=死
結局は、恐さは危険は別なことなのです。
確かに、無差別攻撃な標的型メールも恐いですが、模擬訓練を行う事が増えているようです。辻さんの記事を参照ください。
パスワードの設定が原因?
年金の事件では、ファイルにパスワード設定されていなかった・・・みたいなことがクローズアップされ、そんないい加減な仕事でいいのか?などを見ますが、それも単にセキュリティ対策の一面でしかありません。
もっともマズイのは、利用者(職員)にパスワードの管理を委ね、仕組みとして取り入れていないマネジメントの認識の低さではないでしょうか?
パスワードの管理くらいは、今時なら誰もが出来てもらいたいものですが、現実は違います。サーバー管理者と、一般職員の考えるパスワードの認識は天と地ほどの開きがあります。
仮にパスワードで管理されていたとしても、短いパスワードならば簡単にクラックされます。 How Strong is Your Password?等の安全な運営者のサイトでチェックしてみてください。
技術的に出来ることは、出来るだけ全自動的に取り入れるしか方法はありません。先のケースならば、パスワードが自動的に付加されるものとかになりますが、もっと別な視点でみれば、生体認証でファイルを開きにくくするとか、組織内のネットワーク上にチェックするための機器を導入するなど。。。いくらでもありそうです。
一方で”ポチッと”しないための方法も考えなければなりません。模擬訓練もその1つとなります。
最も身近な危険行為とは?
セキュリティ対策を考える上で、利用者の意識、リテラシーを高めないとどうにもならない場合があります。
100万件の大量漏洩もマズイですが、1人のセンシティブな情報でも同じです。肉じゃないので量り売りのような漏洩数だけで判断できません。
① 例えムカつく相手であっても個人情報は漏らしてはいけない!
② 社外では仕事の話をしてはならない!
③ 禁止されていることは、どんな理由があっても守らなければならない!
これ、正常時に○×な質問すれば、わかっているので全員○をつけるはずです。
では実際はどうでしょう。どれ程の割合かはわかりませんが、ほとんどの人が「やったことはある」ことで、日常的にしている人もいるはずです。実際に起きる問題は、こんな原因が多いからです。
① 感情的になれば、そんな話題になるものです(何度も聞いています)
② 実際には隠語も使わず、それマズイだろう?と思われる会話がされています(これも何度も遭遇してます)
③ 破る側にも自己流な大義名分があるものです。仕事のためとか、期日に間に合わすために持ち出した・・・等々
水際で考えれば、水際で止めなければならないはずの「人」が、起こしている問題です。
①~③をやってしまったところで、ニュースになるようなことはまずありません。100万件とかの単位には程遠いし、あまりにも日常的にある風景だからです。
**さんもやってるし、普通なことだけど。。。と思っていても、セキュリティ意識の高い人達は、相当気をつけていることの1つです。社内の常識が非常識みたいなものです。泳いでいる魚は水を意識したことはないでしょうし、深海魚は明るいというものをそもそも知りません。
危険な綱渡りのようなことが、日常的に行われていれば、事件や事故が起きるのは”当たり前”ではないか?と思います。もう少しセキュリティについて真剣に考えていただきたいものです。