オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

具体的な脅威をイメージできる重要性(HP社のセキュリティ動画

»

セキュリティを動画で伝えたり、表現するものなど…いろいろ見てきました。こういうブログなんかの文字で書いたり、研修セミナーなどでスライド使って話しても、動画の表現力にはかないません。音、映像、シナリオ…全部が整ってなのでしょうね。逆に短い時間で詰め込む、流れを整える。。。百聞は一見にしかずってことでしょうが、これはこれで作成側は大変そうです。

あ、別にHPの回し者でも何でもありませんw このセキュリティ啓発動画すごくよく出来ているのでご紹介します。結局いいものはいいのです。

ハリウッド製の動画でセキュリティを啓蒙、HP社は企業に何を伝えたかったのか

HPが公開したサイバーセキュリティに関する動画

 今回紹介するのは、PCとプリンティング事業を展開するHP社による「The Wolf」という動画です。日本語字幕版は、こちらで公開されています。

 日本でこの動画の注目度は低いようですが、同じ動画の英語版は2017年5月の公開以来、既に18万回以上も再生されています。

 この動画でHPは、サイバーセキュリティ対策の重要性を訴えています。動画の終わり近くまで、HPの製品が大きく取り上げられることはありません。それよりも、しっかりとしたサイバーセキュリティ対策を採っていないと、大変なことが起こることを伝えようとしています。

7分の動画です。まずは見てみましょう。字幕入りなので音なしでも大丈夫ですよ。

見ないで読むとネタバレですw (まぁネタも何もブログ内容が理解し難いと…)

1.まず、ホントにそんな(こんな)ことがあり得るか?

これは誰にもわからないと思います。今までに、あったかないかではありません。あり得る可能性となるタネさえあれば、それが成長するかもしれません。

逆に今までなかったことであっても、それはある(発生)まではなかっただけのことに過ぎません。少なくとも予見できている可能性ならば、ある(起きる)かもしれない。結局は世の中、誰にも予見できないことがどれほど多くあるか?という話です。

2.では、どんなことが起こるのか?

今回はプリンターからの印刷でした。それ以外にもIOT機器とか、社内のPCとか、システムとか…いろいろ考えられると思います。
先日書いた音声指示関連:Win10の音声アシストに「Heyコルタナ」と言うだけで個人情報が盗まれるって

弱点だけではありませんが、まずは弱い場所が攻撃対象となります。セキュリティの脆弱性、誤動作、仕組み上の弱点などなど。。。弱点を埋めていく作業、例えば毎月あるWindowsのアップデートなどです。

セキュリティ全体で考えれば、人間の弱点も考えなければなりません。例えば自身の弱点(権力、金、異性…)を考えた時、それを徹底的に狙われれば、どれ程弱いか?よくわかるはずです。

一番問題なのは、わかっているのに何もしなければ、発生時に問題は大きくなるし、後々に色々と迷惑かける範囲が大きくなることです。要素はエアーパッキンをプチプチ1つずつ潰していくような地道な努力です。

3.さらに?それでも?…そこまではしないだろ?

するか?しないか?(されるか?されないか?)の選択肢は相手にあります。自身がコントロールできないものはどうにもわかりませんので過信しないほうがいいです。そもそも悪くない人ならば、こんな事はしないはず。

敵も何らかの目的もって挑んでいるので目的達成のために、そりゃなんでもしますよ。それらを抑止する理由が見当たりませんし、むしろやりたくてしょうがない原因しか見当たりません。

偶然にも何も起きないラッキーな方向へ(毎回)動いていければ、何も問題ありません。しかし何時まで続けられるのでしょうか?

どうすればいいのだろう?

とりあえずプリンター買い替えですね(笑) 

情報漏洩でよくあるケース:大量の漏洩ならば紙で刷って持ち出す事は無いです。個人情報ならば何万件ものデータが物理的に紙になると、もの凄く多く重く扱いにくいですし、持ち出すにも一苦労です。結局はデジタルデータに変えないとデータとして使い難いので紙の意味がありません。USBメモリなどの媒体ならば大量のデータでもポケットに簡単に入れて持ち運びOK! 即データの活用が出来る!紙よりも効率が抜群によい!と。

どうも漏洩の単位は、漏洩件数(該当する数)などの量で計られることが多いです。10,000件のメールアドレス漏洩と、10人の医療情報などを比較したとき、それらをどのように考えるか?という話です。企業人なら名刺にも刷ってあるメアドの漏洩なら(個人のプライベートなメアドはまた別ですが)、それが大きな問題になることは少ないです。
誰にも知られたくない「超センシティブ」な医療情報、自身も知らなかった情報などなど、これはメアドと比較できるものではありません。でもニュース的なインパクトは10,000件で、実際には10人の方々が感じるストレスは莫大なものです。
以前のブログ:情報流出した”その時点”の情報と”その後に利用される”情報の責任範囲

しかし、今回のように一件からでも重大なことに派生する処方箋とか名前の間違え。。。動画の中の対象者はよく生きられたなぁ…という感じです。

具体的な脅威イメージする、派生するリスクが見える(感じる)、その後の流れを予測出来る。。。試行錯誤の繰り返しのようですが、試行錯誤しなくとも「ある程度」はわかることも多くあります。要素をプチプチ1つずつ消し込んでいく地道なアプローチが必要と考えます。

Comment(0)