オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

2018年の個人情報漏洩原因から感じる「脅威の方向」「漏洩数」と「漏洩当事者の身勝手な解釈」

»

連日のようにネット上から個人情報が漏れた・・・関連のニュースが増えています。昨年2018年の個人情報漏洩に関する調査資料が上がってきました。毎回直近の漏洩事件が反映されているので原因や漏洩数も変わっていますが、10年前と比べても原因が引っくり返るほどの比率で変わっていません。もちろん10年前よりもネット上からの漏洩は相当増えていますが、身近な原因から発生する問題については大して変わらず、十分に知っていても、実際には対応されていません。減ってないのをみればわかります。

【調査】情報漏洩の原因は「紛失・置き忘れ・不正アクセス・誤操作」 EC事業者も心構えが必要

全体として調査からは、人間が直接介在する形での不注意・管理ミスが件数や人数共に上位を占めることになる。これは日常的な情報管理体制になんらかの問題があることも推察でき、運用で改善できる点であるとも言えるだろう。
しかしネットでの不正アクセスの脅威も依然として大きく、ECモールやEC構築サービスの提供事業者といったプラットフォーマーはより高いセキュリティ対策が求められる状況とも言えそうだ。

脅威の方向

外部からの攻撃を受けて漏れるという原因もあります。しかし脅威や敵は内側に向かって来ているだけではありません。内部から外側に情報を持ち出すこともあれば、内部だけで完結自爆するヒューマンエラーのようなものもあります。いずれの場合も、本来ある場所から見て、逆方向へ情報が移動すれば、それが情報漏洩の事故となります。

360度、内側から全方向に向かって見れば外部から向かってくる脅威は見えてくるはずです。次にそれを鳥目線のように俯瞰してみれば、通常見えるものとは別なものが見えるものです。視点と考え方の話、情報を狙う悪者の視点で考えれば…一目瞭然です。

外側から脅威が迫ってくると考えると恐いですが、実際には身近で頻繁に起きています。航空機の事故はこわいですが、交通事故のほうが圧倒的に多くあり危険なのです。

漏洩数

原因は数字的インパクトがある漏洩数が目立ってしまうからで、漏洩内容や経緯よりもニュースの見出しになりがちだからなのだろうと考えます。

しかし量り売りじゃないので、量で考えることに違和感を感じています。確かに1,000件の漏洩と、10件の漏洩事件を比較したとき、件数で言えば100倍多いです。書くまでもありませんが、桁数増えると更に加速します。10,000件と100件などなど。

しかし、メアドだけの1000件、履歴書に書くような情報が含まれる10件等々、実際にはもっと判断しにくい漏洩内容の組合せなどもあるので、簡単じゃないですがやはりグラム単位、グラム単価的な感覚を感じます。

医療機関の事例

随分前(10年前なので一昔)に書いたブログですが、

医療機関の8割で患者データを紛失らしいが、しゃべる漏洩はもっとあるって(体験談その1)

医療に携わる人たちの「情報意識」病んでないか?と思う。(体験談その2)

先日も似たようなケースに遭遇しました。こちらも減っているように思えません。10年の間に遭遇する件数、私が体験したサンプリング数が偏り少なすぎるので何ともですが、ごく一部の出来事だから参考にならないという考え方、もう一方でその程度の少なさで遭遇するならば実際にはもっと起きているのではないかとい考え方が出来ると思います。

どちらなのか?わかりませんが、これを読む方々の体感経験値によってもその解釈は変わってくると思います。

一昔に書いたブログは、おしゃべり漏洩というモラルの問題でしたが、現在では標的型メール攻撃などでも漏れています。部外者も出入りする場所からのPC盗難紛失、患者情報入りのUSBメモリーの杜撰な管理や持ち出し時の紛失盗難…こちらも360度の全方向で考えなければなりません。

漏洩当事者の身勝手な解釈

これも数値化出来るようなものではないので、あくまでも個人的な感覚です。

1.「自分は悪くない」という、そもそもの立ち位置が違うとこからスタートしている

2.あの程度の情報ならば、今回漏れなくとも普通にありそうな情報だからそんなに問題無いよね(という、自身の都合いい解釈)

3.という理由から、自分も被害者の一部のような端っこに位置している⇒だから大丈夫!という支離滅裂なミソクソ一緒な状態

ここまで酷くないと書きたいとこですが、本当にこのままです。

一体、誰に向かって何を考えればこうなるのでしょうか? 被害者の方々のことは何も考えてないですし、再発も時間の問題です。少なくないです。

結局、同じように扱う ⇔ 結果、同じように扱われる。

間違った認識、色々勝手な解釈、扱い方の悪循環・・・さらに雑に扱われるようになっているように感じております。

私たちは自分の情報も預けている業務では他人の情報も預かっている情報セキュリティ標語カテゴリー)(個人情報編)

漏れれば被害者、漏らせば事故当事者と、僅かな違いで立場は逆転します。結局、お互い様な状態なのに立場によって態度が変わるという奇妙な現実です。

自身がどれ程丁寧に情報を扱っても、相手も私たちの情報を同じように扱ってくれるとは限りません。でも小さな積み重ねが、結局まわってくるものと考えています。因果応報な感じがします。

まずはセキュリティの基本となる小さな積み重ねからはじめてみませんか?

---

1年前くらいの2018年7月に書いたブログ:情報セキュリティ白書2018から気になった3つ

本家の資料:2018年情報セキュリティインシデントに関する調査結果・個人情報漏洩編・速報版日本ネットワークセキュリティ協会

Comment(2)

コメント

iso

あとですね、守秘義務に関する各種法律があるから大丈夫とか、法律があったらスピード違反は起こらんのかヲイ!みたいな妄信とか、
医療情報(略)ガイドラインはあるけど、あんなの絵に描いた餅で実際そんなのに投資する金はねぇよとか。
正直、真面目に教育を受けたSEが院内エンジニアで雇われたら毎日地獄ですよ。自分の持ってる職業的良心が真っ向から否定される毎日ですからね。

isoさん、コメント有り難うございます。

最近よく見るセーブ・ザ・チルドレンの広告のような
「この問題は、本当に問題です」という表現とダブって見えてしまいます。
質問などに答えるための問題ではなく、現実的な問題です。

「馬を水辺につれていくことが出来たとしても、水を飲ませることはできない」こういう思いを何度も経験しています。
出来るところまではやりますが、後は相手任せにするしかありません。

コメントを投稿する