オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

新型コロナで考える「これからの情報セキュリティ」の脅威と方向性の変化

»

新型コロナの影響が大きく、あらゆることの今後が見えてきません。今回のことで自身の考え方と価値観が大きく変わったことで、バイアスと曇りが晴れてきたことが、新たな発見のように感じております。従来の普通にあったことは「単に今までの方法たっだり、その結果」でしかありません。取り巻く環境が変わってくるならば、「これからの出来る方法とか、その原因」を探り出していくことに注力するしかないと感じております。

情報セキュリティに関しても、感覚的にうねりのようなものが来ているように思います。

今までの情報セキュリティの考え方

情報セキュリティの人的な対策を考えた時、

・うっかりミスによるセキュリティ事故(紛失、置き忘れ、操作ミス、管理ミスなど)

・内部犯行、不正な情報持ち出し(売却)

など、大きく分けるとこんなイメージです。ここに外部からの不正アクセスや、メール攻撃等々が含まれてきます。

2018年の個人情報漏洩原因比率で見ると外部攻撃が24%、それ以外の前者が76%です。人的原因のうっかりミスは毎年減っていません。

詳しくは以下を参照下さい。
情報セキュリティインシデントに関する調査報告書(日本ネットワークセキュリティ協会)

ここで悩ましいのが、うっかりミスを防ぐ最善の方法です。スパッと行きたいとこですが、無駄にチェック項目や確認を増やせば正常業務に支障をきたします。一方で事故は減らず、更なる確認項目が落ちてくるテトリスのように重ねられてきます。キレイに積まれても多くなるだけですし、隙間があけば歯抜けな積まれ方になってます。これらが形骸化ばかりか、事故を誘発するような「最悪な状況」を何度も見ています。テトリスならばゲームオーバーです。

利用者側の意識としては、情報セキュリティの必要性はほぼ理解して浸透してますが、優先順位と実行性が低いのが現実です。安全な方法を最大限に提供しても、最終的には人に委ねられます。もっとセキュリティを上げると、今度はまともに仕事が出来ない本末転倒な状況を作り出してしまう、と言うトレードオフな関係になってきます。個々の意識が高まれば。。。が従来の悩ましい部分でした。

これからの情報セキュリティの考え方

・76%のうっかりミス、内部犯行、不正な情報持ち出し

 内側起点(従業員)→ 情報が外側に向かっていく

・24%の外部からの攻撃

 外側起点 → サーバやメールを標的とした攻撃

今までのことにプラスして、起点箇所と対策範囲が増えてきます。

1.リモートワーク増大による特有の問題(内側起点、外側起点)

リモート環境による利用機器のセキュリティ(ウィルス対策、悪意なツール等)

ITリテラシーの低さが引き起こすミス(ろくな確認せずに会社と同じように操作する等)

自分の見ている画面範囲と相手の範囲(カメラ画角)が逆の視点である意識が起因する問題(オンラインミーティング等)

2.プライバシーと個人情報(内側起点、外側起点)

外側:慣れない操作から流してはいけない会話の漏洩(クライアント先情報など不適切会話)

内側:どうでもいいが楽しい社内の噂など(自身が考えている場所以外にも聞こえている)

3.環境変化による破滅的な内部不正や情報持ち出し事故(内側起点)

自爆テロ的な事故の増加(雇用関係のトラブル)

リモートに限らず、情報利用権限の一時的な解放による盲点(金銭的価値があるなら売却)

4.ピンポイント(狙い打ち)標的型攻撃(外側起点)

多少不便を感じながら行う業務の中、ちょっとした相手の間違いをリカバリーしてしまう

(あくまでも親切心からだけど、思い込みから攻撃者の間違いまで修正してしまうこと等)

ちょっとした気のゆるみから金銭的な誘惑(上記3の破滅的行動)

5.書類やデータの保管管理(内側起点、外側起点)

移動中の書類紛失や漏洩(デジタルデータ、紙情報)

クラウドストレージの不適切管理(普段は共有されない情報、権限範囲ミス)

自宅に泥棒が入り盗まれる(書類やPC等)

書類やデジタル記録媒体の廃棄方法(裏紙として使用時の表面の未確認等)

これらの問題となるポイントが増えてきます。日頃からしっかりとセキュリティ対策やリテラシーが高ければ、今さら何?と言うレベルのものですが、言われてわかるだけでなく(体験的にほとんどこれですよ)実際の行動に反映されてなければ意味がありません。

求められる方法

新型コロナの行動自粛に似ていると思います。自粛には何の強制力もありませんが、各自が自主的に行動する。1人1人の行動が大きなポイントとなります。情報セキュリティにおいても同様です。結果的には個人の意識を高めなければ淘汰されていく流れになっていきます。

ここまでの状況の変化の中、情報セキュリティが出来ていることは「最低限のビジネスマナー」でしかありません。出来て当たり前なのです。

企業においては、今までの対策にプラスこれからのリスクも考えた方法を見いだしていくしかありません。一般社会や取引先からも要求事項は今までよりも大きくなり負担になってきますが、今までのツケというか、どんな理由があってもやっていくしか選択肢はありません。

個人の方々は、個人の立場でなく企業側の立場に立って考えてみれば、明確な答えが出てきます。最低限のセキュリティはもちろん、労働環境の変化に伴うITリテラシー(情報の取捨選択、スキルや操作等)の高い人材も最低限の要素となります。使いこなしてセキュリティも出来ることは最低限であり、そこにそれぞれの業務にあったプロフェッショナルなスキルが付加され、言うまでもなく道徳的な行動も出来る。普通に考えてどの時代でも「当たり前」に出来てなければならないことが、最低限の基礎になります。

このように考えれば、企業側が求める人材にあった最低限以上のプロフェッショナルでなければならないことが見てきます。AI職業ランキング(Google検索)

ゴールデンウィーク後に、どのような状況になっているのかわかりませんが、間違いなく環境が大きく変わるこの時期に、これからのことをゆっくり考えていきたいものです。

Comment(0)