TOEIC替え玉不正受験から考える情報セキュリティ対策の勘違いポイント
こういう不正が無くなることはありませんが、常に不正手法と対策案の果てしない戦いしかないのでしょうか?
対策の決定打が見えなくても、勘違いポイントだけは経験上避けられると考えています。
TOEIC替え玉受験で警視庁が小型マイクやイヤフォンを公開 組織的カンニングに使用か
マイクは約7cmで、王容疑者がマスク内に隠して、他の受験者に解答を教えていたとみている。受験生の中国籍の女性が持っていたイヤフォンは、約3mmのビーズ型で、ペンダント型の中継器もあり、機材の使い方を指南する動画もあったという。動画では、「金属ビーズを耳の奥まで滑り込ませる」などと説明していた。
不正手段が出てくる → その対策する → 終わり! って何の間違いもありませんが、あくまでも「その」不正に対しては有効ですってだけの話。これ文字で書くと「そんなの当たり前じゃないか!」となりますか? 少なくとも「それだけ」で対策OK終わり!っていう場面を多く見てきました。
例えばこの件で考えると、ジャミング対策をすればOKだろうと。しかし新たに手法2が出てくれば対策2と...続いて行きます。ここで重要なことは、
・手法が見つかってから、対策が行われるまでは無防備
ってことです。ゼロデイ攻撃です。
・不正側からすれば、見つかるまでは有効策ですし、対策が出てくるまでも、どうにか使えます。
別にキリのないところまで対応出来ませんからどこかで妥協をするのですが、
・それを理解したOKと
・無智な全部OKは
後の問題に大きく影響しますし、何よりもこの思考が爆弾を抱えているようなリスクです。
前回、【注意喚起】2025年国勢調査で考える特殊詐欺対策のセキュリティ攻防視点でも書きましたが、
・対策側が事前にほぼ完璧な対策を行うことは難しく
・一方で不正側は現状でできそうな別なことを考えるだけ
圧倒的に有利です。じゃんけんは後出しすれば勝てますが、ここでは先出し出来なければ負けます。
企業の情報セキュリティにおいても、これと同じことが行われている
物理的対策や、規則等、ダメダメ対策が増えていき、まるで失敗したテトリスのように積み上がっていきます。
昔クレヨンしんちゃんの「ママとのお約束条項」にあったように、どんどん増えていく。これもう無理です。
ルールとして決まってるから、やっちゃダメ! こんなの幼稚園児でもわかることなのに(しんちゃんわかっていたのか(笑)
なぜセキュリティ事故が起きるのかと。実際には項目の多すぎるものは、ほぼ形骸化されています。
1項目ずつ聞けばわかりますし、もちろん全部聞いてもわかりますが、そんなにたくさん意識して継続出来るものでしょうか?
・聞いてわかることとと、実際に行動できることは違うのです
ダメなことを増やすことは、
・結局、誰の何のために有効だろうか?と
事故が起きた後ダメと書いてあるからと。単に積み上げた記録に残っている程度になっています。もちろん罰則は必要ですが本来それが目的なのかと。たくさん決めてあっても、守られなければ意味はありません。
不正側、対策側の両面視点から今一度考えてみることをオススメします。セキュリティのためのセキュリティに溺れないために。。。
結局どうすればいい?
組織によって随分変わりますが、具体的にすると項目は増え、抽象的にすると範囲が見えにくくなります。
1つのアプローチとして仏教で説かれる十善戒のような最低限のことに注目します。以下引用します。
身業
- 不殺生(ふせっしょう) 故意に生き物を殺さない。
- 不偸盗(ふちゅうとう) 与えられていないものを自分のものとしない。
- 不邪淫(ふじゃいん) 不倫など道徳に外れた関係を持たない。
口業
- 不妄語(ふもうご) 嘘をつかない。
- 不綺語(ふきご) 中身の無い言葉を話さない。
- 不悪口(ふあっく) 乱暴な言葉を使わない。
- 不両舌(ふりょうぜつ) 他人を仲違いさせるようなことを言わない。
意業
例えばこの全部を守れれば、何も難しいことをしなくとも悟りが開けるでしょう。
この最低限の10項目に減らしても、どれだけ継続してできるでしょうか?
十善戒と同じようなもので、言われてわかることと、実際にできていることは違う!ってことを理解しなければなりません。
項目を増やすならば、逆視点として項目を減らし勘違い項目に注目してみることも大切と考えています。