情報処理安全確保支援士 - SE娘の剣 -

情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。

カテゴリ:19.マンガでわかるセキュリティ > 4 セキュリティ対策はなぜ難しい?

 セキュリティの対策の重要性をご理解してもらっているお客様でも、その対策はなかなか進みません。
 それは、セキュリティ対策がとても難しいからです。セキュリティ対策には、お金も手間もかかります。そのわりには、売り上げ向上には直接的に寄与しません。むしろ、制約が増えますから、マイナス効果の方が大きくなります。
 また、セキュリティ対策は、攻撃者とのいたちごっこでもあり、ここまでやれば完璧というものもありません。セキュリティ対策は本当に難しいのです。
 そんな、セキュリティ対策の難しさを、このカテゴリで紹介します。

セキュリティ対策って、本当に難しいと思います。その理由の一つに、1カ所でも穴があれば、そこから攻撃されてしまうことです。この点について、マンガで解説します。
マンガでわかるセキュリティ:セキュリティ対策は1カ所でも穴があればダメ?
  マンガでわかるセキュリティ:セキュリティ対策は1カ所でも穴があればダメ?2 
マンガでわかるセキュリティ:セキュリティ対策は1カ所でも穴があればダメ?3
 「ドベネックの桶」という言葉があります。
難しい言葉ですが、桶において、一番低いところに開いた穴から水が漏れることを意味しています。
セキュリティ対策も同じで、その企業のセキュリティレベルは、一番下が基準になるということです。
どれだけ玄関のドアを頑丈にしていても、裏口が開いていたとすると、その家のセキュリティレベルというのは、裏口が空いているという基準になってしまうのです。
であれば、玄関の高いセキュリティレベルはお金の無駄になってしまうのです。

 

少し補足します。
マンガでは、セキュリティ対策のやるべきことがたくさんありすぎて、遊斗が逃げました。
でも実際、やるべきことはたくさんあるのです。
たとえば、IPAが発表する「IPA 対策のしおり シリーズ」は(1)~(12)まであります。内容は、「(1) ウイルス対策のしおり」からはじまり、「(4) 不正アクセス対策のしおり」「(5) 情報漏えい対策のしおり」「(10) 標的型攻撃メール対策のしおり」などがあります。
その中で、たとえば、「(5) 情報漏えい対策のしおり」には、7つのポイントが書かれてあります。
----------
企業(組織)で働くあなたへ…7つのポイント
(1)企業(組織)の情報資産を、許可なく、持ち出さない
(2)企業(組織)の情報資産を、未対策のまま目の届かない所に放置しない
(3)企業(組織)の情報資産を、未対策のまま廃棄しない
(4)私物(私用)の機器類(パソコンや電子媒体)やプログラム等のデータを、許可なく、企業(組織)に持ち込まない
(5)個人に割り当てられた権限を、許可なく、他の人に貸与または譲渡しない
(6)業務上知り得た情報を、許可なく、公言しない
(7)情報漏えいを起こしたら、自分で判断せずに、まず報告
----------

これらの内容は、どれもその通りなんですが、セキュリティ対策ってやることが多すぎですよね。しかも、守って当たり前と思われますので、きちんとやっても誰も褒めてくれません。
さらにセキュリティ対策のやる気をそがれるものがあります。それは、セキュリティ対策は1つでも穴があれば、そこから攻撃される可能性があることです。100ある対策の99個を実施していても、実施しなかった1つが原因でセキュリティ事故を起こす可能性があるのです。たとえば、いくら入退室管理や暗号化や高度な装置を導入していても、お客様情報が入ったカバンを電車に置き忘れたらおしまいです。それ以外の苦労がすべて水の泡になるのです。

参考ですが、とある教育系会社の情報漏えい事件の報告書に基づくと、たとえば以下の対策が実施されていました。
■某社が行っていた主な情報漏えい対策
[物理的セキュリティ]
・入館許可証による入退室管理
・監視カメラ
・クライアントPCへのワイヤーロック
[技術的セキュリティ]
・システムへのパスワード設定
・ログの取得とアラート設定
・ソフトのインストール制限
・URLフィルタリング
・外部デバイスへの書き出し制御
・データベースへのアクセス制御
[人的・組織的対策]
・セキュリティ研修
・セキュリティ監査
(2014.9.25の「個人情報漏えい事故調査委員会による調査結果のお知らせ」より
http://blog.benesse.ne.jp/bh/ja/news/m/2014/09/25/docs/20140925%E3%83%AA%E3%83%AA%E3%83%BC%E3%82%B9.pdf


 この報告書だけを見ると、セキュリティ対策にはかなりお金をかけて対策していたように感じます。しかし、盗む側からすると、情報を抜き出す穴があったのです。たとえば、外部デバイスへの書き出し制御を導入していたのですが、特定のスマホが、その規制をくぐり抜けてしまいました。また、ログ取得とアラート設定もされていたのですが、今回の情報の抜き出しにはアラートは発出されませんでした。経営層の立場からすると、そのような細かな穴があることを確認するのは難しいのではないでしょうか。
 この企業ほどセキュリティ対策をしていない会社はたくさんあると思います。となると、「これだけ対策しても、漏えいするんだ」という経営者からのため息が聞こえてくるように感じるのは、私だけでしょうか。

セキュリティ対策って、いわば企業にとっては「守り」です。「攻撃は最大の防御なり」という言葉がセキュリティ対策に通じないことはわかっていますが、守ってばかりいては、何もできないですよね。 特に、お客様情報がなければ、ビジネスが成り立ちません。

そんな話について述べます。

守りを固めれば攻撃が弱くなる1
守りを固めれば攻撃が弱くなる2
守りを固めれば攻撃が弱くなる3
この漫画にあるように、ときには守りに専念する必要があります。でも、守ってばかりいては点数が入りません。これが、セキュリティの難しさです。セキュリティ対策は、売り上げが増えるどころか、逆に減るようなことにもなりかねません。マンガのように、守備を重視すると、ときに攻撃が弱くなるのです。
 セキュリティを強化すると、たとえば提案書や設計書などのファイルを外部に出力することができません。お客様や協力ベンダとのファイルのやり取りが難しくなります。パソコンを持ち出してデモしたり提案することも規制されます。セキュリティ対策をするということは、これらの制約はやむを得ないことです。現場から嫌がられることですから、セキュリティ対策への反発も強いことでしょう。


スポンサードリンク

↑このページのトップヘ