きれいな言葉でまとめた「やったつもりのセキュリティ」が一番怖い:半径300メートルのIT(2/2 ページ)
「セキュリティポリシー」や「プライバシーポリシー」をWebサイトに公開する企業は多いのですが、それを作ったことで安心しきっていませんか?
セキュリティの世界に視点を置き換えてみると、セキュリティポリシーがこれにあたるかもしれません。策定から時がたってピントがずれてしまったもの、時代に合わなくなってしまったものがいまだに残っていませんか?
例えば……
- USBメモリはつなぎません
- あやしいサイトは開きません
- あやしいURLはクリックしません
- 知らない人からのメールは開きません
- あやしいプログラムはクリックしません
このような宣言は空虚なものです。前回紹介した通り、マルウェアに感染させようとたくらむ攻撃者は見るからに「怪しい」添付ファイルを送ってきたりしませんし、見るからに「怪しい」Webサイトからダウンロードさせようともしません。もはや、一般人には見分けがつかない攻撃に対して、きれいな(しかしピントの外れた)宣言ではセキュリティは保てない時代なのです。
しかも、このような「きれいな言葉で表現された宣言」は、宣言しただけで何か対策をしたつもりになってしまいがち。仮に毎日の朝礼で宣言を唱和したところで思考停止につながるだけで、何の解決にもなりません。
利用者が「個人情報の漏えいが心配です」という不安を伝えてきたとき、その回答が精神論やあるべき論だけではかえって不安が募るというもの。「多層防御」という言葉で表現されるように「感染しない仕組みはもちろん用意していますが、万が一に備えて感染してしまった場合でも情報を持ち出されないような仕組みも備えています」という態勢作りが必須なのです。
このような考え方はマルウェア対策だけにとどまりません。例えば、パスワードの定期変更や秘密の質問の導入など「やったつもりのセキュリティ」は世の中にあふれています。日本年金機構の事故をはじめ、他社の情報漏えい事故から教訓を得るとするならば、そういった「きれいな言葉」だけが社内に存在していないかをチェックしてみるべきでしょう。
関連記事
- 今どきの攻撃者は“怪しい”添付ファイルなんて送ってこない
年金機構で発生した大規模個人情報流出事件。あまりにもずさんな管理体制にあきれている読者も多いハズ。ところで、自社には関係ない話だと思っていませんか? - 情シスさん、パスワードの定期変更よりもやるべきことがある
定期的なパスワード変更を強制させるだけで情報漏えいが防げるハズはありません。定期変更が無意味だとはいいませんが、パスワードに関してもっと注力すべき点があります。 - いつの間にかやられている「やり取り型」攻撃って知ってる?
今さら「オレオレ詐欺」に引っ掛かる人はいないよね――。そんな油断を突いて攻撃者はさまざまな“情シス助けて詐欺”を仕掛けてきます。 - 「DDoS攻撃、800円でやってあげる」が成り立つワケ
昨年、高校生がオンラインゲームのサーバにDDoS攻撃を仕掛けたとして書類送検されました。ちょっと調べてみると簡単に”サイバー攻撃サービス”が見つかります。
Copyright © ITmedia, Inc. All Rights Reserved.