先日、面白い記事を読みました。漏洩されてはこまる情報は、その情報を目にする人やその情報の持ち主などの環境に依存する、というものです。

それに関するものすごくボリューミーな公演記事があります。

http://gigazine.net/news/20120823-game-industry-privacy-cedec2012/

 

たとえばwebの閲覧履歴は個人情報か、という問いにどれだけの人がYesと答えるでしょうか?

 

天気予報だとか、バットマン新作だとか、マツケンサンバだとかでてもスルーされるでしょう。

キャッシング、金利、闇金、破産、ウシジマ君だとかでれば、あれれ?もしかしてギャンブル好き?ってことになるでしょう

卑猥な言葉が一杯ならんでいれば、あれれ?調査?趣味?ってことになるでしょう。

たとえ後ろめたいことがなにもなくても、AKB大嫌いなお客さんに自分がAKBが大好きなことが知られたらめんどくさいことになる、かも、しれない。

 

法律で示すところの個人情報に当たるのが何か?というのは法律を守る上では大事なことですが、自分達の利益を守る上で大事な個人情報はなにか?というのは、個人や属する組織で考える必要のあることです。

 

今一度見直されてみてはいかがでしょうか?

米国国防総省はサイバー空間への攻撃を受けた場合は、物理的なミサイル攻撃も行う等の指針がでています。

他の国でも同様なものがありますが、日本にはそういったものが無いそうです。

自衛隊は武力攻撃から日本を守るためにあるので、サイバー攻撃に対しても防衛しかできないようです。

 

原発を乗っ取られても無力と言う事でしょうか?それともなにか手段がある?

よくよく調べてもわからないと思いますが、ちょっと不安になってます。

あんまり不安感を煽ってもしょうがないのですが、まずは一人一人が社会の一員として情報セキュリティを意識して、できる事をしていくのがとても大事だと思う今日この頃です。

 

ウイルスソフトだとかバックアップだとかも大事ですが、大事な人との連絡手段を

確保するとか、写真をデジタル化するだけでなく、アナログな思い出アルバムつくっておくとかもとても大事なんだろうと思います。

 

例えば、今年の夏こんなのはどうでしょうか。

有事にそなえて、家族みんなでキャンプ。

お父さんはテントや食器、お母さんは食材、子供たちは自分の水やおやつや雨具を担いで、みんなで山キャンプ。

非常時グッズの点検や入れ替え、体力のチェック、子供の成長の確認、いろんなものを兼ねた訓練。情報とはあんまり関係ありませんが、心身ともに健康であれば、あとはなんとかなるかもということで。

来年には我が子も訓練に参加させたいです。

先週、あるデータセンターのレンタルサーバーでシステム障害が発生し、5698件に上る企業のホームページ(HP)や顧客名簿などのデータが消失したことが報道されていた。この会社はもちろんデータのバックアップをしていたが、そのバックアップデータも消失してしまい、データの復旧もできなかったそうだ。そのため、事業活動ができない顧客もいる、と報道されていた。外部委託した情報システムの事故では国内最大規模のトラブルだそうだ。原因は「サーバーの保守点検用のプログラムの不具合」らしいが、なぜ不具合に気付かなかったのかが気になります。きっとセキュリティ対策は講じていらっしゃったはず。せめてバックアップデータだけでも確実に確保するように検討されていなかったのでしょうか?

もう1つ驚いたニュースがありました。内容は「個人所有端末の業務利用」が禁止されている企業でも5割以上の社員が私物端末を業務利用している、というアンケート結果でした。きっと違反している方は「私は大丈夫」と思って利用していると推測されます。確かに滅多なことはないと思いますが、データ流出などのリスクが高くなると思われます。

情報セキュリティ事故は、起きてしまったら取り返しがつかないところが恐ろしいです。そのため、事故が起こらないための対策や個々の意識の持ち様がとても重要だと改めて感じました。

タイトル通り、のっぽさんみたいに紙一枚を細工すれば、ほら、できあがりー。

 

ということではありません。はり紙の事です。

費用対効果の高い情報セキュリティ対策だと思います。

たとえば、「火の用心」だとか、「注意一秒怪我一生」だとかの標語やポスターは、それなりの高い対策を期待できると思いませんか。

 

例えばこんな標語はどうでしょうか?

「USBとは、U:ウイルススキャン S:してないと B:バカをみる」

「その印刷物、墓場まで責任もって管理するなら印刷してもいいよ」

「その情報、あなたのものですか?みんなのものですか?」

 

定期的に張り紙しておいたり、差し替えたりしても、ほとんどコストはかかりません。

最近、デスクワークでも指差し確認を取り入れている企業があると聞きました。

 

アナログなものは心に刻み込まれ、案外効果があるものなのかもしれませんね。

 

「三つ子の魂百まで」

若い人が多い職場なら逆に、デジタルゲーム感覚の方が効果あるかも。

メールで、”ウイルス対策の呪文をかけましょう”とかね。

twitterのパスワード流出の記事がでてましたね。

よくよく読むと、twitterからの流出ではなく、他サイトからの流出らしく、普通の利用者のものは流出されていないらしいとのこと。

 

皆さん、平均でどれだけのネット上アカウントとパスワードをもってますでしょうか?

私は30個程ありました。

 

もし、twitterと同じアカウントとパスワードを利用していたら、全部変更しないといけませんね。

最低でもクレジットが絡んでいるものだけでも早急にしてしまわないと。。。

 

私の場合、全て別パスワードを利用しています。

固定コード+そのサイト固有でルール決めたもの。という運用をしています。

例えば、固定コード=pukuPuku69

サイト固有コードのルール=そのサイト名の奇数桁英数字

 googleであれば、「g」o「o」g「l」e=gol

で、google用のパスワードは、pukupuku69gol

 

このルールなら、固有コードとサイト固有コードルールの2つを覚えておけば、

すべてに対応できます。goodleっていうサイトがあるとパスワードが同じになっちゃうので、もう少し複雑にしたほうがいいですけどね。

 

twitterのブログ

http://blog.jp.twitter.com/2012/05/blog-post.html

 

気になる方は以下サイトにて自アカウントのパスワードが流出したのか確認できるそうです。

http://twipass.wiwa.jp/

 

禍を転じて福と為す

問題がでたら、よりよいステップへの足がかりとしてしまいましょう。

先日、テレビのニュース番組で言ってました。

「スマートデバイスは大きくは利用者の責任や行動に依存する」

確かに、普通のPCよりも多機能だったりしますよね。

 

先日、新聞のコラムで演出家が書いてました。

「演出家の仕事の8割は関係者とのコミュニケーションだ」

確かに、個別の特徴とパワーを発揮させつつ、全体として1つのまとまった価値を作り上げる作業というのは、そういうものですよね。

 

スマートデバイスを利用する場合は、いままで以上に利用者個人のセキュリティに対する

意識を向上させる必要があると思います。

 

スマートデバイスは利用者個々の意識が、組織のセキュリティポリシーの中にあるのではなく、外にあります。指定された場所で指定された情報しか引きだせないスマートデバイス、というのは存在しないでしょう。

つまり、利用する場合の意識は、こう考えるしかないと思います。

 

”セキュリティポリシーの外にあるスマホをどうやって利活用すれば、セキュリティポリシー内の運用に使えるか? ”

 

こうなると、ルールを決めてそのとおりに使うだけでは上手くマネジメントできないと思います。スマホがおかれた状況は個人の手の中にあり、どんどん進化や変化をしていきます。ルールを決めたその瞬間はOKでも、数ヶ月経つとどの様に変化しているのか予測ができません。環境が変化したことにより便利になる反面、リスクが増えることもあるでしょう。

また、変化に速やかに対応したり新しい使い方を見つけていくのが、スマホの大きな魅力であることも確かですから、1度導入したシステムをそのまま何年も使い続けていたのでは、何のために導入したのか分からなくなります。

 

ルール化で価値があることをきちんとやっておくことはもちろんですが、現場の利用状況や変化を把握したり、利用者にセキュリティに対するスキルと意識を向上してもらう(向上させる)ことの方がより効果的だと思います。

 

 IPAや他セキュリティソフトメーカーからいろんな無料教育ツールがでているので、利用されることをお勧めします。弊社HPの左下にあるセキュリティナレッジ内にもいろいろコンテンツがあるのでご利用ください。

また、トレンドマイクロからモバイルセキュリティのセキュリティアセスメントツールが無料で利用できます。組織内モバイルセキュリティのToDOリスト作るには便利だと思います。

http://satool.trendmicro.co.jp/confirm.aspx?type=3

 

「一樹百穫」

結局は人、どんな政も同じですね。

情報セキュリティにおいて、もっとも大事な事の1つはリスクアセスメントです。

 

これが全てと言ってもいいぐらいです。

 

ウイルス対策ソフト、スマートフォン対策、アクセス制御、SQLインジェクション、フォレンジック、BCP等々やる事は一杯思い浮かびます。そしてげんなりするわけです。

 

ですから、時間とお金を浪費せず、効果的な”結果”に資源を使うのが良いのです。

 

そのために、情報資産を洗い出し、どうなっているべきか、を判断し、

もっともお客様と自分達のミッションに必要と思われる事に資源を使う。

 

これがとっても難しいんですよね。

なにが重要かを格付けするのも難しいし、どうなってるべきかってのも環境の変化に引きずられていきます。

 

それで当社では、お客様の為にどうあるべきかっていう信念、これを軸にしています。

 

これはブレないので、妥当なリスクアセスメントができると考えています。

 

「口では大阪の城も建つ」

秀吉も口で言ったと思いますよ。