クラム本

【雑記】形骸化する情報セキュリティ

2016/07/28 12:00 投稿

コメント:9

  • タグ:
  • 雑記
  • 情報
  • セキュリティ
  • リテラシー
  • 対策
  • 予防
  • IT業界
ここ数年で”個人情報●●万件流出”みたいな事件をよく目にし、情報セキュリティ対策が大切だよ!その為の人材が不足しているよ!とよく耳にするようになってきました。

最近はCSIRTとかやっと耳にするようになりましたけど、その為に取り組んでいる内容を見ると、本当に効果あんのかなぁと懐疑心が拭えきれないところがあります。
色んな人が意識を向けてくれるのはいいけれど、実際に取り組んでいる対策や予防策を聞いていて、まだまだちゃんと理解している人が少ないかなぁと感じることがあります。



◆”怪しいメール”の滑稽さ
実際に行われているサイバー演習のシナリオを見ていて一番疑問に思うのが「怪しいメール」を見つけた前提で話が進むことなんですよね。
もうその時点で私の頭のなかには「?」マークがいっぱいです。

現状を見てみると、その怪しい!と気づけないからこそ(標的型攻撃が巧妙化している)情報流出事件が起きているわけで、「怪しいメール」を見つけるまでの過程をしっかりと確認する必要があると考えています。



◆”マイナンバーカード”の形だけやりました感
先日、私はマイナンバーカードを発行してきたのですが、その時の情報セキュリティに対する対策が既に形だけのモノになっていて、驚きのあまりひっくり返りそうになりました。

=====
①パスワードの設定を行うのですが、その認証に必要なパスワードを紙に書いてくれと言われて、書いたらその紙を受付の人にこのパスワードで問題がないか確認をしてもらう。しかも登録するパスワードは大文字の英数字と数字のみの組み合わせ。

②パスワードを4種類も設定しないといけないのにもかかわらず、覚えやすいからと受付の人からパスワードを使い回すことを推奨される。さらに、パスワードを入力する機械では、予め「入力したパスワードを他の項目と同じパスワードと同じにする」みたいな項目にチェックがされている。

③パスワードを入力する際は、機械に自分の手で入力するのですが、入力した文字が*表示にならず、何の文字を入力したのか、背後や周りの人達から丸見え。

④上記の4つにパスワードを分けているのにも関わらず、パスワードの名称が、渡された資料と一致しておらず、どのパスワードがどの機能に割り振られているのか全くわからない。
=====

もうヤバすぎて、自分の頭がおかしくなったのかなって思うくらいでした。
この時、マイナンバーの情報は絶対に漏れることを私は確認しました。

まぁ、偉い人から情報セキュリティを高めろだの何だの言われて、でも実際に使う人達(国民)の大半は疎い人達ばかりだから、運用や利便性を考えての苦肉の策なんだろうなって感じがしてきます。でもそんな形だけの対策を行うぐらいならはじめから辞めて、もっと別なことにお金を使って欲しかったなって感じます。



◆情報セキュリティで大切なのは人である
過去にも述べていますが、情報セキュリティで何よりも大切なのは、利用者の情報セキュリティに対する意識を高める事(教育)です。
どれだけ素晴らしいセキュリティシステムを構築したところで、最終的にそれを動かすのが人であることには変わらず、その人が機密情報をポロっと漏らしてしまえば、一緒なんですよ。

情報セキュリティと言うのは、利用者にも経営者にも、イメージが非常にしにくいモノであると私は感じています。
物理的な形となって現れるものではありませんし、特に目に見えないものにお金を使うことに抵抗感がある日本人には尚更、イメージが沸きにくかったり、理解がしにくいものでしょう。
ですが、そのようにいつまでも立ち止まっていてはいつか痛い目を見るのは自分だと、、、そんな時代になってきたのではないでしょうか。




よければ以下記事もどうぞ
●"情報セキュリティ"で何よりも大切なのは"人の意識"である
http://ch.nicovideo.jp/kuramubon/blomaga/ar893768
●【雑記】壁を高くするだけのセキュリティ対策。いい加減やめませんか?
http://ch.nicovideo.jp/kuramubon/blomaga/ar804721
●【雑記】「人の手」を使うことで人為的ミスを防ぐのはナンセンスじゃないか?
http://ch.nicovideo.jp/kuramubon/blomaga/ar974265
●【雑記】IT業界の問題点
http://ch.nicovideo.jp/kuramubon/blomaga/ar856777

そんなかんじで。
おしまい。

コメント

もやし
No.7 (2016/07/30 00:20)
>大半は疎い人達

ほんとこの一点に尽きる。個人情報を厳重に管理しなければならない役所の人間ですらこのざまです。
情報セキュリティを高めろと声をあげている役所の上の人もきっと「大半」に含まれてます。
疎い人が厳重なセキュリティを容易に取り扱うことができる優秀なシステムを作ることができれば良いのですが・・・無理でしょうね、やや矛盾してますし。

転職してPマークを持ってる会社で働いてますが、記事内の役所みたいなセキュリティもどきとは比べ物にならないくらいしっかりしてます(当然ですが)。

役所に限らず、最近よく見かける情報端末に疎い人が使えない得物を無理に使ってる様はひどく滑稽です。
くらむ (著者)
No.8 (2016/07/31 00:22)
>もやし さん
いつも閲覧いただき、ありがとうございます!

そうなんですよね。役所もその"大半"に含まれていて、本当に情報セキュリティについてしっかりと考えられていると言うところはIT企業の中でもセキュリティ周りにウルサいところぐらいなんじゃないかなぁと感じています。
近頃発生している事件を見ていても、そういった形だけになっていると言うことが自覚できるようになるための教育をしていく必要があるよねぇ。と思っています。
rulue
No.9 (2016/08/06 04:18)
マイナンバーカードにサイドチャネル攻撃するような例が現れたら,論理的な安全性はそもそも無意味ですけどね

コメントを書き込むにはログインしてください。

いまブロマガで人気の記事