マンガでわかるセキュリティ

難しいセキュリティ対策について、身近な事例を用いて8コマ漫画でわかりやすく解説します。他人のスマホののぞき込んだら犯罪?誘導されるままに運転したら事故を起こしたら誰の責任?などなど、みなさんも一緒に考えてみませんか?

セキュリティ対策は1カ所でも穴があればダメ?

セキュリティ対策って、本当に難しいと思います。その理由の一つに、1カ所でも穴があれば、そこから攻撃されてしまうことです。この点について、マンガで解説します。
マンガでわかるセキュリティ:セキュリティ対策は1カ所でも穴があればダメ?
  マンガでわかるセキュリティ:セキュリティ対策は1カ所でも穴があればダメ?2 
マンガでわかるセキュリティ:セキュリティ対策は1カ所でも穴があればダメ?3
 「ドベネックの桶」という言葉があります。
難しい言葉ですが、桶において、一番低いところに開いた穴から水が漏れることを意味しています。
セキュリティ対策も同じで、その企業のセキュリティレベルは、一番下が基準になるということです。
どれだけ玄関のドアを頑丈にしていても、裏口が開いていたとすると、その家のセキュリティレベルというのは、裏口が空いているという基準になってしまうのです。
であれば、玄関の高いセキュリティレベルはお金の無駄になってしまうのです。

 

少し補足します。
マンガでは、セキュリティ対策のやるべきことがたくさんありすぎて、遊斗が逃げました。
でも実際、やるべきことはたくさんあるのです。
たとえば、IPAが発表する「IPA 対策のしおり シリーズ」は(1)~(12)まであります。内容は、「(1) ウイルス対策のしおり」からはじまり、「(4) 不正アクセス対策のしおり」「(5) 情報漏えい対策のしおり」「(10) 標的型攻撃メール対策のしおり」などがあります。
その中で、たとえば、「(5) 情報漏えい対策のしおり」には、7つのポイントが書かれてあります。
----------
企業(組織)で働くあなたへ…7つのポイント
(1)企業(組織)の情報資産を、許可なく、持ち出さない
(2)企業(組織)の情報資産を、未対策のまま目の届かない所に放置しない
(3)企業(組織)の情報資産を、未対策のまま廃棄しない
(4)私物(私用)の機器類(パソコンや電子媒体)やプログラム等のデータを、許可なく、企業(組織)に持ち込まない
(5)個人に割り当てられた権限を、許可なく、他の人に貸与または譲渡しない
(6)業務上知り得た情報を、許可なく、公言しない
(7)情報漏えいを起こしたら、自分で判断せずに、まず報告
----------

これらの内容は、どれもその通りなんですが、セキュリティ対策ってやることが多すぎですよね。しかも、守って当たり前と思われますので、きちんとやっても誰も褒めてくれません。
さらにセキュリティ対策のやる気をそがれるものがあります。それは、セキュリティ対策は1つでも穴があれば、そこから攻撃される可能性があることです。100ある対策の99個を実施していても、実施しなかった1つが原因でセキュリティ事故を起こす可能性があるのです。たとえば、いくら入退室管理や暗号化や高度な装置を導入していても、お客様情報が入ったカバンを電車に置き忘れたらおしまいです。それ以外の苦労がすべて水の泡になるのです。

参考ですが、とある教育系会社の情報漏えい事件の報告書に基づくと、たとえば以下の対策が実施されていました。
■某社が行っていた主な情報漏えい対策
[物理的セキュリティ]
・入館許可証による入退室管理
・監視カメラ
・クライアントPCへのワイヤーロック
[技術的セキュリティ]
・システムへのパスワード設定
・ログの取得とアラート設定
・ソフトのインストール制限
・URLフィルタリング
・外部デバイスへの書き出し制御
・データベースへのアクセス制御
[人的・組織的対策]
・セキュリティ研修
・セキュリティ監査
(2014.9.25の「個人情報漏えい事故調査委員会による調査結果のお知らせ」より
http://blog.benesse.ne.jp/bh/ja/news/m/2014/09/25/docs/20140925%E3%83%AA%E3%83%AA%E3%83%BC%E3%82%B9.pdf


 この報告書だけを見ると、セキュリティ対策にはかなりお金をかけて対策していたように感じます。しかし、盗む側からすると、情報を抜き出す穴があったのです。たとえば、外部デバイスへの書き出し制御を導入していたのですが、特定のスマホが、その規制をくぐり抜けてしまいました。また、ログ取得とアラート設定もされていたのですが、今回の情報の抜き出しにはアラートは発出されませんでした。経営層の立場からすると、そのような細かな穴があることを確認するのは難しいのではないでしょうか。
 この企業ほどセキュリティ対策をしていない会社はたくさんあると思います。となると、「これだけ対策しても、漏えいするんだ」という経営者からのため息が聞こえてくるように感じるのは、私だけでしょうか。