【雑記】形骸化する情報セキュリティ
閉じる
閉じる

新しい記事を投稿しました。シェアして読者に伝えましょう

×

【雑記】形骸化する情報セキュリティ

2016-07-28 12:00
  • 9
ここ数年で”個人情報●●万件流出”みたいな事件をよく目にし、情報セキュリティ対策が大切だよ!その為の人材が不足しているよ!とよく耳にするようになってきました。

最近はCSIRTとかやっと耳にするようになりましたけど、その為に取り組んでいる内容を見ると、本当に効果あんのかなぁと懐疑心が拭えきれないところがあります。
色んな人が意識を向けてくれるのはいいけれど、実際に取り組んでいる対策や予防策を聞いていて、まだまだちゃんと理解している人が少ないかなぁと感じることがあります。



◆”怪しいメール”の滑稽さ
実際に行われているサイバー演習のシナリオを見ていて一番疑問に思うのが「怪しいメール」を見つけた前提で話が進むことなんですよね。
もうその時点で私の頭のなかには「?」マークがいっぱいです。

現状を見てみると、その怪しい!と気づけないからこそ(標的型攻撃が巧妙化している)情報流出事件が起きているわけで、「怪しいメール」を見つけるまでの過程をしっかりと確認する必要があると考えています。



◆”マイナンバーカード”の形だけやりました感
先日、私はマイナンバーカードを発行してきたのですが、その時の情報セキュリティに対する対策が既に形だけのモノになっていて、驚きのあまりひっくり返りそうになりました。

=====
①パスワードの設定を行うのですが、その認証に必要なパスワードを紙に書いてくれと言われて、書いたらその紙を受付の人にこのパスワードで問題がないか確認をしてもらう。しかも登録するパスワードは大文字の英数字と数字のみの組み合わせ。

②パスワードを4種類も設定しないといけないのにもかかわらず、覚えやすいからと受付の人からパスワードを使い回すことを推奨される。さらに、パスワードを入力する機械では、予め「入力したパスワードを他の項目と同じパスワードと同じにする」みたいな項目にチェックがされている。

③パスワードを入力する際は、機械に自分の手で入力するのですが、入力した文字が*表示にならず、何の文字を入力したのか、背後や周りの人達から丸見え。

④上記の4つにパスワードを分けているのにも関わらず、パスワードの名称が、渡された資料と一致しておらず、どのパスワードがどの機能に割り振られているのか全くわからない。
=====

もうヤバすぎて、自分の頭がおかしくなったのかなって思うくらいでした。
この時、マイナンバーの情報は絶対に漏れることを私は確認しました。

まぁ、偉い人から情報セキュリティを高めろだの何だの言われて、でも実際に使う人達(国民)の大半は疎い人達ばかりだから、運用や利便性を考えての苦肉の策なんだろうなって感じがしてきます。でもそんな形だけの対策を行うぐらいならはじめから辞めて、もっと別なことにお金を使って欲しかったなって感じます。



◆情報セキュリティで大切なのは人である
過去にも述べていますが、情報セキュリティで何よりも大切なのは、利用者の情報セキュリティに対する意識を高める事(教育)です。
どれだけ素晴らしいセキュリティシステムを構築したところで、最終的にそれを動かすのが人であることには変わらず、その人が機密情報をポロっと漏らしてしまえば、一緒なんですよ。

情報セキュリティと言うのは、利用者にも経営者にも、イメージが非常にしにくいモノであると私は感じています。
物理的な形となって現れるものではありませんし、特に目に見えないものにお金を使うことに抵抗感がある日本人には尚更、イメージが沸きにくかったり、理解がしにくいものでしょう。
ですが、そのようにいつまでも立ち止まっていてはいつか痛い目を見るのは自分だと、、、そんな時代になってきたのではないでしょうか。




よければ以下記事もどうぞ
●"情報セキュリティ"で何よりも大切なのは"人の意識"である
http://ch.nicovideo.jp/kuramubon/blomaga/ar893768
●【雑記】壁を高くするだけのセキュリティ対策。いい加減やめませんか?
http://ch.nicovideo.jp/kuramubon/blomaga/ar804721
●【雑記】「人の手」を使うことで人為的ミスを防ぐのはナンセンスじゃないか?
http://ch.nicovideo.jp/kuramubon/blomaga/ar974265
●【雑記】IT業界の問題点
http://ch.nicovideo.jp/kuramubon/blomaga/ar856777

そんなかんじで。
おしまい。
広告
×
ご無沙汰しております。以前の記事にもありますが、セキュリティ漏洩の大半は“中の人”の意図的な行動にあります。

どんなに素晴らしいシステムだろうが、目の前の誘惑に周りか見えなくなった結果、数万件の漏洩等何度見たことか。情報はお金と同様(若しくはそれ以上の価値)であることを認識させると同時に、技術者の報酬も上げる必要はあるでしょうね。みずほさんのように7次請けとかやってるとこはどうしようもないですが。
50ヶ月前
×
>Gami さん
お久しぶりです!いつも見ていただき、ありがとうございます!

そうなんですよねぇ。お金になるからと社員が意図的に起すと言うのが一番多いと感じています。
特に、そういったパターンは表面上はいい顔を向けてくるので、判明した時には手遅れになっている事が多いと思うんですよね。個人情報は権限のある人しか見れなかったり、内容をマスクさせたり、と言った予防策を行うことが大切だろうなーと感じています。
50ヶ月前
×
たいていの会社や役所でも、いまだに業務や公務用と私用のPCを共用してたり、そういうものを私用にカスタマイズどころか、内部のゲートウェイすらまたがずに単独ネット接続なんて許してる状況ですからねえ……。いかにセキュリティに対する感覚が浸透してないかというしるしだとおもいますよ。しかも重要役職の業務ですら、普通にインターネット経由でやりとりしているし……せめて政府の主要業務については専用回線ぐらいひいたらどうなのよ……といいたいです。マイナンバー関連も専用回線経由の特定端末を特定の人員だけが触れられるようにしておくとかね。
50ヶ月前
×
笑っちゃうぜwwwwww
50ヶ月前
×
>kei さん
コメントいただき、ありがとうございます!

ほんとそれなんですよねぇ。非要件定義なのは分かるけれども、それにしたって個人情報を取り扱うと言うのはどういったことなのか?と言う事が分かっていない人がまだまだ多いなぁと感じます。
近頃のセキュリティ漏洩事件とかを見ていても、大半がそういったことが起因になっていることが多いと思うんですよね。
もっと、分かってくれる人が増えてくれるといいなぁ(遠い目)と思う日々です。
50ヶ月前
×
>オタマガニキ
ほんまそれ。笑いを通り越して、笑うことすらできなくなるレベル。
50ヶ月前
×
>大半は疎い人達

ほんとこの一点に尽きる。個人情報を厳重に管理しなければならない役所の人間ですらこのざまです。
情報セキュリティを高めろと声をあげている役所の上の人もきっと「大半」に含まれてます。
疎い人が厳重なセキュリティを容易に取り扱うことができる優秀なシステムを作ることができれば良いのですが・・・無理でしょうね、やや矛盾してますし。

転職してPマークを持ってる会社で働いてますが、記事内の役所みたいなセキュリティもどきとは比べ物にならないくらいしっかりしてます(当然ですが)。

役所に限らず、最近よく見かける情報端末に疎い人が使えない得物を無理に使ってる様はひどく滑稽です。
50ヶ月前
×
>もやし さん
いつも閲覧いただき、ありがとうございます!

そうなんですよね。役所もその"大半"に含まれていて、本当に情報セキュリティについてしっかりと考えられていると言うところはIT企業の中でもセキュリティ周りにウルサいところぐらいなんじゃないかなぁと感じています。
近頃発生している事件を見ていても、そういった形だけになっていると言うことが自覚できるようになるための教育をしていく必要があるよねぇ。と思っています。
50ヶ月前
×
マイナンバーカードにサイドチャネル攻撃するような例が現れたら,論理的な安全性はそもそも無意味ですけどね

50ヶ月前
コメントを書く
コメントをするには、
ログインして下さい。