企業研修としてITセキュリティリスクの案件要望を受け
資料内容を精査中なので、備忘録として残していきます。

一般論としてのITセキュリティリスク
世の中には怪しい輩がいて、IT利用に対しては最新の注意が必要
企業の信用問題にも関わるので万全なセキュリティ対策は欠かせない

これは、セキュリティ関連業者が言う常套句です。
この「ITセキュリティリスク」と言う言葉だけがひとり歩きして
不安要素が先に立ち、便利な恩恵を排除している部分も否定出来ません。

「セキュリティと利便性のトレースオフ」について考えてみます。
※全業種に当てはまる内容では無く、一般論としての考察になります

ワードの持つパワーです
「ITセキュリティ」と一言で括ると、何か難しい専門的で怪しハッカー集団に狙われたら
ウイルス攻撃受けたらどうしよう。
先ずは全てネガティブ思考に陥ります。

これは特に大手企業に良くあるケースで
過去に起こった1事象などがトラウマになり、徹底的な対策をうち続け
昨今の便利な機能まで、セキュリティ対策でシャットアウトしてしまいます。

余談、古いシステム担当者は知っていると思いますが
2001年に相次いだウイルス大規模感染(Codered、Nimda)にて
多くの企業のコンピュータがウイルス感染しサイバーテロとしても取り沙汰された。

確かこの辺の騒動から企業がセキュリティに対して本気になり
様々なセキュリティ商材も活発化したと記憶しています。

それを踏まえて、ここからが本題です。
「ITセキュリティ」を一言で括ってしまうと逆に危険ですよ
がテーマになります。

先ずは最悪の事態から逆算してみます。

  1. 自社の顧客情報(個人情報)がハッカーにより盗み出される
  2. 自社サーバーがウイルスに侵されメールやWebを通じて顧客に迷惑をかける
  3. 社内LANがウイルスに侵され社内PCが汚染して業務麻痺に
  4. 自社の大切な機密情報や金融ログイン情報が漏洩する

これを対策側から検証します。

  1. これは現状ではプロの手にかかると対策のしようがないので一旦保留
  2. 出来るだけ管理が甘い管理者での管理下に置かず、クラウドを活用する
  3. ウイルスに関しては最新ウイルス対策ソフトを活用
  4. そもそもの大切な機密は出来るだけネットワーク上には置かない
    又は高セキュリティ対策のクラウドに保管

このように場合分けして対応していくと
それ以外の行為については過剰になる場合が多く見受けられます

もう少し掘り下げてみます。
本当に怖いのはハッカー集団やウイルスでしょうか?
もちろん、これらの対策は専門家に委ねるしかありませんが
実は一番怖いのは、あなた(私も含め)ユーザーになります。

意外かもしれませんが…
先の例を、個人の行動に置き換えてみて下さい。
①社内の顧客情報を抜き出しているのは身近な輩です
②③ウイルスを起こす起点は個人が怪しいサイトや怪しいメール等で受け取った情報からです
④個人の判断や管理の問題です

そのように考えるとどうですか?
外部のリスク対応も必要ですが、内部の人の管理やモラルに頼るしかありません。
ではどうするか?長くなるので次回に