世の中では、情報セキュリティ=ITセキュリティと、しばしば誤解されますが、情報セキュリティはより広い定義です。企業においては、企業内の情報を漏えい等の脅威から守ることです。何も脅威は、クラッキングといった悪意のあるIT上のアタックだけでなく、無くしたとか、余計なことを話した等も、情報セキュリティの対象になります。
前々回、セキュリティ事故の一覧サイトをご紹介しました。ここを見ていくと、セキュリティ事故の多くは、人的なミスです。
IT以前の問題
ぱっとみ多いのが紛失。
印鑑届ってなくなっても問題なかったんでしたっけ?
労災保険の書類って結構重要な情報が入っているのでは?
カード会社の社員が簡単にカード番号持ち出せることに驚き。しかもそのうえなくしてくるという。
これらは、「どっかでなくしました」というやつです。
「大事な書類は、きちんと管理しましょう」仕事のイロハの「イ」ができていない状況で、しゃれになりません。
ITリテラシーの問題
続いて誤送信・誤設定
病院に行くと個人情報がさらされます。いったいどこまで何がもれたのか。。。
こちらはマラソンに参加すると、メールアドレスがさらされます。氏名はないから大丈夫って、そんなことはないと思うのですが。
これらは、「メールを送るときは宛先に気を付けましょう」というITリテラシーが不十分。もしくは、「人はミスするもなので、個人情報など重要な情報を扱う時はかならず複数人で確認しましょう。」という仕事のやり方がわかっていない状況です。
IT上のセキュリティーの問題
で、ようやくIT上の不備にたどりつきます。
こちらSQLインジェクションという古典的な手法でやられているのですが、正直、ITセキュリティの診断とか、監査やらなかったのかなぁという印象です。
また、通販サイトそのものがセキュリティコードを保持しているのもちょっと疑問ではあります。それとも、保持はしていなかったが、パケットを横で覗き見されてたのかは不明です。
しかし、セキュリティーコード付きで2万件も漏れているのは大事故だと思うのですが。
(カード変更ならワンピースカードをどうぞ)
個人情報流出の90%はヒューマンエラー
情報セキュリティの事故は、個人情報流出だけでなく、改ざんや、なりすまなども含め幅広いものをさしますが、こと個人情報流出だけに限るとその多くは人的なミスです。
こちらによると、2012年度では、「管理ミス」、「誤操作」、「紛失・置き忘れ」で90%を占めるそうです。
これらの防止策はなかなか難しく、確かにシンクライアントや、メール確認用のツール等のIT投資である程度は防げます。しかしながら、やはりミスはつきもので、従業員の意識を高めるのがまずコストもかからず、効果の出ることです。
情報セキュリティということで、すぐにIT投資をする前に、まずは社員に注意を促し、定期的にチェックできる仕組みを入れることが先かと。
(大した資格ではありませんが、勉強しておくとセキュリティの大枠がわかるようになります。)
情報処理教科書 情報セキュリティスペシャリスト 2015年版
- 作者: 上原孝之
- 出版社/メーカー: 翔泳社
- 発売日: 2014/09/09
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る