BPIA研究会『目からウロコ〜!』 レポート 研究会 2013年度 研究会/講演会

【レポート】第68回 目からウロコの「新ビジネスモデル」研究会(2013/8/27)
『視点を変えた情報セキュリティ人的対策のすすめ~一方通行を逆走すると弱点が見える~』
講師:新倉 茂彦 氏
有限会社 ティーシーニック 取締役

Posted on Author Admin 【レポート】第68回 目からウロコの「新ビジネスモデル」研究会(2013/8/27)
『視点を変えた情報セキュリティ人的対策のすすめ~一方通行を逆走すると弱点が見える~』
講師:新倉 茂彦 氏
有限会社 ティーシーニック 取締役 はコメントを受け付けていません

テーマ:視点を変えた情報セキュリティ人的対策のすすめ
    ~ 一方通行を逆走すると弱点が見える ~
講 師:新倉茂彦 有限会社ティーシーニック 取締役
2013年8月27日(火)16:00-18:30 / アーク情報システム(市ヶ谷)

68kai概要:昨今、政府や企業を狙ったサイバー攻撃、標的型攻撃メール、情報漏洩事件において「情報セキュリティ対策」が、より重要課題となり、経営戦略としても注目されている。一方セキュリティの範囲は広く、その1つ情報セキュリティの中には、ITセキュリティがあり、その中にも、技術的、人的、物理的な対策まで、多くが含まれる。しかし、現実のセキュリティ対策は、現場の実務に沿っていないガチガチのセキュリティ対策が行われ、理想的に作ったと思われる対策は、より重大な事故を引き起こす要因にすらなっている。管理(防御)視点だけで作られたセキュリティの弱点は、利用者(攻撃)側から見れば「防御されてない場所」を探し狙うだけの難しいものではない。常に攻撃側が優位な立場にいる。技術対策と人的対策は、鳥の両翼、車の車輪と同じく、両方のバランスが重要だが、人的セキュリティ対策は、まだまだ手つかずの状態だ。最終的に実現したい「セキュリティ事故の未然」対策を、人的セキュリティ対策の観点からアプローチして、ヒントと視点を伝授いただいた。
>>有限会社ティーシーニック 
>>ITmediaオルタナティブ・ブログ:新倉茂彦の情報セキュリティAtoZ

018

◎ナビゲータコメント 片貝システム研究所 片貝孝夫

新倉さんは、セキュリティーを、仕組みを作る側ではなく、利用する側や破る側の視点から研究されている方だ。その姿勢は、ご本人が高野山大学大学院で密教学を学ぼうとするほど真剣だ。今回の講演のサブテーマである、~ 一方通行を逆走すると弱点が見える ~という表現は、人間を見ようとしている新倉さんの姿勢をよく表している。

「女子大生が、夜間キャバクラでバイトをしている」という表現と、「キゃバ嬢が、昼間大学で勉強している」とう表現は、またく同じことを言っている。しかし前者は眉をひそめたくなるが、後者は偉いなあと思うかも知れない。これは偏見。誰よりも早く出勤し、誰よりも遅く帰る社員を、上司は目を細めて見ているが、しかしこれは、情報を盗み出す準備をしているだけかも知れない。人とはこのようなものだという。なるほど、人が人を判断するのは不可能ということか。

安全対策とセキュリティーについてもこんな表現をされていた。安全対策とは、機内持ち込みの刃物をX線検査で発見すること。セキュリティ対策とは、X線検査に引っかからない材質の刃物を持ち込む者がいても排除するにはどうしたらいいかを考えること。

備えと訓練について。人はなぜか自分だけは大丈夫と漠然と考える。大事なことは知識と訓練だという。

企業のセキュリティ担当は、どうやって社員に規則を守らせるかに汲々とする。社員は仕事がし難くなるが規則なので守る。これだけでは、企業はますます沈滞してしまう。規則を守った社員にはセキュリティをゆるくしてあげるなどの報酬を与えたらどうかと、新倉さんは言う。信頼できる社員との判断ができたら、自宅でも仕事ができるようなセキュリティにする、などだ。

セキュリティ対策には際限がないという。だから優先順位をつける必要がある。
この問題が起きたらどんな損害を会社にもたらすかといった視点で、想定される事故を洗い出し、順位付けして、予算に応じてどこまで対策するかと決めるといいという。そしてやるなら徹底してやる、中途半端にやるのは危険だという。

セキュリティ対策は、仕組みに頼っていただけでは、表玄関は二重に鍵をかけたが、裏口は開いたままと同じ。社員が心をひとつにして会社を守ろうとしない限り事故は起こる。新倉さんの話を聞いていて甲陽軍鑑の「人は石垣、人は城」を思い出した。講演を聞いて、セキュリティに対する考え方が180度変わったと感想を述べている人もいた。

018

◎参加者アンケート

・セキュリティの人的側面の話が聞けて良かったです。セキュリティが難しいのは人のマネジメントが難しいからと思っています。その点で講師のお話も合っていました。

・色々な方向からの話が多過ぎた感があり、消化しきれませんでした。

・セキュリティの人的対策のお話であったが、マネジメント全体の話にも通じる話であった。非常によく理解できた、ありがとうございました。人間の心を理解するために密教を学んでいる姿勢が大変すばらしいと思いました。

・視点変えてみる事が大事なことだと改めて実感しました。ついうっかりをいかに無くすかは分かり易い説明で、社に戻り教育実践したいと考えております。

・セキュリティに関する考え方が変わった。

・自分の心だけというよりも社会の心も大きく変わりバッシングしているというところにもあると思います。「そこまで言わなくても」といっても、セキュリティが必要とか社会が言い過ぎているかもしれません。

・いづこも同じ悩みを持っているということですね。

・守らせる人(情シス)と守らされる人(ユーザ)だけならば良いのですが、守らせるような指示をする人(社長)、守っているのか監視する人(近隣住民)とか出てくると、なかなか難しいですね。

・視点の変わった話を聞かせていただきました。

・セキュリティとしては、あまりない内容の話でした。マネジメントとして参考になります。

・人的セキュリティ対策の話は大変参考になりました。

・例が多く具体的で分かりやすい。視点が新鮮であった。

・心のマネジメントをしていると言われている「京セラ」の事例を聞きたい。

※アーク情報システム会議室にて
68kai2