Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ミスがある前提でのデータ漏えい対策

人為的エラーが原因のデータ漏えいは、全てのデータ侵害事件の17%を占めるとのデータがありますが、従業員を叱る(北風)方式を採るとストレスを生み出し、生産性を低下させる可能性がある様です。

www.darkreading.com

従業員の大多数は、サイバーセキュリティの問題を引き起こすことを決して意図しない、善意の勤勉な人々です。実際、2020 年には、すべてのデータ侵害の 17% が 人為的エラーによって引き起こされました。これは、2019 年の 2 倍の量です。

おそらく、新しい従業員は、会社のデータを自分の iCloud アカウントに自動的にアップロードするデフォルト設定があることを知らずに、個人の iCloud ドライブを仕事用デバイスに追加して個人情報をより簡単に利用できるようにします。または、パンデミックの最中にリモートで作業するチーム メンバーは、自分のコンピューターが読み込まれていないときに、個人のラップトップからファイルにアクセスする可能性があります。いずれにせよ、従業員は問題を起こすつもりはありませんでしたセキュリティ チームが従業員に危害を加えても、将来のデータ損失を防ぐことはできないと結論付けました。

(DarkReading記事より引用)※機械翻訳

 

キタきつねの所感

「データ漏えいで従業員を非難しない」という考え方は、人為的ミスの発生を減らそうと、厳しい対策をかけ過ぎると、あまり宜しくない結果に陥るという事に置き換える事ができるかも知れません。

 

よくインシデントが発生した際に出てくる対策の1つに、人的監視を強めるというものがあります。例えばメール誤送信が発生したら、上長がメールを出しても良いかどうかをチェックするというプロセスを追加する様な対策です。

上長からすると「余計な手間を増やしやがって」と、ミスを犯した従業員を責める気持ちが強くなるかも知れません。

また、上長もそのチェック運用に慣れてきた頃に”惰性で承認”してしまい、次のインシデントに繋がってしまう事も考えられます。

全て人が完璧に「やるべき事」をいつも同じ様に行えるというのは妄想であり、その事を前提に一時的ではなく、恒常的なセキュリティ対策を組み立てるのは、強いリスクを感じます。

 

こうした”罰ゲーム”的な対策を採るのではなく、DarkReadingの記事では、ポジティブ視点でのセキュリティ構築を推奨していました。

ポジティブ インテントのセキュリティ文化の構築は、従業員の勤務初日から始まります。オンボーディング プロセスにセキュリティを組み込みます。たとえ、5 分間の議論だけでも構いません。その時間を使って、あなたのセキュリティ チームがそれらを手に入れようとしておらず、会社の資産を保護するために従業員の助けが必要であることを強調します。また、従業員がセキュリティ チームと最も適切に連携するための基礎を築く必要があります。支援が必要な場合、質問がある場合、または問題や懸念事項を報告する必要がある場合、従業員はどこに相談しますか?

また、従業員を敵対者ではなくセキュリティのヒーローとして位置付ける、効果的なサイバーセキュリティ トレーニングを定期的に提供することも不可欠です。悪意のあるデータの盗難だけに注目するのではなく、データが意図せずに漏洩する一般的な方法についてチームを教育し、意識を高め、将来的にそれが起こらないようにします。

(DarkReading記事より引用)※機械翻訳

 

書かれている内容を読むと、海外で主流な教育の考え方となっている「セキュリティ意識向上(Security Awareness)」を指している気がします。従業員をHuman Firewallする事を目指すには、「北風」ではなく「太陽」の取り組みの方が有効なのは言うまでもありません。

人が持つ「成長する力」やインシデントの兆候を「気づく力」を育てる事で、高いセキュリティ機器に勝るとも劣らない働きをするHuman Firewallを組織内に構築する、この考え方は日本でももっと注目されても良いかと思います。

 

標的型メール訓練は、多くの会社は「引っかかったらNG」な所が多いかと思います。そうした訓練を通じて全体のフィッシング対応能力が向上させる取り組みに異を唱える訳ではないのですが、これを「太陽」政策で考えた場合、どうなるか、DarkReadingの記事は面白い視点で書いていました。

フィッシング トレーニングをセキュリティ上の課題として提案し、テスト メールをクリックして報告しないというスコアを向上させ、フィッシング トレーニングを提供する理由を明確にします。通常、私たちは新入社員にフィッシング テストを実施することを通知しますが、これは詐欺ではなく、不審なメールを認識して報告する方法を学習するためのものです。私たちは、彼らが決して練習する機会のないことについて、彼らが素晴らしいことを期待することはできません

(DarkReading記事より引用)※機械翻訳

 

標的型メール訓練の1つの方法として、「わざと引っかかって」正規の報告先にきちんと報告させる事も有効な気がします。(※わざと最初の窓口が繋がらないという応用パターンもあるかも知れません)

連絡を受ける先(IT部門又は上長)も、正しい対応を指示できるかの訓練にもなるでしょうし、電話をかけた時には既にメールを消している人、LAN線をつないだままにしている人、PCの再起動を何度もしてしまった人など・・・自分たちのインシデント対応マニュアル、あるいは教育内容を見直すきっかけになるかと思います。

 

「フィッシングに引っかからない」訓練だけでなく、ミスがある前提での、こうした訓練も従業員のセキュリティ意識向上に大きく寄与するのではないでしょうか。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 怒る男性の上司のイラスト(激怒)

 

更新履歴

  • 2021年5月29日 AM