【これは約 2 分の記事です】
情報セキュリティ対策として、アクセス制限とか漏洩防止対策のお話をさせていただくと、お客様は
- 悪い考えを持った人の対策になりますか
- うちで働く人でそんな悪い考えを持った人はいないからそんなことしなくていい
みたいな感じのことをおっしゃられます。情報セキュリティを「悪意を持った人対策」みたいに考えておられる方が多いのですが、セキュリティ対策で先に考えるのは
- 善意の人が誤って間違ったことをしない
- 善意の人が加害者にならない
対策です。そのためにネットワーク区画のアクセス制限をして、みだりに他の情報にアクセスしたり無制限のインターネット通信をしたりしないとか、データベースの設定で権限のグループ分けをしたりパスワードを掛けたページを作ったりします。
悪意のある人
への対策は正直難しく、こちらが対策を想定するのはいたちごっこになって切りがありません。
ですが、善意の人が間違ったことをしないようにするのは、コストと利便性にさえ注意すれば、対策は難しくありません。
数少ない悪意のある人対策にコストを掛けるより、大多数を占める善意の人対策をするほうが、圧倒的にコストパフォーマンスが良いのです。
ということで、私がセキュリティ対策を提案しているときは、不正をしようとしている人対策よりも、普通の人が誤って(あるいは意図せずして)不正をしてしまう環境を正す対策を提案していると思っていただけると幸いです。
防災SNSアドバイザー。情報処理安全確保支援士第5338号。ネットワークスペシャリスト。ITコーディネータ
東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用やBCP策定、従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を福井県坂井市丸岡町に設立し現在に至る。研修では基本的に防災のお話以外では着物でお話させていただいております。
情報セキュリティ・IT関連資格取得・企業防災(BCP)の組織内教育・コンサルティング・支援・取材のお問い合わせなどございましたら、こちらからご連絡ください。
メール・お電話・FAX・Facebook
https://www.maruoka-digital.jp/contact/form/