リスクコントロールは日常生活の中にもある

情報セキュリティ対策において、最も大事なのは情報を守ることであって、ルールを守ることだけが情報セキュリティ対策ではありません。多くの情報を預かる組織や企業では、情報セキュリティポリシーや個人情報保護方針などの内規を設けていますが、その内規を遵守しているだけで情報が守られる保障はないのが実情です。

日々新たなセキュリティ脅威が生み出される現在、取り扱う情報の重要性と考えられるリスクを把握したうえで、最も適した情報セキュリティ対策を講じていくことが重要ですが、情報は守るだけではなく、リスクをコントロールしながら様々なサービスに十分に活用していくことも求められます。内規を守るのは言われた通りやるだけで簡単だとしても、セキュリティ教育なしにリスクをコントロールする感覚を身に付けることは簡単ではありません。

日常生活の中のリスクコントロール

情報セキュリティ対策のリスクコントロールと聞くと、難しそうでアレルギー反応を起こす人もいるでしょうが、実は我々は日常生活の中で自然とリスクコントロールを身に付けていたり、教えられていたりします。比較的実践している人が多いと思われる日常生活のなかのリスクコントロールの一例を挙げてみました。

情報セキュリティ担当者はリスクコントロールを説明する時の参考に、個人の方はスマホやPCを使うときの自身の行動を見直す参考として読んでみてください。

いきなり玄関ドアを開けて応対しない

家にいて玄関チャイムが鳴らされたとき、相手が誰かも分からないのにいきなり玄関ドアを開けて応対する人は少ないでしょう。家の中に居ても玄関には鍵をかけておく、訪問者はドアスコープで確認してから玄関を開ける、これは家に不審者を侵入させてはいけない、しかし訪問者を一切相手にしないわけにもいかないというリスクコントロールであり、情報セキュリティにおいては、受信したメールとメールに添付されたファイルをいきなり開かず、送信者やメール内容を十分に確認してから開くというリスクコントロールと同様です。

誰かも分からないのに玄関ドアを開けるなんて恐ろしいことをする人はほんどいないのに、誰かも分からないメールの添付ファイルをいきなり開ける恐ろしいことをする人は後を絶ちません。

地震で家具が倒れても下敷きにならない場所で寝る

これまでに起こった震災でタンスなど大きな家具の下敷きになって被害を受けるリスクを回避するために、家具が倒れても下敷きにならない場所で寝るようにする事を多くの人は知っていると思います。地震は防ぐ事が出来ない、いつか必ず地震は起こるが、危険な家具を撤去することも眠らないことも出来ないというリスクコントロールであり、情報セキュリティにおいては、いつか必ずインターネットを通じたサイバー攻撃を受ける、サイバー攻撃を100%防ぐことは出来ないが、インターネットを全く利用しないということも出来ないので、インターネットに接続されたパソコンには重要な情報を保存しない、というリスクコントロールと同様でしょう。

日常生活でも情報取扱い業務でも、「何か起こっても、何もなければ(持っていなければ)致命的な被害を受けない」というある意味ミニマリズムな感覚が危機管理(リスクコントロール)に役立つことも多々あります。

試験会場には複数のちゃんと使える筆記用具を持っていく

これはもう誰もが当たり前に、言われなくてもやっていることでしょう。筆記用具が使えなくなるかもしれない、試験の最中に床に落として拾えないかもしれない、というリスクに対して予備の「ちゃんと使える筆記用具」を用意しておく。しかし用意する数は使う筆記用具の性能により各自が適した数を用意するというリスクコントロールであり、情報セキュリティにおいては、扱う情報をバックアップする必要があるが、扱う情報や機器の性能に応じて、バックアップの頻度やバックアップ先を選定し、「ちゃんと復元出来る事も確認しておく」というリスクコントロールと同様です。

筆記用具の予備はちゃんと使えるのかまで確認する人は多いのに、情報のバックアップはちゃんと復元出来るのかを確認していない場合が多く見受けられます。使えない筆記用具をいくら持っていても意味がないのと同じく、復元できないバックアップファイルにも用はありません。筆記用具もバックアップファイルも、ちゃんと使える事まで確認することがリスクコントロールです。

経験し事例を見聞きして人は必要なリスクコントロールを身に付けていく

このような日常生活におけるリスクコントロールは、子供の頃から親に教え込まれたり、自分で危ない目にあって学んだりしていきます。誰もが生まれながらにリスクコントロールの能力を持ち合わせてはいません。

それは情報セキュリティ対策においても同様であり、内規はあくまでもベストプラクティスであり、扱う情報、扱い方が千差万別である以上、必ずしも一意的に適用出来るものではなく、起こりうるリスクを洗い出し、必要な対策を積み上げていくリスクコントロールの感覚を養っていくためには、私たち情報管理部門が根気良く情報セキュリティ教育を行い、最近の脅威とリスク、その対策例を周知していくしかありません。

人は生き物の本能として、日常生活という自身のリアルな空間にある直観的な恐怖には敏感に反応し学習もして恐怖を遠ざけようとしますが、情報漏えいや情報逸失により自身が被る二次的な恐怖は、本能だけで遠ざけることが出来ないので、情報化社会となった現在は教育機関における子供の頃からの情報セキュリティ教育への取り組みも盛んになっています。
arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。新人の情報セキュリティ担当者に向けた組織の情報セキュリティ対策のヒントや、個人でパソコンやスマホを使う場合の情報セキュリティ対策を、私の実体験を交えながら解説しています。

arisaをフォローする
情報セキュリティマネジメント
arisaをフォローする
情報セキュリティ対策の真実

コメント