QCプラネッツ

疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)

執筆者:

QCプラネッツ

カテゴリ:

本記事のテーマ

疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)

インシデント発生は「恐怖・不安」ですが、
本当ですか?

煩雑な運用である、情報セキュリティだけに、
冷静であることが最も大事です。

  • ①情報セキュリティインシデント事例
  • ②ありがちな恐怖
  • ③その恐怖は本当なの?
  • ④恐怖・不安を仰ぐ理由
  • ⑤情報セキュリティインシデントの真因を隠す傾向が強い
  • ⑥サイバー攻撃する方も実は大変苦労している
  • ⑦情報セキュリティインシデント対策でやるべきこと

①情報セキュリティインシデント事例

いくつか事例を挙げます。

  1. 大病院がサイバー攻撃を受け、医療機能が数カ月麻痺。
  2. 大企業がサイバー攻撃を受け、受発注が麻痺。
  3. サイバー攻撃が年々増加。国内では1日数百万回(前年度1.5倍)を記録

どうでしょうか?

ヤバいよ! ヤバいよ! ヤバいよ!
とスイカのヘルメットをかぶったバイクのおじさんが来そうです(笑)。

②ありがちな恐怖

「情報セキュリティインシデント」と聞くと、どうでしょうか?

  1. 情報セキュリティを徹底しているが、いつ外部攻撃されるかわからない恐怖。
  2. 情報セキュリティ防御力を超える外部攻撃があるかもしれない恐怖。
  3. インシデントが発生するととんでもない大変な対応に迫られる恐怖。

が伝わってきます!

ヤバいよ! ヤバいよ! ヤバいよ!
とスイカのヘルメットをかぶったバイクのおじさんが来そうです(笑)。

③その恐怖は本当なの?

恐怖にかられると、天邪鬼なQCプラネッツは
「ホンマにそうなの?」
「しっかり対策を取っていても攻撃でやれらるの?」
「ぶっちゃけインシデント発生した真相はどうなの?」
と疑ってしまいます。

公になっている情報を鵜呑みせず、一旦冷静になりませんか?

④恐怖・不安を仰ぐ理由

このテーマですが、あえて、考えましょう!

情報セキュリティインシデントでは
恐怖・不安を仰ぐのか?

この意地悪な問いに対して、
理由がなければ、
情報セキュリティインシデントは本当に恐怖だと
思います。

天邪鬼なQCプラネッツはこの問をこう考えます。

なぜ恐怖・不安をあおるのか?

いくつか考えてみました。

  1. 気を付けてほしいから(これはわかる!)
  2. 不安ビジネスに乗せたい
    (「これくらい大丈夫!」と言う情報セキュリティ専門家がいない)
  3. 本当は、ヘボい理由で攻撃くらっただけなのに、
    大変さを演出して情報セキュリティの高さを誇張したい

こういう情報ばかりだと、不安になるし、
専門家にすがりたくなります。

でも、それは相手の思う壺かもしれません。

本当に知りたいこと

本当に知りたいのは、

その組織の情報セキュリティの高さ(防御力)
に対して
どの攻撃力でダメージを受けたのか

です。

我々がいつも想像するのは、下図のように、
(1)普段からあるべき防御力があるが、
(2)それを上回る攻撃を受けた。

だから、情報セキュリティインシデントは怖い!
であれば、仕方がないし、納得できます。

しかし、実体はどうでしょうか?

我々がいつも想像するのは、下図のように、
(3)普段からあるべき防御力があるが、
適正な運用がなく、本来の防御力が機能していない。
または、実は防御力そのものが低かった。

だから
他社なら回避できる程度の攻撃でもインシデントになってしまった。

可能性もあるでしょう。

しかし、
実体(本来の実力)を知らない(公表されない)から
名のある企業なら
「情報セキュリティ体制は万全なのにどうして?」
と過大評価することも考えられる。

実情を冷静かつ客観的に見る必要があります。
そのために、「報告書」が公表されています。

しかし、

「報告書」にインシデントの真因は書かれていない場合がほとんど

これは、なぜでしょうか?

⑤情報セキュリティインシデントの真因を隠す傾向が強い

会計、品質、環境、情報セキュリティなどの管理すべきものは、
不正や法令違反がある場合、組織・企業は真因究明と再発防止を
コミットするために報告書を公表しています。

品質不正は必ず真因を報告書に載せる

品質不正事例は、QCプラネッツのブログ記事でまとめています。

【まとめ】品質不正がよくわかる

どの報告書も、真因は明快に書かれています。
だから、さらに深部へ分析ができる。

どの報告書も、真因は明快に書かれています。

情報セキュリティインシデント報告書は真因を明示しない

一方、情報セキュリティインシデントは
報告書に真因を明示しない、
公表しない場合が
多いです。

それには理由があるからです。

理由

情報セキュリティインシデントは犯罪行為。
犯罪の手口を明示すると再犯されるリスクがある。

確かに、納得がいく理由です。

しかし、1つ注意が必要で、

対象となった組織・企業の情報セキュリティの防御力が低い弱点をさらさなくて済む。

本来、組織が改善すべきポイントが露わにならないため、
改善したと後日公表しても、本当かどうかは疑わしいかもしれません。

品質でもそうですが、
組織改革にはエネルギーと時間がすごくかかります。
その間に、再攻撃受けるリスクが残っています。

情報セキュリティインシデント真因をあるある

とはいえ、
数件ですが、
真因を明示している事例もあります。
(本当にありがたいです!)

その事例を紹介します。

真因

  1. 名のある大企業だが、情報セキュリティ専門者が0.5人(他業務と兼任)。
  2. 大病院だが、管理者パスワードが初期設定のままだった。
  3. 業務中に、NGなサイトをクリック・ダウンロードしてしまった。
  4. インシデント対策訓練

確かに、
・報告書では体制強化、モラル・意識向上など
難しく、それらしい言葉が並ぶが、
上の理由を見れば、
「そりゃ、ダメでしょう!」
と言いたくなるものが意外と多いです。

少ない情報の中、
名のある企業・組織だからと
過大評価せず、
何が真因なのかをよく考え、調べる必要があります。

⑥サイバー攻撃する方も実は大変苦労している

サイバー攻撃は確かに怖いけど。。。

1日、数百万件のサイバー攻撃を我々は受けています。
確かに、怖い!
でも、ここでも冷静に考えてみましょう。

攻撃力が上がれば、相手の防御力も上がる

20年前は、確かに世界的なサイバー事件がニュースになり、
知り合いがその対象になったことを思い出します。

しかし、

攻撃力や攻撃種類が上がると、
すぐに対策が講じられ、
それほど深刻ではないと
いう冷静な目線も必要です。

攻撃は犯罪行為であり、逮捕されるリスクがあります。
一方、防御は良い行為であり、評価されるメリットがあります。

あなたが優秀なハッカーなら
攻撃?
防御?
どちらで飯を食いますか?

明らかに、後者ですよね。

多数の攻撃のイメージ

など、考えると、

攻撃力や攻撃種類が上がると、
すぐに対策が講じられ、
それほど深刻ではないと
いう冷静な目線も必要です。

ハッキングのイメージ

ハッキング攻撃のイメージは
下図のように、
組織のセキュリティの壁を叩きまくって
力で壁を壊し内部に侵入する
とよく思われているはずです。

しかし、実際は、防御力も高く、外部から力で侵入するのは難しいです。

実際は、下図のように、
道にとりあえず、ハッキングする種をばらまき
そこに引っかかる獲物を捕まえる
方が現実的ではないでしょうか。

汚い例ですが、
道に放置された動物の糞を避けれるのに、
うっかり踏んでしまった
のが情報セキュリティインシデント
というイメージがわかりやすいでしょう。

⑦情報セキュリティインシデント対策でやるべきこと

情報セキュリティインシデントはリスクであることは間違いありません。
しかし、見えない恐怖に疑心暗鬼にならずに、冷静に考えて対応しましょう!

では、どのような対策をすればよいでしょうか?

情報セキュリティインシデント対策

大事なのは、

●たくさん対策をとるな!(逆効果)
●レベルの高いことをやるな!(組織全員では無理)
●外部攻撃より、身近なミス・不正防止を徹底(その方が確実)

でしょう。

難しく、たくさん対策して万全と言えば、
かっこいいと思いがちですが、それは無理で、逆効果です。

●個人レベルでは簡単な対策でいい。
●簡単なアクションを組織全体で回すことに一番注力すべきです。

当たり前のことを、皆でやる!
がISMSであり、
ISO27001です。

まとめ

以上、「疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)」を解説しました。

  • ①情報セキュリティインシデント事例
  • ②ありがちな恐怖
  • ③その恐怖は本当なの?
  • ④恐怖・不安を仰ぐ理由
  • ⑤情報セキュリティインシデントの真因を隠す傾向が強い
  • ⑥サイバー攻撃する方も実は大変苦労している
  • ⑦情報セキュリティインシデント対策でやるべきこと

投稿をさらに読み込む

error: Content is protected !!