はじめに
コジマです。
これから新卒でエンジニアになる方もいるかと思います。
大体の会社ではセキュリティ研修なるものが一定期間ごとにあります。
そこで、セキュリティインシデントという言葉を必ず聞くと思います。
そして、「インシデント起こしたらやばいよ!」って話から
最後「インシデント起さないようにしようね~」って終わります。
セキュリティ研修では主なセキュリティインシデントの例が挙げられます。
例えばこんなの。
不正アクセスで機密情報を盗まれた。
なんて聞いたらどう見てもやばいのは分かりますね。
家で仕事をするためにUSBを持ち出した。
結果リカバリーが効いたり、特に個人情報が洩れていないように見えるものもあります。
こう思う人が少なからずいるでしょう。
「自分で使うだけだからいいじゃん。」
と。
いいじゃん。なわけないじゃん。
というわけで今回は
- セキュリティインシデントとはなにかということを再確認する
- 実際インシデント起こすとどんな目に合うのかを知る
- 改めて情報を守るとはどういうことなのか
というお話をしていこうと思います。
セキュリティインシデントについて再確認
セキュリティインシデントは「守るべき情報を漏らすこと」と思う人いると思うんですが、
これは誤りです。もしかしたら言葉の意味的には正しくても、意識的には誤りです。
正しくは「守るべき情報が漏れたり、壊れたりするリスクを発生させること」
やっとタイトルとも繋がってきますが、セキュリティの基本の考え方は性悪説です。
スマホを失くすことのリスク、USBを持ち出すことのリスク等を
性悪説で考えなくてはいけません。
落とした財布を見つけたら皆が皆交番に届けてくれる優しい人じゃありません。
財布を落としたらお金や免許証が盗まれるかも
スマホを落としたらパスワードを突破されて電話帳の情報が盗まれるかも
という意識が必要になります。
守るべき情報は守らねばなりません。
セキュリティインシデントを起こしたときの顛末
自分が思ってるより会社はその事態を重く見ます。
大体の場合始末書書かされます。
経緯も全部書きます。
「昨日飲んでたら社員証を失くした」
なんてもんじゃないです。
ちょっくら例を出してみますね。
(概要)
〇月×日 H時M分 社員証の紛失(経緯)
〇月×日 H時M分 退勤、この時社員証
〇月×日 H時M分 渋谷の居酒屋XXXにて友人5人と飲酒
〇月×日 H時M分 友人と解散し、帰りの電車に乗る
〇月×日 H時M分 帰宅、社員証の紛失に気づく
〇月×日 H時M分 上長に連絡
〇月×日 H時M分 居酒屋XXXに確認、〇月××日 H時に取りに行く約束をする
〇月×日 H時M分 上長に社員証が見つかったことを報告
〇月××日 H時 社員証を受け取りに行く
〇月××日 H時 上長に社員証を受け取ったことを報告
(対策)
今後は外での飲酒を控えます。また、勤務時間外では社員証はファスナー付きのポケットにしまい、
紛失を防止致します。
==============================================
まあ、例ですよ。もっと細かくなるかもしれません。
書きたくないですよね?めんどくさいですよね?
「次やったらクビね」なんて言われるかもしれません。
上長はこの始末書の処理に追われます。
お客様の個人情報の紛失もしてしまうとお客様に謝罪行脚をします。
精神、時間を消費するだけでなく、
会社の利益や信頼を大きく損ないます。
情報を守るってどういうこと?
情報を守るためには以下の3つが原則としてあります。
- 漏らさない
- 壊さない
- 使いたいときに使えるようにする
です。
これらをそれぞれ
- 機密性
- 完全性
- 可用性
という難しい言葉で教えられたりもします。
この言葉は確か基本情報とかでも出るはずなので覚えておきましょう。
この「漏らさない、壊さない、使いたいときに使えるようにする」という原則が
頭に入っていれば、やっていいこといけないことの境目が見えてくるのではないでしょうか。
まとめ
- セキュリティは性悪説で考える
- インシデントはリスクが発生した時点でアウト
- 情報は漏らさない、壊さない、使いたいときに使えるようにする
簡単にだけどお話しさせて頂きました。
セキュリティと聞くと技術的な方に振りがちだけど、
実際は心構えな部分が大きいですよ。
もし新卒でIT企業に入る方がいたら、今まで当たり前だと思ってたものも当たり前ではなくなります。
時には肩身が狭く感じることもあると思いますが、少しずつ慣れていきましょ。
この記事を面白いまたは役に立ったと思ってくれた方は是非私のTwitter(@kojimanotech)を
フォローしてくれたらうれしいです!
以上、コジマでした。
