叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

パスワードが書かれたメモを発見したら

【問題】
山中君は出張している前川君の机の上にパスワードらしき文字と数字が並んだメモが置いているのを発見しました。このとき、山中君が取るべきもっとも適切な行動はどれでしょうか。
f:id:slowtrain2013:20201103232353p:plain:w300
【選択肢】

  • 1️⃣前川君に連絡をとってメモが置かれていることを伝え対応を確認する。
  • 2️⃣見なかったことにする。
  • 3️⃣パスワードだと問題なのでシュレッダーでメモを裁断する。
  • 4️⃣本当にパスワードであるかを確認するため、ログインしてみる。

ほとんどの企業で、社員の情報セキュリティレベルの向上を目的とした「セキュリティ教育」を定期的に行い、このような感じの問題を解答していると思います。

答えは簡単に解けますね!?

答えは1️⃣です。というより、それ以外の解答を導くのが難しいかもしれません😅

しかし、実際にこのような場面に遭遇した場合、誰もが本当に1️⃣の行動を選択するでしょうか!?

山中君と前川君の仲が分からないので、なんとも言えないのですが、他人の問題に首をつっこむと、得てして人間関係のトラブルの原因になることがあります。1️⃣の山中君の行動は正しいのです。しかし、前川君が山中君からの連絡に感謝して、同じ過ちをおかさないよう、行動できるようになるかは別問題です。

他人の問題を解決するのは、その相手自身です。

もし、山中君がそんなことを考えて「余計なおせっかいは避けたいなー」と、思ったら2️⃣を選択するように思えます。現実場面では2️⃣を選択する人が多いように思います。

しかし、2️⃣の選択は「情報セキュリティ」の視点からは危険なことです。

IPAでは毎年、社会的に影響が大きかったと考えられる情報セキュリティにおける事案から「情報セキュリティ10大脅威」を発信しています。その「情報セキュリティ10大脅威 2020」において、組織的脅威の2位にランクしているのが「内部不正による情報漏えい」です。情報セキュリティインシデントの8割は内部要因という意見もあります。内部要因は表に出ないことも多いので、実際の割合が見えにくいのです。

~内部不正をさせない管理・監視体制を~
組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の、不正行為が発生している。また、組織の情報管理のルールを守らずに情報を持ち出し、さらにはそれを紛失し、情報漏えいにつながることもある。内部不正は、組織の社会的信用の失墜、損害賠償による経済的損失等により、組織に多大な損害を与える。
情報セキュリティ10大脅威 2020:IPA 独立行政法人 情報処理推進機構より引用

もし、組織の何者かが悪意をもって、前川君のパスワードを盗んでログインして、機密情報を持ち出したらそれを追跡するのは、困難です。ログでは前川君が情報にアクセスしていることになっているのですから・・・。

ですので、3️⃣の山中君の行動(メモをシュレッダーで裁断する)はかなり過激なのですが、情報の機密性を守るという点からみれば、「見なかったことにする」よりは、妥当な選択にも思えます。出張から戻ってきたときの、前川君の慌てようが想像されますが・・・。

では、3️⃣の行動をリスクマネジメントの視点で考えます。「リスク」とは、感覚的には「危険」と同義に思われがちですが、実は「危険」ではありません。リスクとは「不確実性」です。

「不確実性」は期待するべき結果から乖離する事象のことで、ちょっと哲学的な表現ですが、この乖離の事象は「好ましくない結果」だけではなく「好ましい結果」を含んでいることです。そのため、リスクマネジメントはリスクをゼロにするだけを目的にしているのではなく、リスクを許容したうえで機会を与えることも対象にしています。

f:id:slowtrain2013:20201103230121p:plain:w600
リスクの定義

前川君の書いたパスワードのメモを放置しているのを見た山中君が、メモをシュレッダーにかけることで、悪意を持った者が機密情報に不正アクセスすることは避けられます。しかし、出張から戻ってきた、前川君はパスワードが分からず、システムへのログインが出来なくなる可能性があります。これは前川君のビジネスの機会を奪うことであり、情報セキュリティでは可用性(情報にアクセスできるようにする特性)を損なうことになります。

ですので、機密性と可用性のバランスを考えると、パスワードのメモを勝手にシュレッダーにかけるのは正しくないのです。

f:id:slowtrain2013:20201103230447p:plain:w500
機密性と可用性のバランス

そして、4️⃣を選択する人は当然ですがいませんね!