【年末年始休業のお知らせ】
12月25日~1月5日まで休業
第5回 簡単シンプルに実践してみよう。

超初級リスク・マネジメント

どんなに頑張っても、1円も得しない。
手間や時間も多く費やしてしまう。
それが情報セキュリティ対策。

あー面倒くさい。
あーやだやだ。
情報セキュリティの話なんて、聞きたくもないし、考えたくもない。
・・・というように感じる人がほとんどですから、ここでは難しい話や深い話は省略します。
できるだけ簡単に、超初歩的な次の5つのことについてを書きます。

1,事故を想像してみよう。
2,絶対に避けたい事故を想像してみよう。
3,リスクを発見し、対策を考えよう。
4,損害を低減させる方法を考えよう。
5,事故対応の流れを考えておこう。

1,事故を想像してみよう。

いきなりですが、情報セキュリティとは関係のない例え話をします。

住宅の火災を想像してみてください。

あなたの家が火事になったら、いろんなものを失っていまいますよね?
過失の内容によっては刑事罰や損害賠償などの責任を問われることにもなりますので、とても怖いことですよね?
だから火事を起こさないように火の元に気をつけたり、万が一に起こった場合に備えて保険に入ったりしますよね。
もう一つ例え話。

自動車の交通事故を想像してみてください。

あなたが車に轢かれたら、痛いし苦しいし大変ですよね?
または、逆にあなたが交通事故の加害者になってしまったら、刑事罰や損害賠償などで大変なことになりますよね?
とても怖いですよね?
だから事故に遭わない・起こさないように交通状況に気をつけたり、自動車の購入時に安全性能を気にしたりしますよね。

では、情報セキュリティはどうでしょうか?

残念ながらほとんどの人は、事故のことなど全く考えていません。
安全だと言い張れる根拠が無いのに、「事故なんて滅多に起こらないでしょ?」と甘く見ている人が圧倒的に多いです。

それは大きな間違いです。
日本でのサイバー犯罪の被害者数は、年間1千万人以上。
(詳しくは → 第2回「サイバー犯罪は交通事故よりも身近な脅威」

サイバー犯罪・サイバー攻撃は、火事や交通事故よりももっと身近な問題であることを認識してください。
そして火事や交通事故と同じように、万が一の事を「想像する」というのが、リスクマネジメントのはじめの一歩です。

2,「絶対に避けたい事故」を想像してみよう。

あれも避けたい、これも避けたいと考えていたのではキリがないので、まずはサッと思いつく「絶対に避けたい事故」に絞って想像してみてください。 漠然と「想像して」と言っても難しいかもしれませんので、次によくある例を幾つか紹介します。

【個人の場合】

◆メールやLINEの内容は、他人に見られたくないなぁ。
◆ホームページの閲覧履歴や検索履歴は、誰にも見られたくないなぁ。
◆思い出の写真や動画データなど、大切なデータの破損や消失は避けたいなぁ。
などなど。

【法人・企業の場合】

◆顧客情報や機密情報が漏洩したら、本気でヤバイ。
◆内部不正(従業員による情報持出しや横領など)は絶対に許さない。
◆業務システムやホームページなどの、停止、消失、改竄などの障害は避けたい。
などなど。
上記の例のように、「○○が起こるとダメージが大きいから、絶対に避けたいなあ」と想像してみましょう。
 ・
 ・
 ・
どうですか?
「避けたい事故」が幾つか思い浮かんだかと思います。
このページでは、上記の例の一番最初にあげた「メールの漏洩」について、練習的にリスクマネジメントをして行きます。

セキュリティの問題箇所や脆弱箇所は、あまりにも膨大な量があるために、初心者の方が全てを完璧に管理しようとするのは無理があります。
ですのではまずは、すぐに思いつく問題だけに絞って、リスクマネジメントを簡単シンプルに実践してみるのが良いのです。

3,リスクを発見して対策を考えよう。

本格的なリスクマネジメントを実施しようとすると、複雑な話が必要になってしまいますので、ここでは大きく端折ってシンプルに考えていきます。
例題として「メールの漏洩」に絞って想像していきましょう。
まずはどのようにしてメールが漏洩するかを想像し、その原因に合う対処方法を考えましょう。
メールが漏洩する原因の一つは、メールを受信した端末(スマホやPC等)からの漏洩が考えられます。
例えばウィルス等に感染して情報が流出したり、または、誰かが物理的にスマホ等を勝手に操作してメールを盗み見たりなどが考えられます。
ですのでこれを防ぐ対策としては、ウィルス等に感染しないようにする対策と、他の誰にもスマホ等を操作されないように管理する対策を取れば良いことになります。
もう一つの漏洩原因として、メールサーバに対する攻撃が考えられます。
電子メールは、送信者から受信者に直接送られるのではなく、下図のようにメールサーバを経由してから受信者に届けられる仕組みになっています。
(手紙やハガキなどが郵便局を経由して相手に届けられるのと同じようにイメージして下さい。)

攻撃者は、ターゲットの端末に直接攻撃を仕掛けないでも、ターゲットのメールサーバ(または受信者のメールサーバ)を攻撃すれば、メールを盗み見ることができてしまいます。
これを防ぐためには、メールサーバのセキュリティ強化が必要となります。
しかしそれは、ご自身では十分に行えない事がほとんどです。

なぜならば、メールサーバをご自身で構築して管理している人は稀であり、一般的にはメールサービスの事業者(プロバイダやレンタルサーバ等)に管理を委託するという利用形態がほとんどだからです。
その場合にできるセキュリティ対策は限られており、メールのパスワードを強化することや、メールサーバの管理画面のログインパスワードを強化するなど、パスワードを強化するぐらいしか方法がありません。

パスワード強化のセキュリティ対策はとても有効な方法ではありますが・・・
それだけで不安な場合には、よりセキュアなメールサービスに乗り換えることも検討すると良いです。
また、近年ではクラウドにメールが自動バックアップされる仕組みが一般的となっています。
この場合もメールサーバに対する攻撃と同様で、端末に直接攻撃を仕掛けなくても、クラウドに対して攻撃をすればメールを盗み見ることができてしまいます。

対処としては、次のようなことが考えられます。
◆クラウドへの自動バックアップをOFFにする。
◆クラウドをセキュアなものに乗り換える。
◆クラウドの使用を中止する。
最後にもう一つの漏洩原因として、メール送受信時の通信経路上で、通信を傍受されてしまうという攻撃が考えられます。
これを防ぐためには、「通信の暗号化」が有効な対処方法となります。
メール送受信の通信を暗号化すれば、通信経路上で攻撃者に傍受されたとしても、攻撃者がデータの内容を読むことができなくなります。
以上のように、まずは想像を巡らせて潜在しているリスクに気付く、そして「じゃあどうすればそのリスクを防げるか(あるいは低減できるか)」を考えましょう。

4,損害を低減させる方法を考えよう。

どんなにセキュリティ対策を施しても、事故を100%完璧に防ぐことはできません。
(詳しくは → 第3回「防げないサイバー攻撃の脅威」
ですので、万が一に事故が起こってしまっても、できるだけ損害・損失を少なく済むように工夫することも重要です。

◆重要な機密情報は、メールではやり取りをせず、電話や郵便で行うようにする。
 → メールが漏洩しても致命的なダメージを受けずに済む。

◆メールの添付ファイル(Zip、Word、PDF等)をパスワードでロックする。
 → 重要ファイルの盗み見のリスクを減らせる。

◆1通のメールに全ての情報を盛り込むのではなく、複数のメールに分割して送る。
 (複数のメールアドレスに分割して送信したり、ファイル分割アプリを使用して添付ファイルを分割したり、など。)
 → 重要ファイルの盗み見のリスクを減らせる。

5,事故対応の流れを考えておこう。

事故が起こった後の話をします。
このページの最初の方で例にあげた火事や交通事故の場合ですと、事故発生直後には消防や警察などの行政機関が適切に対応してくれます。

しかしコンピュータやインターネットの事故の場合は、そうはいきません。
ご自身でどうにかしなければなりませんし、ご自身でできないことは業者に依頼をする必要があります。
しかも、事故を放置していると被害・損害がどんどん拡大してしまいますので、できる限り迅速に対処したいところです。

ですので、事故が起こってから「どうしようどうしよう」と慌てて考えるのでは遅いのです。
あらかじめ、「こういう事故が起こったら、こうしよう。」とか、「ここに相談しよう。」という方針を考えておくと良いです。

例えば、メール漏洩の事故が起こった場合には、まずはメール機能を停止させて被害の拡大を阻止した上で、あの業者に復旧を依頼しよう、というように対応の流れを予め計画しておけば、事故後に速やかに対処することができるようになり、被害を最小限に抑えることができます。

また、事故後の早い段階であればあるほど、事故を起こした犯人を特定できる可能性も高まりますので、「泣き寝入り」をしないためにも事前に対応計画を立てておくのが望ましいのです。

まとめ

「事故なんて滅多に起こらないでしょ?」と、リスクから完全に目を背けて「ノーガード」の状態でいる人がとても多いです。
だから、攻撃者に狙われるし、攻撃が成功してしまうのです。
だから、年間1千万人以上の被害が発生しているのです。
そのような現実を見れば、リスクマネジメントの重要性をご理解頂けるかと思います。

しかし残念ながら、本格的、網羅的なリスクマネジメントは、専門家でなければできないことです。
でも、簡易的、部分的なリスクマネジメントであれば、一般の人でもある程度は自力で実施することが可能です。
完璧を目指す必要などまったくありません。
大切なのは、リスクを無視しないことです。
ほんの少しでも良い、分かる範囲だけでも良いので、情報セキュリティのリスクに目を向けようとする姿勢が大切です。

まずは、ご自身が最も恐れている事故や、簡単に想像できる事故だけでも良いので、リスク発見と対策、損害等の低減、事故後の対応の流れを考えてみて下さい。
リスクから目を背けている状態よりも、遥かにセキュリティ・レベルが向上されることでしょう。