セキュリティをメッチャ強化したら、セキュリティ事故が増加！？

「セキュリティを強化したら、セキュリティ事故が増加した！」という不思議な現象…。ネットの記事で面白いタイトルに惹かれて読んでみたのですが、情報セキュリティあるあるだなと思いました。

セキュリティ強化と可用性

ネットで見つけた面白いタイトルの記事がこちら。

「サイバー攻撃を二度と受けない」が“最悪の目標”であるこれだけの根拠

セキュリティ強化だけ頑張っちゃうと、かえってセキュリティ事故を起こすよってことなんですが、セキュリティ強化の時に必ず考えなければいけないのが可用性です。

一般に言われる可用性とはちょっとだけ異なるので、セキュリティでの定義を「守るべき情報資産・情報リスクの考え方」（©IPA 2004）で確認してみましょう。

可用性：認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること

そう、一般にはコンピューター（サーバーとか）が継続して使える能力をさしますが、情報セキュリティの三要素「機密性・完全性・可用性」の可用性は上記の定義です。

必要な時に情報へアクセスできることがバランス良く設計されていないと、セキュリティ事故を助長させるセキュリティ強化を行ってしまう可能性があります。

今回は私が体験した事例を３つご紹介ます。

VDIを必須にしたら情報漏えい

VDI（Virtual Desktop Infrastructure：仮想デスクトップ）と呼ばれる技術で、どっか安全なところで仮想のパソコンを動かし、自分の端末から仮想のパソコンをリモートで操作する技術です。

情報がすべてサーバーに入っているので、情報漏えいが起きにくいという利点から多くの企業で導入されています。

が、経営者としては投資コストが安くてセキュリティがしっかりとしているものが良い！ということで「VDI×高セキュリティ対策」で選定しがちです。一方、現場は仮想のパソコンとは言え、使い勝手（特に性能。最近だとオンライン会議できるか？など）が重要な関心事。

この温度差から、経営者が「全社VDI必須！」という謎の強権を発動し、低スペックな安いVDI利用を強要する事態が起きるのです。現場は使い物にならないVDIなんか使いたくないので、回避方法を色々編み出し…結果、思わぬところで情報漏えいってのが起きます。

誰の責任？と言ったら、使えない環境なんか仕事にならない！って行動を正当化して情報漏えいした人、それを助長させる仕組みを導入してしまった経営…と掘り下げていくと色々と挙げられます。

PC環境ガッチガチにしたら紙媒体で情報漏えい

情報漏えいさせない！と必死になって社員が利用するパソコンの情報セキュリティ対策を強化しまくった結果、そもそもパソコンが扱いにくい端末になったしまったという悲しい事件がありました。

パワーポイントのプレゼン資料もパソコンで見せるだけなら簡単ですが、そのパソコンを持ち出すための申請や手続きが複雑化し、パソコンを持ち出す作業が難関。結果、お客様に資料を持っていくときは紙ベースになってしまったと言う事件です。

で、恐ろしいのは紙だと物理的に漏洩しちゃうんですよね。パソコンならパスワードロックや暗号化ができますが、紙は…ねぇ…。

しかも、こういう情報漏えいが起きたときの対策ってのは、重要書類は肌見放さずに持っておくこと。だったりします。いや、人間は忘れるから。必ずミスをするからね。

色々禁止にしたらスマホ写真で情報漏えい

ってことで、更に上を行くのが色々禁止！
紙資料もデータも絶対持ち出し禁止！営業で外出る時はデータをお客さんに送って、お客さん側で投影や印刷してもらうって対策です。

そんな対策をしたら、現場では個人所有のスマホで写真を撮る人が現れ、アッという間に情報漏えい。

いやいや、流石に漏えいした人がダメでしょ。
ってなるんですが、情報を動かすことが制限されすぎて、必要な情報を移動する手段がそれしかなかった…という悲しい事件です。

深堀りしていくと恐ろしいことに、紙で印刷した書類を個人のスマホでカメラに収めて、Google KeepなどのサービスでOCRをかけて文字に戻して、他の端末で編集し、会社の端末へ業務メールを装って個人メールから送信…。

おわりに

経営側から見た情報セキュリティと現場からみた情報セキュリティは温度差が結構あります。守るべき資産とリスクをしっかり認識・共有しておかないと、とんでもない対策と思わぬ情報漏えいにつながりますね。

今回は「情報処理安全確保支援士」の肩書もあるし、それっぽいこと書いておこうかなと思いまして、こんな記事となりました。
また気が向いたら本職っぽいことを書いてみたいと思います。

またね！