信じられるものは無いとすること
こんにちは😃台風の接近で岡山は雨です。みなさまもご無事でしょうか。
それはそうと、ニュースを眺めていたところ、マンガのようなものを見つけました。
以前にお勤めだった会社のサーバーに不正アクセスを繰り返して、Excelブックに悪意のあるマクロを仕込んだ、しかもそれが実行されてファイルを削除するなどの被害が出たということでした。
不正アクセスできる状態だったというのは、かなりこわい話ですね。以前に出入りしていた友人が勝手に自宅に入って悪さをして帰るようなものです。しかも被害が出ているというのですから、ほんとにそのようなことをする方がいるということのだなぁと思いました。
最近は性悪説に立った、ゼロトラストという情報セキュリティの考え方があります。だれも信用しないようにすることで安全性を高めるというものです。今回の件は外部からアクセスできてしまったということですから、それ以前の問題なのかもしれません。とはいえ、アクセスされたとしてもファイルやフォルダへのアクセス権が適切にされていたらマクロを仕込まれることもなかったのか?ということはあります。
情報セキュリティは業務のやりやすさとセキュリティ強度のバランスをよくすることが重要です。できるだけ極論に行ってしまわないように話し合うしか事故や事件に巻き込まれないようにする方法はないのかもしれません。
適切なアクセスの管理、と一言で言うのは簡単ですが、両立できるように管理するのはかなり難しいです。情報システム担当がその会社内に1名しかいないようなところでは、その方にすべてを牛耳られている、事業継続としての生殺与奪権を握らせてしまっていると考えても良いと思います。
ランサムウェアも流行していますし、外部、元身内、いまの身内いずれも事業継続をおびやかすようになったのだということ、しかもそれがわかりやすく露呈するようになったということでしょう。PCにかぎらず、スマホやタブレットをふくむコンピュータを事業になにかしらのかたちで使用しているのであれば、他人事でもありません。とはいえ、ねえ。