ブレインワークス 大西信次のブログ

ブレインワークス取締役であり、セキュリティコンサルタントの大西信次が、コンサルノウハウやその他のことについて書きます。


テーマ:

個人情報保護と情報セキュリティの違いについて、
ITに比較的精通している方々の前で説明する機会がありましたが、
腑に落ちたという反響がありました。

それぞれの定義・違いはさておき、
結構抜け落ちる概念が、「情報のハンドリング」です。

日本語では「情報の取り扱い」ですが、
取り扱いというと、いつも仕事でやっていることという語感で、
心に残らないので、
あえて「情報のハンドリング」と呼ばせてもらいます。

情報をお手玉しているイメージを持ってもらったらよいかと思います。

情報セキュリティや個人情報保護と「情報のお手玉」では、
言葉からはまったく違う印象を受けますが、
日々やっていることは、この情報のお手玉・ハンドリングをして、
仕事を進めているのです。

お手玉のうまい人、下手な人がいて、
お手玉のうまい人は、信頼できる、気がきく、などといわれ、
下手な人は、報連相ができないやつだなどと罵られてしまうわけです。

ただ、この情報のハンドリングがうまい人が、
セキュリティ事故を起こさないとは限りません。
事故を起こさないためには、万一のことを考えて、
リスクを避けるように情報を扱うことが必要だからです。

情報セキュリティの事故の中では、
「情報のハンドリング」のミスによるものは起きがちです。

最近の「情報のハンドリング」に失敗した事例をあげておきましょう。

〈新婦は知ったかぶり〉東武鉄道子会社の“挙式リスト”流出
https://www.dailyshincho.jp/article/2017/07030558/?all=1

結婚式を挙げるカップルの個人情報が漏れること自体も問題ですが、
その個人情報の中に、カップルに対して上から目線の

ばかにしたようなコメントまで書かれていました。
結婚式場の他の従業員と共有をし、スムーズな準備、

進行をしようとでも思ったのでしょう。
個別の判断を記載し、情報共有しようという考えはよいのですが、
リスク管理がなっていないし、脇が甘すぎます。


委託業者が作成して、メールの誤送信をしたのが原因という

ことのようですが、
結婚式場としてのブランド毀損ははなはだしいです。

本当に漏れるとまずいものとして「ブラックリスト」や、
「顧客に対する評価」といった情報があります。

対応に苦慮する顧客を集めたリストを作っておき、
その顧客の見た目や特性を記載したうえ、
過去どんなことがあったか、どのように対応すべきかを記載しておく。
いわゆるブラックリストとか、危険顧客リストなどと呼ばれるものです。

名刺情報のハンドリングはぞんざいにしている人でも
ブラックリストは漏れると本当にまずいと思うものです。

万一漏れたときのために、以下のように手を打っておくのが

リスク対策です。
ブラックリストと書かずに、特別優先顧客リストと書いておく。
個人に×マークをつけておくのでなく、★マークにする。
個人に対する評価は、紙でだけ残しておく。


ブラックリストとは種類が違いますが、録音や写真データも、
情報セキュリティ、コンプライアンスとして、

気を付けないといけないこと。
いつも持ち歩いているスマホで簡単に録音できてしまうし、
ただスマホおいているように見えて、実は録音していたという

ケースもあります。

ここ1カ月ほどニュースで話題になっている議員の暴言録も、
昔からしようと思えばできたことではありますが、
昨今の録音利用の手軽さから考えると、
ビジネスの中でも、あちこちで起きている、
録ってよいと許可がとられていないまま、
録音しているケースがままあるのではないでしょうか。

ここだけの話だったはずが、録音されていたというような話。
もしかしたら録音されているかもと考えて、
一言一句に気をつけておいたほうがよいです。

情報セキュリティ対策として、
漏えいしないよう予防策を講じるのは当然としても、

万一、漏えいしたら
万一、録音されていたら

と万一を考えて、情報管理をほどこしておくべきでしょう。
お金かけずにできて、事故発生時のインパクトを削減できます。

AD
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:

シニアの方々と仕事をすることがここ数年増えてきています。

 

ITコンサルとして活躍している70歳
セキュリティ教育事業に従事されている68歳
調査業務やレポーティングをしてもらっている63歳
十数人チームのチームリーダをされている69歳

アジア向けECを志している方、フィンテックに関わっている方や、
大学の講師をしながら当社のビジネスにも関わってもらっている方、
本当に多くのシニアと仕事をしております。

 

70歳をこえて、起業する方もいれば、
海外への出張をこなすシニアもいらっしゃる。

 

先週は、カナリアコミュニケーションから出版された
石橋正利さんの出版記念パーティにいってきました。
http://www.canaria-book.com/html/book/book_2016.html#340
http://www.sogokyouiku.com/?eid=1237280

 

アクティブシニアの経営者です。
御年67歳で、今が一番やる気に満ち溢れていると
おっしゃるので驚きです。

パーティも笑顔と幸せに満ち満ちた感じでした。

 

自分がその年齢に至っていないので、
体力、知力を単純比較はできないのですが、
それでも、お付き合いしている60歳以上の方の
パワーは若い人とそん色ないと感じます。

俺の若いころは残業何時間やってた、今の若いものは・・・
ということを語るのでなく、
今でも、徹夜の仕事でもやりますよというシニアの方。
本当に体に気を付けてくださいといいたくなります。


とはいうものの、シニアが皆元気なわけでもなく、
たまたま、今、一緒に仕事している方々は、という限定条件付き。
元気でない方は、一緒に仕事してないという結果でもあります。

アクティブシニアとますます老いていくシニアとの差は、
30代、40代よりも個人差が顕著と感じます。


63歳なのに、70歳の方のほうが、見た目が若く見える方

仕事しても集中力・根気が続かないといわれる方

やらない言い訳から考える方
(年をとっていること自体が簡単に言い訳にできる)


なぜ、こんなに差がでてしまうのか、アクティブシニアの方に聞いてみました。
だいたい、皆さんおっしゃることは同じで、
昔から差がついていた、それが長年の習慣で大きな差になったと。

体力にしても、40歳くらいから徐々に差がつきはじめて、
トレーニングを積んで、体づくりをしてきた方は、
60越えても元気いっぱい。
長年にわたって仕事に意欲的に取り組んできた方は、
60越えても、一緒に仕事してすがすがしい。

40歳くらいからの習慣で、少しづつ差がでてきて、
60歳こえるころには大きな差になっています。
アクティブシニアになれるかどうかの分かれ目は
20年前から始まっているということです。


60歳になってから何か新しくはじめようとしても、
土台がなければ急には無理だし、気持ちもついてこない。

一緒に仕事しながら、人生の先輩、仕事の先輩として
教えてもらうことも多いですが、
今仕事をされている姿と過去されてきた経験からです。
アクティブシニアの道は
20年前からはじまっているのですねということを
このたびは教えてもらいました。
 

AD
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:

先週20日、隔月で実施している
ベトナム人向けセキュリティセミナーを開催しました。

この3年、ベトナム人向けセミナーをやってきましたが、
ベトナム経営者のセキュリティ意識が高まってきて、
質疑応答も本格的な内容です。

かつては、部下がデータ盗んで会社つくったんです、
ライバルに持ち込んだんですという話が毎回のように
ありましたが、
今の質問は、日本のそれに近くなってきました。


これがテレオフィスでセミナーしている風景(後姿)。

 

今回は、ウェブサイトのセキュリティについて
詳しく知りたいとの質問で突っ込んだ内容で話しをしました。


当初からベトナムでは有料でのセキュリティセミナーということもあり、
参加者も熱心で、質問が絶えません。
2時間(通訳がはいるので実質1時間)のオンラインセミナーでしたが、
インタラクティブなやりとりができました。

AD
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:
セキュリティ対策をする際に最初に困ること、
相談を受けることとして、
なにからすればよいかということがあげられます。

セキュリティと一言でいっても、範囲が幅広く感じられるので、
どこから手を付けてよいかわからなくなってしまいがちです。


王道的な答えとしては、

まずは、責任者を決めましょう。

セキュリティ委員会などの体制をつくりましょう。

現状の調査、リスクアセスメントをしましょう。

セキュリティポリシーをつくりましょう。

といったところです。

幅広くはあっても、それらを網羅するには、
結局、責任者を決め、役割分担をして、
すべてのことを文書(セキュリティポリシー)に
記述するしかありません。
少し難解なプロジェクトであったり、
関係者が複数にになるときには、
セキュリティでなくても同じやり方をとります。

セキュリティというような、今まで取り組んでいなかったり、
やりにくさを感じるテーマであっても、
同じことなのです。


さて、ここでは、セキュリティを網羅するだけでなく、
その土台、根っこにあるものを考えてみます。

セキュリティ対策は一時しのぎでは終わりません。

新しい人が入社したり、
新規事業がスタートしたり、
事業部体制がかわったり、
情報システムが変わったりで、
変化がおきます。

これらの変化は、情報漏えいリスクにつながっています。

本来ルールは守り続けなければなりませんが、
だんだん守られなくなっていくということもあります。

外部要因はさらに変化が激しく、
例えば、スマホの普及や、SNSの普及一つとってみても、
企業側からすると大きな変化であり、
セキュリティ上の脅威になっています。

一つ一つの変化に都度都度対応していかないといけませんが、
過剰反応してしまうのもよくないです。


変化のたびに、右往左往するものではありません。
セキュリティ対策において常に変わらずに
もっておくべき軸、土台があれば、変化に動じることは
ありません。

その土台とは、
PDCAと整理整頓です。


様々な変化がおきても、それに変わらず対処していくのは
PDCAです。

目の前で起きたことだけに対処するのでなく、
セキュリティに関するプランを立てて、
それを実行し、できているかをチェックし、
外部環境や内部の状況に応じて改善をしていきます。

この土台があれば、セキュリティ対策において、
事故がおきないとはいいませんが、
世間水準から見ても大外しをせずに、
対処しつづけることができることでしょう。


もう一つ、目に見えない情報というものを扱う上で、
整理整頓は常に重要です。

ほっておくと、紙資料や、ファイルサーバ内のデータは
散らかり放題となります。

散らかった状態では、情報を使うべき人が使いづらくなり、
結果、コピーが氾濫、さらに混乱、どれが最新の情報であるか
わからなくなり、そういう状況は不正をした内部者にとっては、
うってつけの環境といえます。

情報の整理整頓は、一見、情報漏えいやセキュリティの話と無縁に
思えますが、情報を正しく管理するという点で、
根っこは同じなのです。

セキュリティ対策は、幅広で、やることが多くて・・・
といわれることもあります。
確かにそのとおりなのですが、
個別項目に集中しすぎて、
PDCAと整理整頓がおろそかになっている、ということが多いです。

目の前で起きているインシデントや、クラウドサービス導入等の
新しい技術への対応に時間をとられているうちに、
セキュリティ監査(PDCAのC)ができていないかったということに
なっていないでしょうか。

PDCAと整理整頓という土台がしっかりしていれば、
外部、内部の多少の変化にも対応して、
セキュリティの水準を保てることでしょう。
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:
GoogleApps、DropBox、Evernoteなど
ビジネスにも有益なクラウドが広がり、
ストレージサービスなど個人での利用も
普通のことになっています。

一方、自分の情報がクラウド上に
いつのまにか保管されていることに
無自覚な人も多いのではないでしょうか。

クラウドは、セキュリティ上、安心といえるのでしょうか。

目に見えない情報を守るというのは大変骨が折れるものです。
パソコンに保存していても、
パソコンがマルウェアに感染して情報が流出したり、
パソコンそのものが壊れて(もしバックアップを取っていなければ)
二度とその情報が取り出せなくなったりもします。
最近では、ランサムウェアというPCのデータを暗号化してしまい、
データを復旧のための金銭を要求するようなものもあります。

クラウドが安全かを議論するには、
自分のパソコン、自社のサーバが安全かを比較検討する必要があります。

クラウドの安全性を述べるときによくある議論として、
たんす預金か、銀行に預けるのかどちらが安全かという比較検証がされます。
例えば、1千万円単位の金を持っていたときに、
どちらが安全なんでしょうか。

たんすのほうが絶対安全という人はほとんどいないでしょう。

だから、自分のパソコンより、クラウドのほうが安全、
とは短絡的にはなりません。

ひとつは、クラウド事業者は、いまや、地方銀行、信用金庫など
をあわせた金融機関以上の数になっています。
その一つ一つの事業者は、社歴が浅い会社も多く、
また、従業員数数名というところもあるわけです。

つまり、銀行という、社会において長きに渡って
信頼されつづけてきた機関と、
クラウドという、言葉自体がでてきて10年も
たたないような業界とをまるっきり一緒にはできない
というわけです。

一つの例が2012年6月におきた
大手クラウドサービス事業者による
データ消失事件です。
クラウド上のデータが消失してしまい、
最終的に復旧できなかったデータがありました。

原因は、人為的なものであり、
100%大丈夫ということがないという証明を
はからずもしてしまった事例です。

人がやることですからミスはあります。
おそらく、大手銀行でも人為的なミスというのは
発生しているでしょう。
しかし、多くのチェック体制により、
ミスをリカバリーするようになっていることと、
さらに、銀行とクラウドの決定的な違いは、
預けているものがお金か、データかという違いです。

お金は、損害賠償など、別のお金で代替することが可能です。
データはなくなってしまえば、損害賠償などで償われても、
データ自体は戻ってきません。

いまや、銀行もICTで動いています。
銀行も、お金が盗まれるリスクよりも、
データが消失するリスクのほうが大きくなっています。

銀行の取引データがなくなって、
今の預金残高がいくらかわからなくなった、
などということになれば、
社会的な影響はとんでもないことになります。

クラウドは便利であり、セキュリティ上も、自分自身で管理するよりも
強固なケースが多いでしょう。

しかし、提供している事業者も様々ですし、
リスクもあるわけです。
よく選別、吟味して、かつ自己責任で利用することが必要で、
クラウドを完全には信用せずに、
自分の手元にバックアップをとっておいておくという、
クラウド利用しつつ、最後はタンスに保管でリスク管理です。
いいね!した人  |  コメント(0)  |  リブログ(0)

AD

ブログをはじめる

たくさんの芸能人・有名人が
書いているAmebaブログを
無料で簡単にはじめることができます。

公式トップブロガーへ応募

多くの方にご紹介したいブログを
執筆する方を「公式トップブロガー」
として認定しております。

芸能人・有名人ブログを開設

Amebaブログでは、芸能人・有名人ブログを
ご希望される著名人の方/事務所様を
随時募集しております。