こんにちは!
今日は金曜日、一時雪の予報がありましたが、何事もなく東京は過ごせました。
今日は暖かい日差しで平穏なひと時、しかし事件は起きるものですね。
さて、今日は韓国で先月発生した、大手クレジットカード会社3社から、個人情報が大量に流出する事件が発生しました。
容疑者はそれぞれのカード会社と取引があった情報セキュリティ(!)会社社員でした。
手口はカード会社のコンピューターより顧客データをコピーして持ち出し、一部を売りさばいたというものです。
この事件を受けて、監督当局トップの経済副首相が、「愚かな人は何か紛争が起これば責任を追及し心配ばかりする」と発言しました。
このことが、国民を「愚かな人」呼ばわりしたとして批判を受けています。
【セキュリティ マネージャー ビュー】
委託関係にある会社の社員による犯罪ですが、典型的な内部犯罪です。
おそらく会社同士及び各社員にもNDA(Non-Disclosure Agreement)という守秘義務契約をしているはずです。
が、同時にそれだけではなく、物理的なセキュリティとして、アクセスコントロールやデバイス制限などもしていたと思います。
にもかかわらず防げなかったのは、まさしく情報セキュリティを管理する立場の人間による行為だったからです。
実は情報セキュリティの課題は人為的行為について決定的な防御策というのが、課題なのです。
特に社員、委託業者問わず、最も信頼しているところが、逆に言えばウィークポイントでもあります。
人を監視するうえでキーになるのは、「人」のバックグラウンドも含めた監視と人の目による定期/不定期による内部観察です。
これはシステムではできません。
なぜなら単純なパターンではないからです。
経験と知識のある人間でなければ反応ができないものだと思います。
セキュリティは予防策ではなく、事前解決策であり、同時に問題が発生した時の解決策でもあるということを知っておいてほしいと思います。