情報セキュリティにおいては,人的側面を軽視してはならない
下記の記事が出ている。
Cyber Security Should Consider Human Emotion and Social Engineering
IT Business Edge: 2011/09/12
http://www.itbusinessedge.com/cm/blogs/poremba/cyber-security-should-consider-human-emotion-and-social-engineering/?cs=48576
この記事に書かれていることは,常識に属することで,いわば当たり前のことばかりだ。
しかし,あえてこのような記事を書くことになる背景には,技術の過信という現実があるのではないかと思う。
かつて,ケビン・ミトニックは,ハッキングのための最も重要な要素としてソーシャルエンジニアリングをあげた。これは,現代でも全く変わらないと思う。
情報セキュリティ担当者は,自分の席に隣にすわっている同僚が本当に信頼に値する者であるかどうかを本当は全く知らない。
現代社会では,会社内の上司,同僚,部下の誰が自分を裏切るかわかったものじゃないし,家庭内でも妻や子供が裏切り者かもしれない。現実にそのような事例は多数存在し,見つけ次第,このブログで紹介してきた。
他方で,情報セキュリティをマネジメントする組織またはその経営陣が「悪」であることはしばしばある。横領罪,背任罪のような企業犯罪の多くは,役職者によって実行される。税法違反や外為法違反等の罪は,企業として遂行される。
政治的にもそうだ。日本だけに限定しても,ロシア,中国,北朝鮮等から資金提供を受けたり,それらの国との親和性が強い政治団体,政党,国会議員等はいくらでもいる。彼らの中には,日本国に対して忠誠を誓うのではなく,他国に対して忠誠を誓っている者だっているだろうと思う。反対もまたしかりであり,日本の歴代総理(自民党)や大新聞経営者の中には米国CIAから巨額の資金提供を受け,CIAのために働いていた者がある。このことは,米国連邦政府の公式機密文書が情報公開されたことによって,歴史的事実として証明されている。この文脈において,中国,ロシア,北朝鮮と米国との違いは,日本の同盟国であるかそうでないかという違いしかない。
実は,このような状況では,「いかなる情報セキュリティも成立しない」というのが理論的には最も正しい解ということになる。
結局,自分のことは自分だけで守るしかない。
米国連邦憲法において,人民が武装し自衛のための武装組織(民兵)を構成することは基本的人権の一つだと明文で規定されている。
Amendment 2 - Right to Bear Arms. Ratified 12/15/1791.
A well regulated Militia, being necessary to the security of a free State, the right of the people to keep and bear Arms, shall not be infringed.
現代の米国人に米国連邦憲法を読ませると,「共産主義者の憲法か?」と驚く人もあるらしいが,現にそのように規定されているので,基本的人権の一つだ。
これは,結局のところ,「自分のことは自分で守るしかない」という哲学に根ざすものだろうと推測している。
「天は自ら助くる者を助く」(Heaven helps those who help themselves.)Samuel Smiles
[追記:2011年9月26日]
関連記事を追加する。
What's a Company's Biggest Security Risk? You.
Wall Street Journal: September 26, 2011
http://online.wsj.com/article/SB10001424053111904836104576556421692299218.html
[追記:2012年11月17日]
関連記事を追加する。
Five Habits Of Companies That Catch Insiders
dark READING: October 22, 2012
http://www.darkreading.com/insider-threat/167801100/security/storage-security/240009547/five-habits-of-companies-that-catch-insiders.html
| 固定リンク
コメント