ヘソクリに学ぶセキュリティ講座
教養
「セキュリティ」に関する話題がニュースを賑わしている。SONYの大規模な個人情報漏えい事故、アノニマスによるサイバー攻撃、Facebookでの情報公開のリスクなどだ。会社によっては、セキュリティに注意しろとを耳にタコができるほど言われる。カバンを持ってくることまで禁止しているところもある。カバンに入れた書類が紛失するリスクがあるからだそうだ。そこまで禁止したって、漏えいするときは漏えいするものだと批判的に考えている人もいるはずだ。とはいえ、個人のスマホやパソコンからの情報漏えいを不安に思う人が増えているのも確かである。
それでは、なぜセキュリティ対策をするのか、そして、どこまでやればセキュリティ対策は有効なのか。そもそもセキュリティって何をどう守るものなのか。そんな問題について、身近なヘソクリを例に挙げながら分かりやすくお話したい。
プロローグ ヘソクリに学ぶセキュリティ
第1章 ヘソクリが奥様に見つかったら? ~リスクマネジメント~
1-1 男ならちょっとくらい遊びたいよね
1-2 3000円くらいなら見つかってもいい?
1-3 まずは銀行の通帳の隠し場所を変えよう
1-4 ヘソクリを隠すだけじゃダメなんだよな
[コラム:ヘソクリの現状] ヘソクリはある?
第2章 銀行に預ければ安全? ~認証~
2-1 銀行に預けているから安心と思っていないか?
2-2 パソコン、携帯にパスワードをかけてる?
2-3 財産はどこで管理する? 頭の中? それとも手帳? それとも?
2-4 どこでもやっている2段階認証
[コラム:ヘソクリの現状] ヘソクリの額は?
第3章 奥様にばれないようにするには? ~暗号~
3-1 メールが盗聴されないって誰が言った
3-2 奥様に秘密の話をするなら固定電話?それとも携帯電話?
3-3 Excelの家計簿ファイルにパスワードをつければ、暗号化もされている?
3-4 「たぬきのおはなし」で暗号文
[コラム:ヘソクリの現状] 最高のヘソクリの隠し場所は?
第4章 ヘソクリを狙っているのは嫁だけではない。~様々な脅威~
4-1 子供はパパの味方か
4-2 両親や友達、子供の友達は家に遊びにくるか
4-3 泥棒にヘソクリを盗まれたら、奥様に言えるのか
4-4 友達はヘソクリを持っていることを知っているのか
[コラム:ヘソクリの現状] ヘソクリの作り方は?
第5章 隠すだけが対策ではない。~3つの対策~
5-1 意外に大事な人的対策。口は禍のもと
5-2 気前の良さは命とり
5-3 技術的対策はパソコンだけじゃない。金融機関の手続きも必要
5-4 隠して鍵をつけるという物理的対策は逆効果なのか
[コラム:ヘソクリの現状] 配偶者にヘソクリはあると思う?
第6章 あなた!この通帳は何? ~事故対応~
6-1 ヘソクリが見つかることによる本当の被害額
6-2 見つかったときの対応こそが肝
6-3 どこまで嘘をつくのか
6-4 インシデント対応は訓練が必要。言い訳のマニュアル作成は必須
[コラム:ヘソクリの現状] なぜヘソクリを貯めるの?
■プロローグ ヘソクリに学ぶセキュリティ
ヘソクリとは、配偶者に内緒で持つお金。日本人の平均貯蓄額は500万円ほどだが、そのうちに占めるヘソクリ額は、なんと100万円以上あるそうだ。
ある日、私の友人Mのヘソクリが奥様に見つかった。そいつがバカだった。情けないとしか言いようがない。毎月2万円の小遣いから5千円ずつを貯めて、喪服のポケットに隠していた。法事の後、奥様が喪服をクリーニングに出して、アウト。Mが言うには、「うっかりミス」だって。ヘソクリを隠したことを忘れたまま、奥様にクリーニングに出すように依頼してしまったのだ。事件や事故が起こったとき、世の中は「うっかり」とか「ミス」とか、そんな理由では許してくれない。
しかも、そのときの友人Mの言い訳がまた笑っちゃうんだ。「君にプレゼントしようと思って」だそうだ。すかさず奥様から「じゃあ、このお金は私が自由に使っていいのね」と言われた。自分で使えないヘソクリなんて意味がねえ。結局、小遣いは1万5千円に減らされた。
それから、毎年、春闘の時期になると、奥様に賃上げ要求をしている。でも、ストライキまでは踏み込めずにベアゼロが続いているらしい。一瞬の気の緩みが招いた悲劇だ。
別の友人Bは、会社からの出張手当などをもらうと、奥様には内緒にしている隠し口座に入れていた。通帳やカードも会社で保管していたため、奥様には見つかりようがなかった。ところが、「ATMで記帳するときの音を聞くのが快感だよ」って言っていたくせに、ここ最近は記帳をほったらかしていたらしい。すると、「通帳未記帳金明細」という郵便が自宅に届いてしまった。それが奥様に見つかって、アウト。結果、彼のヘソクリは奥様の貯金に組み込まれた。総額は40万円ほどあったらしい。返してもらうために、定時に帰って皿洗いなどで必至にご機嫌取りをしているようだ。まあ、返してもらうことは無いだろう。いまだにBの定時帰りは続いている。
この2人の場合、どっちも本人が悪い。企業の個人情報が盗まれたとき、盗んだ奴が悪いと考える人はほとんどいない。対策が甘かったことだけが指摘される。少なくとも、2人の友人は、ヘソクリを一括で保管するのではなく、分散配置すべきだった。財布のカード入れ部分と、かばんのポケットなどに分けるのだ。また、事故への対応も間違った。Mの場合は、喪服の中なのだから、「親族のお金である」とでも言えばよかったのだ。つまり、インシデント対応も不十分だった。
彼らに足らなかったもの、それはセキュリティの基礎的な知識だ。私は2人の友人に、リスクマ対応策の4つ「リスク回避」「リスク低減」「リスク移転」「リスク受容」を説明した。ところが2人とも、口を開けてぽかんとしていた。少なくとも、実家の母に預けるなどのリスク移転くらいは知っていてほしい。会社の仕事でも、アウトソーシングという言葉くらいは聞いたことがあるはずだろう。
また、リスク低減の方法にも、隠し場所という物理的対策だけでなく、足がつかずに引き出すための技術的な対策、日々の言動や行動といった人的対策がある。しかし、2人ともそんなことを全く知らない。愕然とした。
そこで、私が2人の友人が、今後同じ苦しみを味わうことが無いようにこの本を書いた。この本を読めば、あなたもセキュリティの本質がよく分かるはずだ。そして、あなたのヘソクリも守られるだろう。
ヘソクリは心のスパイスだ。無くてもいいが、少しあると味のある人生になる。ただし、スパイスをかけすぎると料理は食べられなり、捨てることになる。ヘソクリも、使用法を注意すると同じ結果になる。注意が必要だ。
■第1章 ヘソクリが奥様に見つかったら? ~リスクマネジメントとは~
1-1 男ならちょっとくらい遊びたいよね
ヘソクリが見つかるという地獄を見ないためにすべきことは何だろうか。
最初にすべきことはリスク分析である。「あー面倒くせーな」と思った人には、こう言いたい。「一生首輪をつけられた人生でいいの?」と。そうなりたくないなら、まずは、どんなリスクがあるのかを正確に分析することが大事だ。どんなリスクがあるかを見極めなければ、対応のしようがない。
本書はあくまでも本格的なセキュリティの本である。なので、専門用語もじゃんじゃん使わせてもらう。このようなリスク分析からリスク対策までの一連の活動をリスクマネジメントって言うんだ。聞いたことあるかな。
では、リスクマネジメントの本格的な解説に入ろう。そもそもヘソクリのセキュリティ対策の目的とはいったい何なのか。それは、(1)機密性、(2)完全性、(3)可用性の3つを実現することだ。
具体的に見てみよう。
(1)機密性
機密とは、秘密と同じ意味だ。つまり、ヘソクリがあることを奥様に見つからないようにすることである。現金が見つからないようにするのは当然のこと。加えて、ヘソクリを持っていることがばれてもいけない。「あんたいくらあるの? 正直に言いなさい」とがぶり寄られると、男はすぐに落ちる生き物だ。パーフェクトな機密が求められる。
(2)完全性
ヘソクリの状態が、隠した状態から変化せずに、完全であることを保つという意味だ。ヘソクリが見つかり、それを没収されないことが大事だ。もしくは、喪服のポケットに隠した現金を見つけた奥様に、勝手に使われないようにすることだ。自分の居ない時間に。
(3)可用性
可用とは、用いることが可能という意味だ。いくら安全だからといって、車で5時間かかる山奥にヘソクリを隠しては意味が無い。女の子とのアバンチュールには、急がなくてはいけない。ヘソクリをすぐに使える状態にしておくことだ。カードでの支払いは、記録が残るので、奥様にばれる可能性が高い。現金か、奥様に内緒で引き出せる口座にヘソクリをキープしておくことが求められる。
次に、この3つを脅かすリスクが何かを分析する。リスク分析というのは結構奥が深いから、まずはリスクという言葉を正確に理解しよう。次の式を見てほしい。ちょっと難しいが、リスクは次の掛け算で表される。
リスク=情報資産の価値 x 脆弱性 x 脅威
1つめの「情報資産の価値」とは、ズバリヘソクリの金額のことだ。ヘソクリが1000円程度だったら、奥様もガタガタ言わないだろう。2つめの「脆弱性」とは、「脆(もろ)い」「弱い」という言葉が示す通りである。たとえば、ヘソクリが隠されていなかったら、あっという間に見つかってしまう。そこで、フィギュアに換金して並べておけば、まさかそれが高額なヘソクリになっているとは気が付かないだろう。脆弱性は低いことになる。ただし、子供は脅威だね。ネットで高額で売れるとかを知らずにフィギュアをおもちゃにして遊ぶし、壊すからね。これが、3つめの「脅威」である。つまり、ヘソクリを狙ったり、隠していることを脅かす存在のことだ。こんな感じで、あなたのヘソクリのきちんとリスク分析をしなくちゃいけない。
私の友人Mのように、喪服のポケットに入れておいた場合を考えてみよう。誰もがアクセスできて、誰もがすぐに現金と分かるのだから、脆弱性が高く、リスクも大きい。
もう一人の友人Bは、ヘソクリを金融機関に預けておいたのだった。金融機関は個人のプライバシーが守られ、かつ安全に保管されているわけだから、脆弱性は低い。また、通帳やカードは自宅ではなく会社で保管していたわけだから、奥様がアクセスできる可能性も低い。だから、脅威も低い。しかし、40万円という高額な情報資産だったから、その時点でリスクが高い。裸で置いてある100円なんかより、よっぽど慎重に管理しなければいけない。
ここまでの解説で、なんとなくリスクマネジメントの基礎が分かってくれただろうか。ただし、理解することと実践することは全く別物だ。実践できなければ意味がない。ではみんな。自分のヘソクリに関して、さっそくリスク分析をやってみよう。大事なことは、すべてのヘソクリについて、一つ一つリスク分析をすること。つまり、財布の中のヘソクリと、車の車検証に隠したヘソクリと、隠し口座のヘソクリがあるなら、それぞれリスク分析をする。頭の中でやってはダメ。きちんとノートに書いてね。そして、そのリスクを数値化するのだ。自分一人でやると、自分に都合がいいように考えてしまいがちだ。理想は、専門家や第三者に客観的に判断してもらうことだ。奥様に見てもらうわけにはいかないから、自分の味方をしてくれる母親か、口が堅い友達がいいだろう。
それができたら、次のセクションはリスク評価だ。
左門 至峰さん
Copyright © Star Seas Company All Rights Reserved.
ジセダイユーザからのコメント