リスクについての考え方

ちょっと思うところがあったので。

インターネットを含むセキュリティ等の考え方がここ何年かで大分変わってきています。
例えばパスワードですが、以前はランダムに生成された長いものを定期的に更新する事が良いとされてきましたが、現在ではこれはむしろパスワードを盗まれる元であるとされています。サイトによる情報収集、あるいはウイルス等による盗難などによって全ての情報が一気に抜かれる危険性もあるからです。

では現在はどうなっているかといえば、二段階認証が主軸となっています。
スマートフォンを利用する人間にとっては当たり前となっているものですが、本人確認の為にSMSにて認証をとる方法がセキュアだと言われています。
現在、電話番号と個人は結びついているものとして考えられているので、これを行わずに利用出来るサービスは考えものです。現代において携帯電話を持ち歩かない人間はほぼいないと考えて良いので、セキュアかつ有用な確認方法と言えます。
メールによる認証を行うサービスもありますが、これはクリティカルな個人情報を取り扱わない場合においては有効です。しかし、メールはサーバーのログイン情報を入手してしまえばいくらでもハックが可能なので、セキュリティ的には高いと言えません。
他にもUSBキー等でそもそも情報にアクセス出来なくする方法、あるいはSIMと紐付けて毎回ログインパスワードを送信する方法などもあります。これは結構高く付く方法ではありますが、セキュアであると言えます。

パスワード以外においても、セキュリティの考え方は変わってきています。
例えばOS等のハックや情報流出等において、以前は兎に角アクセス自体をさせない、誰にも分からないようにする、としていましたがこれは有効ではありませんでした。
アクセス自体をさせない方法は利便性を大変損ねます、誰にも分からないようにすることはアクセス出来る特定人物に何かあった場合、復旧出来ないのでこれもまた問題です。
現在ではこれは見直され、アクセスは出来るが通信そのものを暗号化し複雑化する手法がとられます。ここを超えてくる手法も存在しますが、その場合は問題部位を即時特定、切り離す手法がメインとなってきています。
サーバー等への攻撃はポートの遮断は当然として、IPそのものから即アクセス出来ないようにする手法もとられます。これをハードウェアとして行うサービスも存在しますが、SSL認証の設定がピーキーすぎるらしく、自社サーバーに繋がらない等の問題もよく目にします。有効な手段ではあるのですが。

OSをハックされた場合は問題部位を特定、切り離す措置がよく行われます。
最近のサーバーではOSを仮想化する手法が良くとられており、問題が起きた場合はそのOSそのものをシャットダウン、あるいは消去する手段も取られます。コアとなるOSは仮想OSの下に存在するので、違法に操作されたり改変されても処理をスムーズに行う事が出来るため、有効であると言えます。

これらの考え方、対処はリスクをベースとして考えられています。問題というのは必ず起きます。故に、そのリスクをもとに対策、対処を考えていく方が効率が良いとしているからです。
これはリスクベース・アプローチと言われています、最近ではAML / CFT(アンチマネーロンダリング・テロ資金供与対策)などでも考え方の基本として使われています。
これをと対をなす考え方として、ルールベース・アプローチというものがあります。これは”答えありき”で目的、目標達成を図るアプローチで、「例えばこういう決まりがあるから、それを満たすよう組織のルールを作れ。」と言っているようなものです。
会社の設立、各種申請においてはこの考え方で良いと思いますが、常に変化を続けていくセキュリティにおいては有用ではないと言えます。

これを私たちの実生活に置き換えてみましょう。
例えばSNS等で自分の写真を公開したり、行動を発信したとします。これによって、悪意ある人間がそれを活用し、住所の特定、あるいは人物の特定を行う事が出来ます。
故に、そもそもSNSでは写真の公開を行うべきで無い、という人がいます。確かに一定の効果はありますが、人間というのは行動する生命体であり、必ず移動を行います。各種イベント、会社への移動、買い物、その他どんなところからでも、追跡することは可能です。勿論時間は掛かりますが、確実に本人を捉えられます。
また、本人が取引を行う会社に忍び込む、あるいは内部の人間を買収する事によっても情報を入手することは可能です。
そんな馬鹿な、と考えるかも知れませんが、そこにこそ”つけ込む隙”が存在します。犯罪者は、そのあたりを突いてきます。
ではどうするかといえば、リスクベースの考え方をすれば良いのです。
もし住居に犯罪者が来るようであれば防犯グッズを備える、すぐに人が来るよう準備する、警察を呼ぶ等の対策を取ることが出来ます。あるいは、引っ越しをするなどの手段がありますね。
身体を鍛えて、相手を迎え撃つなんてのもありでしょう。これも有用なリスクベース・アプローチと言えるでしょう(笑

まとめます。
そもそも、安全などというものは存在しません。必ず”危険”というものは存在し、その危険を避けるためにルールを作るなど対策を行う事で安全性を高め、日々の暮らしを送ったり作業を行うことが出来ています。
仕事、自分の周りのリスクを洗い出し、対策、対処を常に考え備え実行する事で安全性を高めるよう努めると良いでしょう。リスクベース・アプローチを、今後の考え方の中心に。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください