会社のセキュリティポリシー
会社の責任として、お預かりした個人情報とか機密情報とかを、漏洩から守らなければならない。
その為にセキュリティポリシーなどを作って社員に守らせる。
会社としては、技術的なハッキング対策もお金をかけてやって、情報を守っている。
てのは実は建前だと思う。
本当のところは、どんなにポリシー作ったって、社員はまじめに読まないし、たとえポリシー守られたとしても、技術的には色々できちゃうから、結局会社の情報を100パーセント守るなんて不可能でしょう。
もちろん会社の偉い方達も充分承知上でしょう。
どちらかと言うと、会社の責任として、「完全な防御なんて出来ないけど、出来るだけの事はやってますよ」と言うアピールが出来るかということであって、有事の際に、どれだけ会社として言い訳が出来るかって事だと思う。
だから、内部犯行の対策として、社員にセキュリティポリシー守らせてるし(名目上でも)、社員の動きを監視してるよって言って、「そんな監視をすり抜けて悪い事をする人が居るなら、それはもう、悪意のある故意であって、どうやっても防げないでしょ」てところまで、とりあえずやるって事が重要なんだろう。
もちろん、故意でないうっかりミスを防げるに越した事ないから教育とかする。そういう、いわゆる悪意のないピュアなうっかりさん達に響く教育が重要ってなるってわけではないでしょうか。だから、ゴリゴリの技術者向け教育より、一般ユーザー向けで、かつ自分たちの立場になって考えられる教育が、必要なのではないでしょうか。
Usable Security って?
Usable Security って聞いたことありますか?
私も最近まで知りませんでした。
Usable = 使える
Security = セキュリティ
て事で、つまり、本当に使えるセキュリティってなんだろうって事だろうと思います。
どんどんハッキングの手口が巧妙化して、それに応じてシステムのユーザーには色んな制約とか義務が課されていく。例えば、超ランダムなパスワード作れ!とか。
でも、超ランダムなパスワードは覚えられないから、メモに取ろうと思ったら、パスワードはメモするな!とか。どーせいちゅーねん。
セキュリティを意識しすぎて、ユーザーの利便性が損なわれ、結局システム使わなくなるなんて本末転倒。
そのジレンマを解消すべく、Usable Security を研究している機関があるわけですが、ラッキーな事に私もその機関の1つでリサーチをさせてもらった経験があり、その経験を少しでも共有できたらなと思ってブログはじめてみようかなと思いました。
まあ、コアな技術者ではないから、そこんところは弱いけど、その代わり、一般ユーザーの、「技術者って何言ってるか分からん」ていう事も分かるので、ユーザー自信が理解して、取り入れやすいUsable Security の話ができるかなーとぼんやり思ってます。
