「井戸端会議」に要注意!:日常に潜む情報漏洩のリスク
日ごろから情報セキュリティに関わっている方はともかく、
部門外の方が「組織の情報セキュリティ上のリスク」を意識することは、あまりないのでは?
「情報セキュリティ」と聞くと、何やら遠い世界のことのように感じがち。
でも、決して「難しいこと」をやっているわけではありません。
日常生活の防犯と、ビジネスシーンにおける情報セキュリティ対策も、起きていることは同じなんです。
- 目次
日常に潜むリスク(1)「つい口がすべって......」噂話が大損害に?
ちょっとした噂話や愚痴をきっかけに、私たちの個人情報はどんどん漏れていきます。
「ちょっと奥さん、聞きました?」――――ドラマなどで見かける、井戸端会議のワンシーン。
たとえば、こんな会話が抱えるリスクを考えてみましょう。
「聞いた? 〇〇さんの息子さん、今年受験だったでしょ?
『東大合格間違いなし!』って言われてたけど、結局、滑り止めの××大学にしか受からなかったそうよ。」
噂話をしている当人たちは、「この程度の情報、洩れても害はない」と思っているかもしれません。
しかし、噂話をされている"〇〇さんの息子さん"の立場はどうでしょう?
本人としては、「人に決して知られたくないプライベートな情報」かもしれません。
ましてや、本人の許可なくSNSで公開されているとなれば、情報はあっという間に世界へ拡散します。
結果、噂の拡散を「〇〇さんの息子さん」が知り、精神的苦痛を負って心を病んでしまい、
訴訟に発展......なんて事態になることも、決してないとは言えません。
これをビジネスシーンに置き換えると......?
上記のようなケースは、直接的な金銭被害につながるものではないでしょう。
ですが、ここで語られた情報が「ビジネスの、利害問題に関する話」だったら、どうでしょうか?
たとえばこんな会話。
「おいおい、聞いたか? A社がうちのサービスを買い取りたいって言ってきたらしいぞ。」
営業・訪問へ向かう電車内や、同僚とランチタイムで訪れた定食屋、息抜きに訪れる共有の喫煙室などで、
ついつい社外秘の「オフレコ」情報や、取引先の話で盛り上がり......そんな経験はありませんか?
万が一、この情報がマスコミ関係者やライバル会社、株主などに聞かれていたら、どうなるか?
マスコミに暴露されたり、ライバル会社に出し抜かれたりと、
「うっかり口がすべって......」がきっかけで、思いもよらない損失をもたらしうるのです。
さらに、たとえば社員証や社章バッヂを身につけていれば、話しをしている当人の勤め先や氏名もカンタンにわかってしまいます。本名でSNSをやっているなら、そこから個人情報や交友関係、勤め先の情報なども芋づる式に丸わかりに。
本名と、企業の社用メールアカウントの命名規則さえわかれば、メールアドレスとパスワードを推測してアカウントを乗っ取られ......といったことすら、決して難しいことではないんです。
「組織人」として行動をする際は、くれぐれも発言と行動にはご注意を......。
【あわせて読みたい】
攻撃者の視点で組織の情報安全対策を考える(前編)
サイバー攻撃者の視点で組織の情報セキュリティ対策を考える②
日常に潜むリスク(2)「カギ」が大事なのは、家だけじゃない!
自宅を留守にするときは、玄関ドアや窓を施錠しますよね。
それに、合鍵をむやみに人に渡したり、目につく場所に置いておいたりもしないはず。
しかし空き巣は、どんなにしっかり対策していていても、
カギをこじ開け、窓を割り、何らかの方法で侵入しようとします。
どんなに平和そうに見える住宅街にも、必ず空き巣は目を光らせています。
被害を防ぐためは、
●垣根を低くして、怪しい行動が目立つようにする
●カギの数を増やし、簡単に開けにくいものを使う
●「カギのこじ開け」などの危険を知らせる、防犯システムを導入する
............といった対策をとるのが、防犯の基本です。
これをビジネスシーンに置き換えると......?
自宅に空き巣が入ったら、ショックですよね。
その「空き巣」は、会社のPCやWebサービスにも侵入しようとします。
つまり、家の防犯も、インターネット上での防犯も、考え方は同じです。
PCやWebサービスのパスワードは、「家のカギ」と同じようなものだ、と考えてみてください。
たとえば、「自分の名前や誕生日」「〈123456〉、〈qwerty〉などの簡単すぎる文字列」などは、あなたの情報をそのまま使ったパスワードは、あなたの想像以上にたやすく解除されてしまいます。それこそ、「パスワードをかけていない」なんて、家を無施錠のまま出かけるのと同じです!
もし、社用端末をうっかり無くして、そこにすぐ破られかねないカンタンなパスワードをかけていたら?
お客さまからお預かりしている数万件に渡る重要情報や、業務委託を請け負った他社の機密情報、
会社の財産ともいえるデータが流出するきっかけとなってしまうかも。
トラブルの原因をつくった当人が処分を受けるのはもちろん、会社までが何億円という損害賠償請求を被り経営赤字に陥る......という悲劇のシナリオも、想像に難くありません。
おまけ:「知らないうちに自分が犯人に!」なんて可能性も......
悪意ある何者かがシステムに侵入する際、あなたのアカウントが使っていたら、どうなるでしょうか?
他人の持ち物を使って犯行を行うという、サスペンスではよくある手口と同じ。
当然、あなたが真っ先に疑われてしまうことでしょう。
自分のログインパスワードを他人に見えるように放置したり、むやみに人に教えたりはしてはいませんか?
「パスワードを忘れてしまわないよう、ふせんに書いて貼っておく」「誰にでも推測できるような文字列にしておく」などは、家のカギを見えるように放置するようなものですよ!
【あわせて読みたい】
「え?君がスパイ?」あなたの隣人がスパイだった時のために【前編】
「え?君がスパイ?」あなたの隣人がスパイだった時のために【後編】
もちろん、ここで上げたような事態が日常的にそうそう起きては困ります。
ですが、備えあれば憂いなし。
日ごろから「ほんのちょっと」気をつけるだけで、専門的な高度な知識がなくとも、
インシデントにつながるリスクを大きく減らせることができますよ。