「セキュリティが大事」だけでは安全な環境は作れない
みなさん言いますよね 「うち(の会社)はセキュリティが大事。」 その言葉をきいていつも喉から出かかるのが 「セキュリティが大事じゃない会社ないんて無いよ!」 です。コノ言葉を発する人は何もわかってない人が少なくありません。
正しく怖がるには脅威を考慮
ICTでは闇雲に怖がってる人少なくないです。というのも、ICTを理解していない人は特にその傾向が強いです。セキュリティは、脅威を想定して、その脅威に対して適切な対策をするのがもっとも重要です。たとえば、ひとことで「自宅のセキュリティ」といったって、都会と田舎では状況が違い、都会なら金銭泥棒対策かもしれませんが、田舎ではイノシシやタヌキの野菜泥棒対策かもしれません。
ICTの脅威を4つの象限に分類する
様々な脅威には、それぞれの脅威対策が必要ですが、脅威とその対策は大きく4つに分類できます。
悪意の有り・無し、ファイアーウォールの外側・内側で分類する
悪意有り・ファイアーウォールの外側
多くの企業が時間とお金をそそぐのがコレです。インターネットから社内にむけてアノ手、コノ手で攻撃してくるやつですね。ファイアーウォールを突破しようとしたり、トロイの木馬、フィッシングサイトへの誘導、ランサムウェアなんかがこの分類です。また、ウェブサーバー視点でいえば、DDoS攻撃もこの分類です。
悪意無し・ファイアーウォールの外側
企業ウェブサイトや、ECサイトなど、ウェブサイトにおいて、偶発的に大量のトラフィックが流れてきてしまい、ウェブサイトが停止していまうのが、この分類です。大量トラフィックを作っている側は、DDoS攻撃の意図はありません。単純に情報を入手したい!だったり、発売タイミングを狙ってモノ買いたい!みたいなケースです。サーバー運用している側からすると、結果として、DDoS攻撃されているように思えます。
悪意有り・ファイアーウォールの内側
社員や元社員が金銭的なメリットを得るためや、会社への恨みにより実施する攻撃で、いわゆる内部犯行ですね。貧困に困って、目の前のデータを売却したり、情報を漏洩させ、その会社の評判をおとしめたりする行為です。
悪意無し・ファイアーウォールの内側
社員のミスや情報利用の意識の低さが起因になる脅威です。個人情報を間違った人に送ってしまったり、誰でも閲覧できる状態でインターネットにデータ配置、URLさえ知られなければ、他人が見に来ないと思っているような事象がこの分類です。
それぞれの事象にあわせてセキュリティ対策する
この4つの事象、それぞれ対策方向が異なります。〇〇を導入すれば、全部OK!みたいな安易な解決はできません。まずは、この4つの分類を意識するのが大事です。