標的型メールは見抜くことが難しい。は誤りです

目からうろこ!セキュリティ対策においても見習うべき、「ある工場の工夫」

[セキュリティ対策に効くクスリ, セキュリティ対策システム]

今回は、世界中から役立つ・面白いニュースを、毎日厳選して配信しているバラエティニュースサイト「らばQ」から、本当に目からうろこが落ちるような、興味深い記事を見つけたのでご紹介します。
 

目からうろこが落ちるほどに「はっ」とさせられる「工夫」とは?

らばQの記事から「こんな記事、一体どこから見つけてくるんだろう?」と毎回思うほどに、いつも面白い記事を見せてくれる「らばQ」。Googleニュースでも頻繁に記事が取り上げられるので、ご存じの方も多いことと思います。

何よりも記事自体がユニークであることが面白さの理由ではあるのですが、記事の見せ方や書きっぷりが、記事のユニークさをより際立たせることに繋がっています。サイトの記事は読まれてナンボ。どんなに役立つ内容だろうと、切り口や見せ方、伝え方が面白くなかったら読んではもらえません。

セキュリティ教育もこれと同じです。教科書的な内容、棒読みの説明、ありきたりな見せ方、仕事とはいえ「やらされ感」たっぷりの「つまらない」教育をするのは、やる方も・やらされる方も、人生の貴重な時間を無駄に浪費してしまうだけです。

折角やるなら、「良かった」と思わせることができないまでも、せめて、人生の貴重な時間を費やしたことに対して「惜しくなかった」と思えるだけの内容を提供するようにはしたいものです。

こんなことを書くと、じゃあこのサイトはどうなのよ?ってツッコミもありそうですが、当然、このサイトも同じです。折角このサイトに来ていただいたのに「時間の無駄だった」とがっかりしてしまうような内容を提供するのは本意ではないので、「らばQ」のような面白いサイトの記事などから、常々エッセンスを学ぶようにしています。日々是精進ですね。

さて、だいぶ前置きが長くなってしまいましたが、まずは「らばQ」の記事から、「ある工場」であった「ある出来事」によって、目からうろこが落ちてしまったお話しをご覧下さい。⇒肝心の記事はこちらをクリック
 

セキュリティベンダーから情報を集めることばかりに躍起になっていませんか?

セキュリティベンダーからは様々な対策製品やサービスが提供されており、製品紹介と絡めたセミナーも盛んです。それだけに、こうしたセミナーに足繁く通い、情報を集めることも、セキュリティ対策のためには必要なことです。

「○○(製品名)を導入しさえすれば、セキュリティ事故の発生が防げます」と、まるで「よく効くクスリ」のように言われれば、導入を考えたくなる気持ちはよくわかります。それさえ手に入れれば解決できるなら、こんな楽なことはありません。

それゆえに、「ある工場」であった「ある出来事」のように、何億円もかけてシステムを導入する。というようなことは、セキュリティ対策においてもよく行われていることです。もちろん、費用がかかっていることを除けば、それはそれで知恵を絞って考え出した対策であり、それ自体は何ら悪いわけではありません。

しかし、何億円もかけて導入したシステムが、たった20ドルのアイデアにいとも簡単に負けてしまうように、その対策は「キリで穴を空ければ済むことに、電動ドリルを持ってくる」ようなことをしていませんか?ということは考えてみてもよいのではないかと思います。

セキュリティベンダーの話を聞くと、「素晴らしい」と思えるような対策も、よく考えてみると「電動ドリル」を使うような対策だったりしないか?

セキュリティベンダーなどから情報を集めることばかりに躍起になっていると、このような視点を持つことをつい忘れてしまい、「ある工場」であった「ある出来事」のようなことを、今度はあなたがやってしまう。なんていうことあり得るかもしれません。
 

たった20ドルのアイデアを生むためには?

「ある工場」であった「ある出来事」は、まさに目からうろこが落ちるような話ですが、このようなアイデアを自組織において生み出すにはどうすればいいでしょうか?

その一つは、当たり前のような話ですが「ベンダーに頼らない」ということです。

情報セキュリティ対策はシステムの世界の話でもあるので、社内システムやWebサイトを構築したベンダーや、セキュリティベンダーなどに対策の提案を求めることも多いと思いますが、彼らが「20ドルのアイデア」に相当するような、いとも簡単に問題を解決する方法を提案することは、ほぼありません。

ベンダーは構築したシステムの延長線上でしか対策を考えないのが普通ですし、仕事に繋がらないようなアイデアや、ましてや契約そのものがなくなってしまうような提案など、例え思いついたとしてもしないものです。

利害関係を越えて、よほど懇意な付き合いをしているなら話は別ですが、第三者があなたのために目から鱗が落ちるような提案をしてくれることなど、通常はあり得ないと考えるべきです。

では、どうするか?というと、その答えは社内に求めるしか有りませんが、実は社内からこそ、活きたアイデアが出るものです。灯台もと暗しとはまさにこのことです。「ある工場」においても、目から鱗が落ちるようなアイデアを考えたのは一介の作業員でした。現場に大いに目を向けるべし。です。

「ある工場」であった「ある出来事」も、最初から現場にアイデアを求めていたら、6億円も浪費せずに済んだかもしれません。しかし、その現場も、面倒くさい作業がなかったらアイデアを思いつかなかったかもしれません。良いアイデアを思いつくには、きっかけが必要です。

目から鱗が落ちるようなアイデアというのは、何もないところからは生まれにくいものですが、きっかけさえ作ってあげれば、生まれやすくはなります。目から鱗が落ちるような、素晴らしいセキュリティ対策を考えつくには、各組織の現場からいつでもアイデアを吸い上げられる仕組みと、各現場がアイデアを思いつきやすいきっかけを常に提供することです。

これは、普段のセキュリティ教育を通じてできることです。「セキュリティ教育」イコール「e-ラーニング」や「集合研修」で学習させること。と、あなたがもし思っているなら、今こそ、セキュリティ教育のあり方にメスを入れ、新たな視点を採り入れるべき時です。

←前の記事へ(
→次の記事へ(
サブコンテンツ

標的型メール訓練なら、標的型攻撃メール対応訓練実施キット!