確かに今日は暖かい

関東地方で春一番　昨年より１１日遅い (共同通信) - goo ニュース
へぇ～、今日「春一番」ですか。去年より11日遅いって、去年は2月中に吹いたのかぁ……。

確かに今日は暖かいです。朝原付で駅まで通勤していても、手が全然寒くなかったですから。
(これでも結構分厚い手袋をしているんですが、それでも指先が冷たくなっていたので。)

今年は桜が咲くのも早いのかな？

企業における「セキュリティ対策」を難しくさせている理由って……

そういう事で言うと、ここ数日賑わしているny騒動との絡みで、企業における情報資産(データであったり、ノートPCであったり)の扱い方に関する論議がアチコチのセキュリティ系blogで書かれていたりする訳ですが……「ノートPCやデータの持ち帰りによる情報漏えいの防ぎ方」で読むと、大別して2つの方向に意見が集約されるのかと……。

持ち帰らせない方向。
そもそも持ち帰る事自体がイケナイ、仕事は会社の中でシロ、持ち帰りなんて論外じゃ!!

持ち帰っても、安全に利用できる方向。
そうは言っても持ち帰るヤツはいるんだから、例え持ち帰っても大丈夫なようにするのが先なんじゃないのか？

個人的には、どちらも「うーん……」という感じ。物事の側面を一方からしか見ていないように思えてならないのですヨ。

一言で「情報システムを利用する」と言っても、組織や立場によっては「利用の性質・方向性」がガラリと変わってしまう事、そして「会社」というモノは、そういった立場が異なる人の集団によって構成されている事が、企業におけるセキュリティ対策を難しくしているのではないかと思えてならないのです。

例えば「営業」「事務」「開発(情シス部門含む)」と軽く分けただけでも、これだけ利用スタイルが異なります。
---

営業の場合。
基本的にデスクにいるより「会社の外」にいる時間の方が多い。下手すりゃ「直行・直帰」当たり前？
仕事するにはモバイル環境（ノートPC＋ワイヤレス通信）は欠かせない。
会社によっては自分専用のデスクなんてモノが営業には与えられない(フリーデスク制な)処も。

事務の場合。
業務アプリを除けば、基本的にはOffice系ソフトとメール・Webが出来れば十分？
ノートPCである必要は薄く、寧ろ画面が広く作業しやすいデスクトップPCの方がベター？
9時5時勤務が基本なので、余程の事が無ければ残業も持ち帰りの仕事も無い？

開発の場合。
机仕事は事務と同じだけど、検証作業等でどうしてもアプリのインストール・アンインストールが頻繁になるので、Local Admin権限は必須。
最近は有益な情報がネット上に転がっているケースも多いので、事務以上にWebを利用する機会は多い？
9時5時勤務は夢のまた夢、残業・仕事の持ち帰り上等。
---
こんな環境で、さてセキュリティ対策をしようと言った場合……

最大公約数的な要素から対策する。

何処か1つの立場をモデルにして、そのモデルでの対策を他のモデルに広げる。(例：今回の場合「営業」から漏れる可能性が高いため、まずは「営業」に対する対策から。その対策を「事務」「開発」に広げるというケース。）

……などの方向性が考えられますが、前者の場合、当然「最大公約数」ですから、個々に見るとまだまだ穴だらけ、後者は確かに1つのケースでは完璧かもしれないですが、他のケースではオーバースペックになってしまい、可用性……と言うか利便性に影響を与えてしまう、という結果になってしまう可能性があると考えられる訳です。

今回のny騒動に絡む「ノートPCやデータの持ち帰りによる情報漏えい」についても、単に「ノートPCやデータ等の持ち帰りが悪い」とか「まずは持ち帰っても大丈夫」だけで論議を終始させていては、勿体無いかなぁ……と。

まぁ、所詮「戯言」なんですけれど(苦笑)。

「エンドユーザ向けセキュリティ教育」は「銀の弾丸」たり得るか？（3/3)

前エントリーの続き。

えーと、最初この原稿を書いていた時から「メールから個人情報が漏れる」ケースを考えていたんですが、書いている傍からこんなインシデントが起きてるし。orz

ゴンゾロッソ再び情報流出、「ナイトオンライン」利用者アドレスをCC送信 - Internet Watch

ダメ過ぎだし。orz ＞ゴンゾロッソ

……話を戻して、「企業が顧客に対してメール(DMやメルマガ等)を打つ」タスクを例に挙げてみると……。
---
（ありがちな手順）
一般的なメールソフトを利用。
送信先のメルアドを「Bcc：」に手入力(コピペ含む)してから手動で送信。

（ありがちなインシデント）
「Bcc:」じゃなくて別の欄（「To:」や「Cc:」、あるいはメール本文でも可）に入力して送信する。
で、個人情報漏えい。orz

（何故起きたのか？）
有体に言えば「作業ミス」。
……でも何で？

前日に飲み明かして、ろくに頭が働いていない状態で作業に臨んだから？

夜の彼女とのデートの事を考えながら作業していたから？

送信予定時間が迫っていて、大慌てで作業していたから？ ...etc...

……でも一番の原因って「一番不確実な『人の手を介する手順』が『脆弱点」になっている」事じゃないかな？

（改善の方向性）
システムなら「脆弱点の解消」なら「修正パッチの適用」「設定変更」が定番。
なら「人の手が絡む部分」は？
……手順自体を見直す事がベター？

例えば……

DM・メルマガ送信専用のメールソフト(or メール送信システム)を導入。

一遍にまとめて送信するから良くないのだから、1人ずつ送信(人手だとまず無理だが、簡単なスクリプトの利用で解決可能だし)。
---
個人的には「教育で対処するだけ」は「精神論」に近いものがあると思っています。
(気合で何とかしろと言われても、無理なモノは無理だし(苦笑)。)

それともう1つ、教育には「致命的な弱点」があります。

遅効性である事。

いくら教育しても「ダメダメな人 orz」が絶対に何人か出てくる事。

そもそも最初から悪さを考えている人には殆ど効果は無い事。

教育だけでなく、様々な方向から解決方向を探る事が出来なくちゃいけませんよねぇ……。

「エンドユーザ向けセキュリティ教育」は「銀の弾丸」たり得るか？（2/3）

前エントリーからの続き。

理由は簡単、「ヒューマンエラー(過失)」は「ヒヤリハット(※)」……つまり「ついうっかり」のケースも含まれるため。

例えば……

睡魔に襲われた状況で、小人さんが作業しているようなケース(笑)。

何か考え事をしていて、目の前の作業に集中できないケース。

時間に追われていて、気持ちに焦りがあるケース。

……なんてのは、単に教育したから防げるかと言われれば「No」ですね。

それこそ「QC(Quality Control)活動」じゃないけれど、例え「ヒヤリハット」なケースであっても、ヒューマンエラー(過失)を発生させる余地さえ無くせば、実際の障害・被害は発生しないですね。
（これこそセキュリティの基本的な考えである「『脅威』『脆弱性』と『リスク』の関係」そのものですね。）

では、実例を……は次のエントリーで。
---
(※)別に英語じゃなくて「ヒヤリとする」「ハッとする」を組み合わせた造語。所謂「ついうっかり」を意味します。

「エンドユーザ向けセキュリティ教育」は「銀の弾丸」たり得るか？（1/3）

情報セキュリティ入門：情報セキュリティ事故の要件と，効果的な対策 - ITPro
（もしかしたら要会員登録なコンテンツかも……。）

正直、この記事を読んで萎えました。
読み進めて「セキュリティ教育」が「銀の弾丸」のような印象を受けてしまったので……(勿論本文には「これだけで完全というわけではない」と記されていますが、でも更に後ろには「これくらいしか手だてがない」と書いてある辺りでアレゲだなぁ……と）。

結論から言えば、「『セキュリティ教育』だけが『ヒューマンエラー(過失)』を防ぐ手段ではない」です。
手順・システム自体がダメダメ　orz　な場合、いくら教育しても過失が防げる訳じゃない……ならば過失を起こさない手順・システムに「改善」するのも解決方法の1つではないかと思います。

何故かは次のエントリーで。

最近は専らスタバかなぁ……＞喫茶店

進化するコーヒーショップ　郊外型や“団塊”向けなど続々 (産経新聞) - goo ニュース
新しい土地に移動すると、決まって探すのは「喫茶店」……理由は「時間を潰せる場所を確保するため」、あまり長い時間ならともかく、微妙な時間（10分程度）でも喫茶店なら楽に時間を潰せますしね。

最近は専らスタバかなぁ……普段通勤途中に立ち寄る某駅近くのお店では、顔を覚えられてしまったのか、店員によっては「いつもの」で注文できてしまうようなケースも(笑)。
(いや、実際にはそうやって自分から注文する事は無いんですが、店員から「いつもので良いですね」と言われる事はある(実話)。)

会社に行く前の場合はアイスコーヒー(ブラック)、仕事帰りはカフェラテ(無脂肪乳に変更)かなぁ……。普通のアイスコーヒーは薄くって^2。
間違っちゃいけないのは、エスプレッソは確かに味は濃いんですが、カフェインの量はコーヒーより少ないという事(抽出方法の違いから)……眠気覚ましに飲んでいるんじゃなくて、気分を切り替える為に飲んでいるという感じですね。
(実は小さい頃からコーヒーを飲みなれているためかねカフェイン慣れしているせいで、カフェインを採っても眠気が取れない……逆に量が多いと眠くなるんですヨ。)

何でnyを使うのが危険かと言うと……

HDDの全内容を公開する「山田オルタナティブ」、Winny利用者以外も注意 - Internet Watch
何でコレを書いたのかと言うと、理由は上の記事の通り、通称「山田ウイルス」の亜種である、通称「山田オルタナティブ」ウイルスが話題になっているためです。

コレの怖い理由はny等のP2Pファイル共有ネットワーク以外にも、メールやWebサイト(ホームページ)からのファイルのダウンロードでも感染する可能性があるからです。
一旦感染すると、ディスクの中身が全てInternet上に暴露(放流)される……当然プライバシーに関する情報も暴露される訳ですから、怖いと言えば怖いですね。

とは言え、対策の基本は変わらず「最新のHotFixは全て当てる」「最新のアンチウイルスソフトを導入する」「でも過信せずに怪しいメールは開かない、怪しいファイルも開かない」を徹底すれば、まずは感染する事は無い筈です。
---
(2006/3/6 15:30頃追記)
情報流出事件多発でWinny接続数はむしろ「増加」 - ITMedia

あああぁぁぁぁぁ～、予測していた「最悪の方向」に突き進んでいるようで(涙)。
(最悪の方向……ニュース等を見て「nyって何？」と興味を持ち、ネットで調べて興味本位でインストールしてしまう事。)

繰り返しになりますが、興味本位で入れて(リスク無しで)使えるような代物じゃありません。＞特にny

それでもnyを使い続けますか？

「それでもあなたは使いますか？」，Winnyの危険性をIPAが再警告 - ITPro
コンピュータウイルス・不正アクセスの届出状況[2月分]について - IPAより。

自分は使いません(キッパリ)。＞ny

キチンと入れる事(使わなくても……です)、使う事のリスクを認識して、覚悟を決めた人ならば、自分は止める事はしませんが、そうでない、少しでも不安に感じているのならば、今すぐ利用を中止し、ny等のP2Pファイル共有ソフトをアンインストールする事、そして最新のHotFixを全て適用した上で、更に最新のアンチウイルスソフトを導入して下さい。

繰り返しになりますが、ny等の(現在の)P2Pファイル共有ソフトは、本当に必要に感じていない(単に便利だからはNG)人、更には必要としていても、リスクをキチンと認識し、それに対応出来る腕(技術)を持っていない人が利用するべきではないのですから。

週末遊戯録#24

久々にまったりモード……まったり出来るのは良い事です、ハイ。
---
土曜は、地元の市営駐輪場の契約手続からスタート。
今年も自分が普段利用している駐輪場は抽選も無く、順当に契約する事ができました。
(抽選が入るのは、同じ最寄り駅でも違う駐輪場だったりします。)
その後は、ヨドバシカメラでPHS(Willcom)の機種変更を実施。今度は京セラ「WX310K」、通称「京ぽん2」……ハイ、例のアレです。京ぽん(1)から2に乗り換えて、やはり入力・文字変換の処理スピードが上がって、大分ストレスを感じずに使えるようになったかと思います。強いて難点を挙げるとすると、キーのクリック感が1に比べてやや弱いのと、改行キーがOperaキーから"#"キーに変わり、1に慣れていた身としては、つい改行の時にOperaキーを押してしまう事位でしょうか？
1の方は、データ等が完全に移行できたのを確認次第、Willcomストアに返却する予定です。

日曜は京ぽん2用のMiniSDカード(512MB)を購入するため、秋葉原へ。某店でPQIのMiniSDカードを\4k程で購入。早速京ぽん2に挿入、本体メモリ上の画像データを移行……ふーん、MiniSDカード上だと32KB単位でメモリが消費されるようだ(即ちセグメントが32KB単位で切られているという事)。
その後はiCafeでのんびり3時間程漫画本を読みながら、昼食(おにぎり+お味噌汁)を頂く。
その後は何をするでもなく、ブラブラしてから帰宅。
うーん、たまにはこんな無為に過ごす日ってのも良いものです。