筆者が提唱する周知方法「ビしし・メソッド」
やはり周知は、メールが主体で、次のような特徴があります。・メールの文字は目立つベタ打ちで、添付ファイルやリンクを見なくても分かる平易なものとする。・1通に含まれる内容は、1~2件・全従業員に一斉メールで送り、庶務担当などの中継の手間(忘れるかも)をかけない。・頻繁に送る。・末尾に関係ない興味を引く話を入れる。
YEAR
2024年
CSIRTからのよくある周知方法(アリバイ周知)
どこのCSIRTでも頻繁に従業員へ周知活動を行っていると思います。 従業員に伝えたい情報セキュリティの知識は、実に多いです。脆弱性情報だけだって、頻繁に相当な量の周知を行っているはずです。よくあるのは、メールに添付ファイルかリンクを掲載して、全従業員に送ります。庶務担当みたいなところへ送って、そこから全員に転送してもらうなんてことも多いのではないでしょうか。 私が思うには、「またか」とか「知ってい […]
まずはシステムでできる対策を
従業員の心がけだけで、インシデントをすべて防ぐのは無理です。 情報システム側の仕組みで、できるだけカバーすることを考えます。メール誤送信防止については、様々なソフトウェアが発売されています。また、きちんと証跡が残る仕組みにしておくことで、不正を発覚させることができ、不正を予防することもできるのです。 具体的なソフトの名称等はここでは、差し控えます。
従業員が起こすインシデントの要因(独自分類)
従業員がインシデントやイベントについては、私は、次の4つに分類してみました。1 不正2 面倒3 無知4 うっかり 1の「不正」は、悪いことを知っていて、故意に個人情報を持ち出して、売ってしまう、みたいなケースです。故意にやるので、情報システムなどの抜け道を探られたりします。知識はあるので、通常の周知では効きません。この不正については、「不正のトライアングル理論」もあるので、また別途考えたいところで […]
なくならない従業員のインシデント(イベント)
どこの組織のCSIRTも一生懸命、注意喚起しています。 それでも、メールの誤送信など、インシデントとまで言えないイベントも含めて、従業員から報告が上がってきませんか。そこを何とかしようと、試行錯誤しているのが筆者です。 一方、情報システム管理者としての情報セキュリティ対応も、大変は大変です。ただ、自分たちでなんとかできるところもあり、予算や人員など別な制限も考慮しつつ、徐々に推進できるのではないで […]
企業CSIRTの皆様、情報セキュリティインシデントでお困りではないですか?
筆者は、大学を運営する法人のCSIRTをやっています。 日々、電子メールの誤送信などのインシデント(というよりイベント)が発生し、経営層から怒られています。 経営層が怒るのは、やむを得ないとして、CSIRTが言われるのは仕方ないかと思っています。状況にもよりますが、うっかりミスをした従業員への叱責や罰を与えるというのは、私は効果がないと考えています。 どうしたものでしょう。 順に考えていきたいと思 […]