この前、新入社員(以下、新人)に面白い課題を出した。






課題は、ネット上の私を探してください

課題というのは、ネット上の私(こうへい)を探してというもの。
リアルだけの情報から、ネットの情報を引き出せるかを試したかった。


まぁ〜探索能力を鍛えたいというのが、本当の趣旨だが。

期限内では見つからなかった

期限は半日だったので、短い気がするけど、自分が調べてみたら、実は、今まで得た情報で、簡単に引き出せる方法があった。
#もう、引き出せないように変えた

だけど、それに気づかなかったらしく、期限内には見つからなかった。

とある日、ブログのアクセス数が膨大なことに気がついた

それから、数日後、ブログのPVが増大しているのに気がついた。
そして、その新人を問い詰めた(いやな言い方だ…)ところ、私の画面を見て、発見したとのことでした。

漏れた原因は私である

本来であれば、カンニングと思う人いるだろうが、ソーシャルエンジニアリングは、その人知る上では、常識中の常識。
カンニングという概念は存在しない。

それに、机を荒らしたり、机の中を見たりすることまでには、やっていない。

ここで、重要になるのが、OpSecだ。

OpSecとは?

OPSEC(運用上のセキュリティ)のための10の秘訣

運用上のセキュリティ、つまり、OpSecはライバル企業や他の利害関係者が使用するメソッドを収集するといった積極的な諜報活動に対抗するための自己防衛の取り組みの中で、多くの組織にとって必要不可欠なものです。

OpSecとは、運用のセキュリティという意味。 知られてはいけない情報を守る手段として使用される。
まぁ〜よくPマークのチェックシートで行われているようなことです。

重要な情報は、どんな手段を使っても、守らないといけないのである。
上記のサイトは、わかりやすくマンガ形式にしてある。

ソーシャルエンジニアリングが一番危ない

情報漏洩の原因の一つに、内部犯であり、ソーシャルエンジニアリングである。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングの対策|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト

ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。

今回は、私のPC画面を見て、発見したのだが、これが悪用されると、重要な情報の漏洩になってしまいます。
この辺は、私の意識が薄かったとしか言いようがなかった。
あの位置から、見られるとは思いもよらなかった…

ということで

OpSecを習ううえで、非常に参考になりました。

おまけ

画面の漏洩(?)以外で、ネット上で私と現実の私を紐づける情報はありませんでした。
なので、ちょっとした情報が、漏洩になることを覚えておかなければならない。

ソーシャル・エンジニアリング
クリストファー・ハドナジー
日経BP社
売り上げランキング: 354,827




読んでいただき、ありがとうございます。
カンパを募っております。
お返しに、自作仮想通貨(トークン)
KWDCOIN(カワダコイン)をお渡ししています。
詳しくは、こちら。

ご支援のほどよろしくお願いいたしますm(__)m