こんにちは、インフラサービスチームの吉野です。
前回は米Appleで発表されたOSの脆弱性を例に挙げながら、“脆弱性”と”意図的脅威”についてお話しました。
今回は前回の続きとして、“偶発的脅威”についてお話したいと思います。
“偶発的脅威”とは
偶発的脅威とは、その言葉通り「偶然、たまたま起こってしまった脅威」です。
一番わかりやすいところですと、ヒューマン・エラー(うっかりミス)ですね。
操作ミスや設定ミスが原因で発生したインシデントやトラブルのことです。
BCCにしなければいけないのにCCとしてしまったことでメールアドレス(=顧客情報)を流出してしまった、といったことが挙げられます。
また、故障や停電も偶発的脅威の要因の一つです。
急に機器などのIT基盤が故障することで、業務ができない、といったトラブルが考えられます。
防止策
ヒューマン・エラーは、私たちが人間である以上、避けられませんし、人間誰しも慣れてくるとどうしても流れ作業になったり、注意が散漫になったりするものです。
ですが、チェックをチェックシートを用いて、2重・3重にチェックを行ったり、一つのミスが大きなインシデントにつながるような作業を行う際は、作業者と確認者などの役割を設けることで、発生確率を下げることができます。
また、機器の故障や停電に対しては、機器や回線を冗長化させて片方の機器が故障してももう片方の機器で継続できる構成にしておいたり、UPS(無停電電源装置)を導入したりすることで、発生確率を下げることは可能です。
ただし、それでも発生してしまうこともあります。
ですので、発生してしまったときのために、バックアップをこまめに取っておく、緊急時の連絡先を用意しておく、インシデント発生時の動きをおさらいしておく、
など「インシデント対応マニュアル」のようなものがあると安心して業務や作業が行えるのではないでしょうか。
最後に
トラブル、、、考えただけで嫌な気分になりますね。
一番の防止策は、「絶対にインシデントを起こさない!」と思いながら、緊張感を持って業務に向かうことなのかもしれませんね。
参考文献
IPA「情報セキュリティ10大脅威 2022」
https://www.ipa.go.jp/security/vuln/10threats2022.html