2016年2月4日
2016年2月4日
2016年2月4日(木)
できることからはじめるセキュリティ
一般社団法人セキュリティ対策推進協議会(SPREAD)
平田 真由美
スマホの画面ロック。あなたはどちら?
「なにそれ、いちいちめんどくさいじゃん?」
「あたりまえでしょ。かけてないとかあり得ない。」
ここを読んでいる人ならば、もしかしたら「当たり前」と言う人が多いかもしれませんね。でも、2014年のマイナビの調査では、スマホユーザーの半分程度しかロックをかけていないと発表されていました。2013年のマカフィーの調査では3割の人しかスマホにロックをかけていませんでした。
どうしてセキュリティがなかなか普及しないのか?
『めんどくさい』が大きな理由の一つだと思います。
難しいから、わからないからといった側面もありますが、実際には利用している機器を最新の状態にしておくことで、おおむね危険の少ない状態にできますし、ウイルス対策ソフトもウイルス対策以外にも様々な機能で守ってくれます。ネットで動画をみたりショッピングしたりするだけなら難しい技術を理解する必要はありません。
セキュリティに限らず、必要だとわかっているけど面倒でなかなかやらないことって、案外たくさんありますよね。
勉強すればテストでいい点が取れるだろうけれど、面倒でなかなか進まず…。
運動すればダイエットできるだろうけど、面倒で今年の健康診断が憂鬱…。
そもそもITって面倒だったことが簡単にできる!便利!なものなんじゃなかったっけ…?
詳しい人にしてみれば最新の状態にするくらい自動でやってくれるでしょ、と思うでしょうが、実際には多くの”普通の人”は使うときにパソコンの電源をいれ、使い終わったら電源を切っちゃいます。そしてたいてい自動アップデートがおこなわれるのは夜中、こう言う使い方をしていると、電源が入っていないので当然自動でアップデートはされません。
しばらく使わなかったパソコンの電源をいれたらアップデートが始まり使えなくて困った!そんな経験をすると、アップデートすると使えなくなるからあとにしよう、というようになってしまいます。
追い打ちをかけるようにFlashだ、Javaだ、ドライバーだ、ウイルス対策ソフトのアップデートだって、”普通の人”には面倒くさい。
さらに面倒なのに、「やらないと大変な事になるよ」と脅され、とりあえず「OK」のボタンを押すようにしたら、今度は変なソフトが入っちゃってまた怒られる。もうパソコンなんて使いたくなくなっちゃいます(笑)
しかもこれはまだ序の口。不正アクセス、不正送金、プライバシーの漏えい、SNSが乗っ取られる、どれだけ危険でどれだけ対策しないといけないんですかと。
安全に使うためには全部必要なんです!と言うしかない…のでしょうか?
私たちは生きているだけで毎日いろんな危険にさらされています。交通事故にあうかもしれない、スリにあうかもしれない、詐欺にあうかもしれない、泥棒にはいられるかもしれない… これら全てのリスクにそれぞれに十分な対策をとっていますか?絶対安全だという環境で暮らしていますか?
すべてのリスクに全力で対応していたら生活ができません。でも、銀行で大金をおろすとき、一応周囲を気にしてかばんにしまったり、家の鍵を締め忘れないように注意したりしますよね。セキュリティってそういうものだと思うのです。危ないからといって全ての対策を一度に押し付けられたらたまりません。とりあえずは必要な分だけで良いのではないでしょうか?
まずは、家の鍵をかけるようにスマホにロックをかける、家の窓が割れたまま出かけて空き巣に入られないように、OSのアップデートをする。そんな風にできることから始めて行く事が大切なんじゃないかと思います。
一緒に始めて見ませんか?「できることからはじめるセキュリティ」
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年2月4日(木)
セキュリティ営業の想い
トレンドマイクロ株式会社 公共・産業営業本部 産業営業第3グループ
廣石 雅義
セキュリティ業界で13年営業をしているがここ2,3年、今までにない「使命感」を強く抱くようになった。担当する顧客をサイバー攻撃(弊社では持続的標的型攻撃と呼んでいる)から守りたい、という想いである。
日本では2011年から本格化したサイバー攻撃であるが、まだまだ被害に遭わない企業では対岸の火事と捉えているところが多いと感じる。それでも会社トップ、CIOからは世間で標的型攻撃の被害報告がニュースに流れる度にお決まりの言葉が下りる。「うちは大丈夫か?」 その言葉に呼応してIT部門では社内状況の確認と並行してその被害実態、主に攻撃手法や対応の不備について情報を集める。
2015年6月に世間を大きく騒がせたある組織の標的型メールから始まった個人情報の漏えいインシデントが、皮肉にも多くの組織でサイバー攻撃対策に本腰を入れさせた。弊社でもインシデント被害に遭った組織へ有償による調査や復旧サービスを提供しているが、当方はこのサービスを利用される前つまりサイバー攻撃に遭うまでに対策へのかじ取りを始めて欲しいと願って営業に取り組んでいる。何も弊社の対策製品を導入・運用することのみを提案しているのではない。その前に費用を掛けず組織でやれる、見直すべき点は多くある。
例えばフリーメールアドレスからのメール受信を止められないか、止められる部署はないか。Internet Explore(IE)の利用見直し、ウイルス対策ソフトの予約検索を一週間に一度実施しているか、脆弱性の修正ソフトの即時適用などなど。
これら対策製品の提案だけでなく、実際のインシデントから学んだ運用の見直しを提起することがIT運用の棚卸の促進と今後の対策方向性を考えて貰う「きっかけ」になると信じて日々取り組んでいる。
各組織、抱えている事情がそれぞれある。その事情が時に脆弱性の修正ソフトを即座に充てられなかったり、フリーメールアドレスからのメール受信拒否が出来なかったり。 こうした事情を我々が汲み取り代替の対策を提案し、一緒に組織のセキュリティレベルを向上する施策を考えていくことが最も大事だと日々の営業活動を通じて強く感じている。 組織内の人的教育も大事な事だと信じている。攻撃するハッカーも、真っ先に狙われる一般社員も組織を守る最前線に立つIT部門も協力する我々セキュリティベンダーも相対するのは‘人’なのだ。
今後我々は顧客の大事なビジネスパートナーにならなくてはならないと認識している。 顧客には単にウイルス対策ソフトベンダーではなく、その組織のITセキュリティを一緒に高める同志だと認識して貰うこと。
この想いがセキュリティ営業の、当方の使命である。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。