2016年2月15日
2016年2月15日
2016年2月15日(月)
人の心の脆弱性とサイバーセキュリティ
株式会社ラクス クラウド事業本部 カスタマーサービス統括部 ネットワーク部
部長 竹田 昌男
私は、株式会社ラクスでクラウドサービス(Saas)のネットワーク、サーバー管理の責任者をしております。弊社は、昨年12月に東証マザーズに上場し、企業としての社会的責任の大きさをひしひしと感じているのが現在の私の心境です。
ネットワーク、サーバー管理者としては、お客様に安定してサービスを提供することはもとより、お客様へ安全なサービスを提供し続けることに、より強い意識を持つ必要性を感じています。
情報セキュリティの1つの注目キーワードとして「標的型攻撃」というのがあり、我々ラクスが上場をしたことによる知名度の上昇により、この「標的型攻撃」の脅威が増したのではないかと考えています。自分自身に火の粉が降りかからないと、対岸の火事的に「大丈夫だろう!?」と思いがちになりますが、世の中で起こっている情報セキュリティ問題を、まずは自分事に置き換え、他社事例技術研究等を通して、自社内に他社からの学びを受け入れていく行動をすべきとも考えています。
「大丈夫だろう」「大丈夫と思いたい」という心の弱さは人間誰もが持っています。自分の心の脆弱な部分をしっかり認識し、「人間が作ったものは完璧ではない」という前提条件を踏まえた上で、自分の弱い心、そして人間が作った不完全な技術に常に向き合うことに尽力をしたいと考えています。
ただ、現代の情報セキュリティの現場で起きている事故を、「内部要因」、「外部要因」に分けると、「内部要因」=8割、「外部要因」=2割という状況です。この事実を受け止めて、この8割に及ぶ技術要因外の「内部要因」による情報セキュリティ事故を絶対起こさせない企業へと成長していく必要性も、今、強く感じています。そして今、私は、働く人達にとって、企業がどういう存在であるべきかが問われている状況だと思っています。
世の中は、昔に比べて世知辛く、協働者間の関係も気薄になった言われています。
内部要因での情報漏えい事故を起こす要因としては、企業で働く人たちの心の貧しさ、人間関係の気薄さを、私は感じざるを得ません。この企業風土・文化が人の心を貧しさへいざない、人の心の脆弱性に「自分だけが得をしたい」という考えを増殖させているように思います。
私は企業、仕事は人の心、精神を豊かに育むもの、そうできるものだと考えています。ビジネスの場は、つらく・厳しい局面もたくさんありますが、共に働く経営者、管理者、現場の全体がしっかりビジョンを共有し、つらい事も一緒に乗り越える行動ができる文化の醸成が最重要だと、経営視点を持つビジネスマンのはしくれとして強く思っています。
そうして共に働く人達同士が信頼で結びあえている企業ほど、お客様、企業、そして自分達を守れる本当に強い企業に育つと確信しています。
企業は技術だけでなく人によって成長し、守られる。その事を世の中の企業経営に携わる方々に強く認識していただきたいと思います。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年2月15日(月)
専門家でない私が「セキュリティを語っている理由」
株式会社日立ソリューションズ
武田 一城
私は、大きなシンポジウムやIPAやメディアが開催しているセミナーなどでの講演経験があり、webでの連載記事も毎週のように公開されている。こう聴くとトップガンなどと称されるセキュリティの専門家の一人だと思われるかもしれない。
しかし、私はセキュリティの専門家でもなければ技術者ですらなく、ただのIT分野のマーケティング担当にすぎない。ただ、マーケティングという業務は将来を予測することと同義とも言える。つまり、この業務の経験から過去の経緯を踏まえ、「将来における有効なセキュリティ対策は何か?」という観点でセキュリティ市場の状況を常に捉えようとしている。
■攻撃者は最も弱い部分を狙う
対策を考えるには、攻撃者の考え方を知らなければならない。攻撃者はコストがかかる堅牢な箇所は攻めない。経済活動で攻撃しているので費用対効果が重要だからだ。そのため、常に弱い箇所を探している。
また、システムは一定のセキュリティ対策が施されていることが予想されるので、より狙われやすいのは人間だ。つまり、攻撃者は一番脆弱な人間を狙う。だから、標的型と呼ばれる攻撃も、まず脆弱な人を目がけてメールを無差別に送信する。
■一般市民を無差別攻撃する理由
人間を狙う場合、屈強な軍人のようなセキュリティの専門家を狙うより一般市民を狙うことが常套手段だ。これは、テロリストが無防備な市民を攻撃するのと同じだ。このテロで使われる爆弾がメールに添付されるマルウェアとなる。テロリストも攻撃者もできるだけ少ない労力で大きな効果を挙げたい。無差別メール攻撃も、ほとんどの場合効果は限定的だ。だが、被害を受けた人が経営層だった場合などは大当たりだ。一発で重要な機密情報に手が届き、大きなリターンが見込める。そうでなくても、踏み台利用などで、少ない労力でそれなりの効果が見込める。
■安全と水は無料ではない
日本では、「安全と水は無料」という意識が強い。大陸から程よい距離で文化や文明が伝わる割に他国から攻撃を受けにくい地政学上の位置がその原因だろう。
しかし、現在のインターネット社会は皆さんと世界をダイレクトに結ぶ。そこには地政学上のメリットは無く、さらに攻撃者は一般市民や子どもだからといって手を抜くこともない。だから、世界と直結している皆さん自身がまず危険を避けることが重要だ。
■対策の裾野を拡げることで強固な防御をつくる
最も脆弱な箇所を対策できれば、全体として防御は強固になる。その意味で「セキュリティなんて自分には関係ない」と言っている一般の方が最低限のセキュリティ意識を身につけることに意味がある。ここでいうセキュリティ意識は、例えば「PCを購入したら、拡張子を表示するようにする」このレベルでよいのだ。
そのため、私は講演や執筆の機会には『進撃の巨人』や『下町ロケット』のように身近な題材で話をするようにしている。「セキュリティなんて自分には関係ない」と言っている方が、最低限の意識を持てば、その分だけ日本は安全に暮らせる国になるだろう。
■セキュリティの専門家に求められるもの
そして、一般の方たちの意識が高まった時にセキュリティの専門家は不要かというと、そうではない。専門技術を使って「人をサポート」または「ミスをサポート」する仕組みを作ることだ。どれだけ意識を高めても人がミスを犯さなくなるわけではないからだ。
多くの時間と高いコストを払って身につけたセキュリティ技術は、高額なセキュリティ対策製品やサービスを売りつけるためにあるのではない・・・と私は思いたい。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。