2017年3月9日（木）

『全員参加型のセキュリティ』のための三本の矢

 F5ネットワークスジャパン合同会社
 セキュリティソリューションアーキテクト　谷村　透

　インターネットバンキングやクレジットカードの不正利用が2017年のIPA 10大脅威個人のエリアでのトップになっている。不正送金を目的としたマルウェアによる被害は金融機関の努力による様々な対策が提供されているものの、被害が終息する状況にはいたってない。
 
　サイバーセキュリティ月間にあたって、改めて『全員参加型個人のセキュリティ対策』を促進するためにやるべき3つの重点項目を考えてみた。
 

• 　なぜ対策が必要か？ 
• 　もっと使いやすく
• 　社会全体でサポート

 
[1]. なぜ対策が必要か？
　セキュリティ関連業界の人は脅威やリスクを当たり前に理解していることでも、多くの人達が同じレベルで理解しているか？というと必ずしもそうではない。最近のサイバー攻撃は金儲けのためにプロフェッショナル集団がやっているわけで、すなわち彼らは生きるために真剣勝負をしているのである。そうした社会を根絶させる大きな視野で目の前の事象を理解するべきだ。その意味での啓蒙活動や、よりいっそうのセキュリティ対策の普及促進活動が必要だ。メディア・マスコミとの更なる取り組み、街頭のサイネージ、YouTubeなど認知促進などまだまだできることがあるはずだ。かくいう自分自身も家で夕食時にたまには「不正送金対策」「ランサムウェア」「コンピュータウイルス」について「被害にあったらどうなるか？」「被害に合わないためにはどうしたらよいのか？」「対策製品をいれるとどうありがたいのか？」をもっと身近にわかりやすく技術論ではなく、一般消費者目線で家族に話しをする必要がある、と反省している。
 
[2]. もっと使いやすく
　次に、セキュリティ対策普及のためには製品のさらなる使いやすさの向上が必要である。特に何かイベント検知時のメッセージとユーザアクションに関してはよりユーザ目線でのデザインが必要だ。特に対策製品が多機能になればなるほど難しいケースがでてくる。例えばクライアントFW機能のついた製品は時として、『ファイアウォールルールを変更するかどうか？』という類のメッセージがでてくる。正直業界に身をおく私自身もこのようなメッセージは一番困りものである。なぜこのメッセージがでたのか、変更したとき・しないときの影響が明確に判断できないことが多い。私自身も結局よく確認せずに続行するのだが、業界外の多くの人にはさらに不親切極まりないものに映っていることだろう。高機能と使いやすさは相反するかもしれない。リアルタイムにチャットでサポートと会話できる機能を作るとか、もしくは抜本的にセキュアなシステムを作る必要がある。このエリアはたゆまぬテクノロジーの進化と開発が求められるところかと思う。
 
[3]. 社会全体でサポート
　最後に、対策導入のためにはお金がかかる。仮に年間数千円としても10年20年のスパンで考えると決して安い金額ではない。個人の対策に関しては、この負担をもっと軽くする仕組みの検討が必要だ。費用がかかるがために対策を先送りにしたりすることで結局被害に遭遇するケースがあると思う。そうするとダークサイド側が潤う。そうしたマネーフローを根絶するための施策が求められる。
　予防的対策として皆が導入しやすくするためには、経済負担を軽くするサポートが必要なのかもしれない。社会全体の問題であるならば、思い切った税金還付や補助金といった具体的な公的支援の検討も必要だ。今後所有する機器の台数は増えても減りはしない。また、PCやスマートフォン以外のネットワーク接続機器（いわゆるIoTデバイス的なもの）も増えてくる。もしくは"Security by Design"を突き詰めると最初から対策製品がインストールされていて、毎年の更新費用も含まれているような仕組みも検討するべきである。これは一企業内で考えることではなく、官民合わせたセキュリティ業界のビジネスモデルやエコシステムの変革が必要かもしれない。
 
　以上、私が考える全員参加型のセキュリティ対策を定着させてサイバー事故を根絶させるための三本の矢である。私自身も、勝手なことをいうだけではなく、セキュリティ業界に身をおく一人としてできることから手がけていきたい。