セキュリティって「人」が大事ですよと言う話

今日はITのセキュリティで本当に大事なのは使う人の感覚だよ、と言うお話です。

世界的に大きな事件の真っ最中と言う事もあって、関連が疑われたトヨタの操業停止、大きなニュースにもなったので一瞬トヨタのシステムに障害が？　と言う勘違いも生まれていましたが、どうやらトヨタの取引先企業のセキュリティ事故がトヨタに影響した、と言うのが正しい状況だったようです。

詳細はニュース等一次情報を確認していただくのが良いと思いますが、この話題に触れられているTwitter等を見ていると、昨今話題のDXやデジタル庁と絡めてセキュリティ対策は必須と言った論調が多い事に気が付きました。

確かに日本はセキュリティが甘いと言う意見は多いですし、事実セキュリティ事故も増えてきています。

セキュリティ投資額も十分とは言えない企業も多いのですが、今日本でニュースになるようなセキュリティ事故で大切な所は、概ね「人」である事はあまり知られていない所が気になりました。

そんな事言われてもセキュリティって難しそうだし良く解らない事も多いし、そのためのセキュリティへの投資じゃないの？　そう思われる方も多いと思います。

セキュリティのプロじゃない人を守るためのシステムへの投資が必要である事は間違い無いですが、セキュリティシステムへの投資は、何も解らずに使う人を完全に守ろうとすると莫大な費用が必要です。

これは高度な攻撃ほど巧妙で、防御のためには高価で専門的なシステムが必要になる事が原因です。

さらに、高価で専門的なシステムが必要になるほどの攻撃は、普通の企業ではあまり体験する事はありません。そういった高度な攻撃は仕掛ける側にも相応の技術力とシステムが必要である為、高コストな攻撃方法になり、攻撃側も相応のリターンが見込める状況でなければわざわざ実行しようとはしないため、一般的な企業に対しては頻繁に行われません。

そうなると企業としてはたまにしか無い、そもそもあるかも解らない攻撃用のシステムを購入するのはコストパフォーマンスが悪いと判断して、比較的頻繁に発生する攻撃に対しての一般的なセキュリティシステムを構築する事になります。

また、一般的な企業で利用されるPCや社内システムの開発メーカーも、簡単に実行できるような攻撃方法は防げるようシステムをアップデートし続けていますから、素人が簡単にウイルスに感染させたり、情報を抜き取ったりは出来なくなっています。インターネットの黎明期に比べれば、PCやインターネットの利用はずっと安全になっているのです。

では昔よりずっと安全なはずのコンピュータシステムで、なぜ事故が相次いでしまうのか。

それはシステムを扱うのが「人」である事が原因です。

これはシステムを扱うには知識が必要だとか、スキルが必要だと言う事ではありません。

もちろん無いよりはある方が良いですが、もっと根本的な部分で覚えておいて欲しいのは、知識の有る無しというよりは、信頼や信用と言った心がある事、精神的な部分が、最も守り難くて最も強固なセキュリティだと言う事です。

より高度で巧妙な攻撃は高コストである、と説明しましたが、では低コストな攻撃方法があるのでは？　そう思った方、素晴らしいです。

まさにその低コストな攻撃方法が、システムを利用する「人」を攻撃する事です。

情報漏洩やシステム障害と聞くと、営業時間外に外部からネットワーク越しに攻撃され、気が付かない内に情報を抜き取られたりウイルスを仕込まれたりするような気がしますが、それは高コストな攻撃方法になります。

細かい技術的な所は省きますが、各企業ごとに異なるハードウェアとソフトウェアを組み合わせたセキュリティを突破して、社内のシステムにアクセスするのは相応の時間と労力が必要ですし、何よりリスクも高くなります。

また、その情報をお金に換えるのにも手間がかかります。

そのため、現在は低コストで低リスクな「人」を攻撃する方法、大量のメールをばら撒いて引っかかった所から直接お金を払ってもらうフィッシングやランサムウェアが攻撃の主流となっています。

フィッシングは有名な通販サイトの偽サイトへ誘導したり、宅配便からの連絡を装ってIDやパスワード情報を騙し取る攻撃方法、ランサムウェアは起動するとPCや接続されたシステムを丸ごと暗号化して使用不能にする事で、システムの復元のための金銭を要求する攻撃方法です。

現在運用されているほとんどのシステムでは、ファイルは人の操作無しに勝手に動いたり出来ません。

過去の反省から、勝手に実行出来るようにしておくとウイルスやスパイウェアがシステム内に入り込んでしまう為、起動する、実行するといった操作は、「人」が行うよう設計されています。自動で実行するよう命令されていても、実行しても良いですか？　とPCが確認してくれます。

そこで攻撃する側が考えたのが、社内システムを利用するユーザーにウイルスを実行させる、「人」を攻撃する方法です。

そう、はるか昔から廃れる事無く次々と新しい手法が編み出される、基本の犯罪手法である詐欺の応用です。

ウイルスを安全なファイルだと誤認させたり、アクセスしたサイトが正規のサイトだと誤認させたりするフィッシングや標的型攻撃メール、スパムメールがそれにあたります。

コンピュータを媒介にしていますが、今皆さんが出会うサイバー攻撃の殆どは形を変えた詐欺なんです。

それこそがセキュリティで大切なのは「人」だと言う理由です。セキュリティ対策が進み、より安全になったからこそ、攻撃の目標は攻略方法が解りやすく、判断を誤ってくれる可能性の高い「人」になったのです。

セキュリティシステムはウイルスやスパイウェアだと判断すれば自動で削除してくれたり防御してくれたりします。ですが、それは判断出来た場合だけです。

ちょっと文章が怪しいとか、署名が無いとか、送信元の名前が違うと言った、人間から見てちょっと怪しいメールは判断出来ない場合がほとんどです。

攻撃する側は手を変え品を変え、何とか怪しいメールを開かせよう、ファイルを開かせようとします。

セキュリティシステムから見ると、コンピュータのルールの通りの形式で作られているために偽メールであると判断出来無いメール。
これに騙されてしまうのは中身を読んで判断する「人」ですが、この偽メールを怪しいと感じる事が出来るのも「人」ならではの能力なんです。

将来的にはセキュリティシステムが判断してくれるようになるかもしれませんが、今はまだ難しいのが実情です。

なんかちょっと怪しい。そう感じた時にこそ、詐欺の基本を思い出して確認してください。

殆どの詐欺メールや詐欺サイトはインターネットで確認したり、同僚や上司、家族やお友達に確認する事で騙されるのを防げます。

これもアナログな詐欺と変わりません。

セキュリティシステムがあるから大丈夫。
攻撃する側は、この気持ちを利用してきます。
サイバー攻撃を完璧に防いでくれるシステムが出来たとしても、攻撃側は新しい方法で人間を騙して情報やお金を盗み取ろうとしてくるでしょう。
だからこそ、セキュリティの最後の砦は使う人の感覚です。

コンピュータにはまだ出来ない「なんかちょっと怪しい気がする」は、これからしばらくの間、とても大切なスキルです。是非大切にして下さい。

確認し過ぎて悪い事はありません。
相手はその確認を「まあいっか」と怠ってくれる事を期待しているのです。
確認して被る不利益より、確認しない事で被る不利益の方が圧倒的に大きい事を忘れないでください。

メールやサイトを見た時「ちょっと引っかかるから確認しよう」そう感じたら、その感覚を大切に、より安全に便利にシステムを使っていきましょう。

最後まで読んでいただきありがとうございます。
次回以降も出来るだけ専門用語を使わずお話出来たらと思っているので、
気になるネタがあったらお読みいただけると嬉しいです。