第22回：情報セキュリティ・原理原則３項目 【澤円の連載コラム】

こんにちは、澤です。

ボクはマイクロソフト時代に「サイバークライムセンター」というチームの責任者をさせてもらっていました。
これは、物理的な何かの施設を指しているというよりは、組織横断で結成されたサイバー犯罪に関する情報発信を行うチームでした。
ここでの体験は本当に学びが多く、今のボクのキャリアにも大きく役立っています。
今は、セキュリティそのものを仕事にしているわけではないのですが、あらゆる場面でセキュリティの知識を前提に考えることができるようになりました。
今回は、セキュリティに関して全てのビジネスパーソンに知って欲しい「原理原則」をお伝えします。

＜原理原則その1：あなたはすでにお客様＞
サイバー犯罪というのは、実に儲かるビジネスです。
色々な計算によってROI＝対投資効果が算出されていますが、軒並み1,000％を超え、やりようによっては15,000％なんていう数字が叩き出されることもあります。
なぜここまで儲かるかといえば、「コンピューターを使うあらゆる人間がお客様」になっているからです。
お客様、ということはお金を払うという立ち位置なわけですが、問題は「得るものは何もない」ってことなんですよね。
サービス提供しなくてお金だけ取るんだから、そりゃ儲かりますよね。

例えば、ランサムウェアという攻撃手法があります。
パソコンにあるデータを全て暗号化することで読み書きをできなくして、元に戻すためにお金を払わせるというやり方です。
お客様であるあなたが得るのは「元に戻る」という体験だけ。
厄介なのは戻る保証もありゃしないということです。
ちなみに、感染するのはめちゃくちゃ簡単です。
一つファイルを開くだけ、リンクをクリックするだけで、あっという間に感染してしまうのです。
感染するのは一瞬、戻すのは膨大な時間がかかる。
ありがたくない顧客体験ですよね。
ちなみに「私なんか狙っても仕方がない、そんな大事なファイルは持っていない」という発想は無意味です。
サイバー犯罪者は、ある意味とても平等です。
コンピューターを使っている人を、分け隔てなく大事な顧客として扱います。
顧客になる・ならないを決めるのは、あなたではないのです。

＜原理原則その2：攻撃は必ず成功する＞
「サイバー攻撃を受けないようにするにはどうすればいいですか？」という相談を受けることがありますが、これは無理な話です。
先ほどお伝えした通り、人類は皆全て「お客様」としてエコシステムに組み込まれています。
そして、攻撃対象になった時、ほぼ確実にその攻撃は成功します。
攻撃と防御において、攻撃側が圧倒的に有利なのは自明の理です。
防御だけで勝負に勝てるわけがないですからね。
「そんな身も蓋もない・・・」と嘆かないでください。
ここで言っている「攻撃が成功する」と「完全に敗北する」は別の話です。

格闘技をイメージしてください。
ボクシングにおいて、相手に全く触らせずに勝つというのはどれほどの実力差があっても、なかなかできないものです。
相手が様子見で出したパンチが、ガードの上に軽く当たったり、避けるために一歩下がったりすることは、「攻撃が一定の効果を挙げている」と定義できます。
ここでポイントになるのは「攻撃はされているが致命傷には至っていない」ということなのです。
サイバーセキュリティにおいて大事なことは「致命傷を受けないこと」であって、「一切攻撃を受けないこと」ではありません。
例えば、情報漏洩を例にしましょう。
情報漏洩は企業にとって非常に厄介なものですが、最大の問題は「漏洩したこと」そのものではなくて「漏洩したデータが使える状態であること」なのです。
氏名、電話番号、口座情報がまとめて漏洩すると、盗み出した側としては色々な使い道があります。
しかし、苗字のリストだけが漏洩して、かつそれが暗号化されていると、盗んだところで使い物になりにくいよね、という考え方です。
攻撃は確実に届くという前提のもと、「何が致命傷で、そうならないようにするにはどうすればいいか」を考えるのが重要です。

＜原理原則その3：最新であることが最強＞
スマートフォンやパソコンに一定周期で巡ってくる「更新」。
面倒だなって思う方も少なくないでしょう。
でも、これは「すぐにやる」が鉄則だと心得てください。
更新プログラムがオープンになっているということは、「ここに問題がありますよ」という情報が全世界にアナウンスされたことを意味します。
つまり、「今、この住所の家は鍵が開いていますよ」と触れ回っている状態なのです。
更新プログラムを当てると、この鍵をしっかりと締めることができます。
「更新プログラムを当てると、既存のシステムが動かなくなるかも」という理由で、更新を先延ばしにしたがるユーザーに何度も遭遇したことがあります。
これ、相当ヤバいですね。
「ことの重大さの順位づけ」ができてないのは、めちゃくちゃヤバいことです。
更新プログラムによって会社のシステムが動かなくなるのは、確かに問題がないとは言いません。
ただ、サイバー攻撃を受けて被害が出たら、それ以上の問題に対応しなくてはなりません。
単なるシステムの問題ではなく、あっという間に経営責任レベルにまで深刻度が跳ね上がってしまうのです。
自分の会社の経営陣が謝罪会見とかに出てるのを見るのは、あまり心楽しい体験ではないと思うんですよね・・・

スポーツカーの名門ブランドであるポルシェには、脈々と受け継がれている言葉があります。
「The newest is the best」
ポルシェは、モデルチェンジをしても基本的なコンセプトを大きく変えないことで知られています。
なので、ポルシェと聞いたらあのカエルっぽい顔をしたデザインをすぐに思い出す人も多いですよね。
でも、中身は時代と共にアップデートをし続けている。
これぞポルシェのフィロソフィーなのです。

最新であるということは、サイバー犯罪者にとってはかなり都合が悪いことでもあります。
新しくされてしまうと、それまで通用した攻撃手法が使えなくなります。
防御する側は、攻撃側の「嫌がること」をするのが大事です。
最も手軽にできる嫌がらせが、システムアップデートです。
ぜひ習慣にしましょう。

ということで、今回は三つの原理原則についてお伝えしました。
是非とも、このことをいろんな人に伝えてください。
これを読んだあなたがセキュリティ・エバンジェリストになることで、サイバー空間の安全は高まります。
さぁ、戦う準備はできましたか？

▽最新情報をメールでお届け！メールマガジン（無料）にぜひご登録ください！
メルマガに登録して新着コラムを読む

最新のオフィス構築事例集です

オフィスに新しい価値を持たせるため、さまざまな工夫によってオフィスに進化させた5社の取組み事例を掲載しております。

ダウンロードはこちら