会社の最大のセキュリティリスクは「人」

黒坂岳央です。

様々な業界、会社で様々な形のセキュリティの問題が発生する。機密情報や顧客情報の漏洩、システムの暗号化、そして直近では仮想通貨取引所のハッキングが起きている。

すべてとは言わないが、多くのセキュリティ問題の起点は「人」であることがわかる。たとえば情報漏洩やシステムの暗号化は添付ファイルを開いたり、アプリケーションをインストールしてしまうことで問題が生じるし、時には不適切な取り扱いや内部犯行での不祥事も起きている。

昨今、OSのセキュリティについては問題なくとも、取扱者のセキュリティレベルによってはその企業のセキュリティホールになりえると思っている。これは個人レベルでも同じだ。

wakashi1515/iStock

セキュリティを高める重要性

かつて、ITセキュリティで求められる水準はそれほど高いものではなかった。

「メールに添付されている実行ファイルやOffice系ファイルを開くな」
「ファイルは必ず暗号化し、別メールでパスワードを送れ」
「見知らぬ相手からのメールは開くな」

せいぜいこのくらいのルールだった。誰もが簡単に遵守することができるシンプルなものばかりで、ウイルス感染をしてしまう事例は経営者のセキュリティ教育不足による「うかつ」という認識だった。

しかし、昨今はあまりに手口が巧妙化しており、見抜くことは容易ではなくなっている。SNSでインタビューや友達を装い、時間をかけて信頼構築をした上でアプリケーションをインストールさせて情報や金融資産を抜き取るというソーシャルエンジニアリングはコンピュータに明るいエンジニアでも取られていたりする。個人レベルでもメディアインタビューを装って資金を抜き取られる事件も起きており、むしろそこそこリテラシーが高く、英語がわかる人の方が被害にあっていたりする。

今後、AIを使った詐欺も増えてくることで、個人レベルでも本格的にセキュリティを学ばなければ自分の身を守ることは難しい世の中になっていくだろう。

今すぐできる最強のセキュリティ運用

過去記事でも書いたことあるのだが、今日から誰でもすぐにできる最強のセキュリティ運用がある。それが「専用端末、専用回線を用意する」である。

たとえば銀行、証券、他アセットマネジメントへのアクセスは専用端末と専用回線からする。さらにVPNまで用意できればいいだろう。その専用回線にはMicrosoftのOfficeソフトを含めた余分なアプリケーションは一切インストールしない。SNSもメールも使わない。Chromeの拡張機能も使用しない。パスワードもブラウザ保存しない。あくまで必要なサイトにだけアクセスする専用端末だ。言うまでもなくパスワードは複雑かつ長くする。

正直、この運用は面倒くさいし準備にも費用はかかる。しかし、軽い気持ちで開いた先で一瞬にして大金を失い、一生後悔してもしきれないことになっている被害者も見ているので、このくらいはしてもいい。中小企業でもできるはずだ。その場合は顧客情報や問い合わせ対応専用端末を用意してもいい。万が一、悪質なソフトを開いても被害を被るのはその端末に限定できる。

専用端末運用では、侵入経路はかなり絞られる。少なくともSNS経由のソーシャルエンジニアリング被害やEメール添付のウイルスは防止できる。

安全はタダではない。日本国内で悪質な行為をする人は世界的に見て多くはないだろうが、インターネットは世界中につながっている。従来は日本語という強力なファイアーウォールが存在したが、翻訳機能も優れている今、そのファイアーウォールもなくなりつつある。そうなれば相対的にセキュリティレベルが低い人から食い物にされてしまうだろう。個人も企業もセキュリティを甘く見ず、しっかり備えておくべきだろう。

 

■最新刊絶賛発売中!

■Twitterアカウントはこちら→@takeokurosaka

YouTube動画で英語学習ノウハウを配信中!

ビジネスジャーナリスト
シカゴの大学へ留学し会計学を学ぶ。大学卒業後、ブルームバーグLP、セブン&アイ、コカ・コーラボトラーズジャパン勤務を経て独立。フルーツギフトのビジネスに乗り出し、「高級フルーツギフト水菓子 肥後庵」を運営。経営者や医師などエグゼクティブの顧客にも利用されている。本業の傍ら、ビジネスジャーナリストとしても情報発信中。