1月31日、日立ソリューションズが「セキュリティいろはかるた大会」を開催した。参加チームは同社の取引先が中心と聞き、ゆるめのイベントを想像して出向いた筆者だったが、そこは想像を絶する「戦場」だった。
基本だからこそ今も通じる「セキュリティかるた」の内容
これが「セキュリティいろはかるた」だ!
2006年3月に発売され、これまで約2000個を売り上げたという「セキュリティいろはかるた」。情報セキュリティの基本が、いろはで始まり「京」で終わる48句にまとめられており、発売から8年近く経つ今もその内容は色あせない。
そんなかるたで遊びながら、楽しく情報セキュリティを学ぼうというイベントが「セキュリティいろはかるた大会」だ。2月最初の平日に制定された「サイバーセキュリティの日」にちなみ開催されてきた同イベントは、今年で9回目を迎える。
付属冊子では各札の意味がとても分かりやすく解説されている
かるた大会に先立ち、かるたを監修した慶應義塾大学 環境情報学部教授の武田圭史氏の講演が行われた。「かるたで占う2014年のセキュリティ ~セキュリティいろはかるたが世界を救う~」と題した同講演では、かるたの句と最近のセキュリティインシデントを照らし合わせながら、最新のセキュリティトレンドが紹介された。
慶應義塾大学 環境情報学部教授の武田圭史氏
武田氏が最初に取り上げたのは、「【は】パスワード 桁けちるな」だ。
同句は、インターネット上で利用するパスワードを安易に設定せず、少なくとも8文字以上にしようと呼びかけるもの。昨年は、ユーザーが複数のWebサイトで使い回しているパスワードを狙った攻撃(パスワードリスト攻撃)が続発。さらに、複雑な文字の組み合わせや、十分な長さのパスワードを利用できないサービス側(システム側)の問題も浮き彫りになった。事件が連発した昨年に引き続き、今年もかなりのホットトピックスになることは間違いない。
武田氏は「数字や記号、小文字・大文字含むアルファベットを組み合わせて何文字以上に設定するなど、強化策はいくらでもある。問題は、ユーザーの利便性とセキュリティのバランスをどうとるかだ」と述べ、最も身近なセキュリティ対策の難しさを説明した。
【は】パスワード 桁けちるな
また「(かるたを作成した)当時とは違った解釈が可能」と紹介されたのは、「【り】理解せず「同意」を押して大失敗」という句だ。元々はPC利用者向けに、ソフトウェアのインストール時などに表示される利用規約の同意画面で、安易に「同意」をクリックしないよう呼びかける内容である。
武田氏は「これは昨今のスマートフォンの不正アプリ対策にも通じる」と述べる。その実例として、スマートフォンから連絡先データを抜き取る「the Movie」、利用者の安易な「同意」によって被害が拡大した「全国電話帳(全国共有電話帳)」、個人情報を抜き取って出会い系サイトの勧誘メールを送り付けた「安心スキャン」といったアプリが列挙された。
「現在市場にあるスマホアプリを評価/調査したところ、iOSアプリで約10%、Androidアプリで約20%が、許可したつもりのない情報を(悪意の有無にかかわらず)送信していることが判明した。今年は、こうした同意や許可の仕組みをどうすべきかの議論が進むと思われる」(武田氏)
【り】理解せず「同意」を押して大失敗
武田氏は、これからの対策として「安全なプラットフォームを利用する、安全なアプリケーションを使う(ホワイトリストによる管理)、リスクを前提としたシステム設計を取り入れる(セキュリティ/プライバシーバイデザイン)など、従来の方法に加えて新しいアプローチを導入してほしい」と提案した。
本気と笑いに包まれた競技会場
さあ、講演後はいよいよかるた大会の始まりだ。
今年の参加チームは10チーム。日立ソリューションズの取引先企業と担当営業者が3名1組となり、協力しながら優勝を目指す。講演した武田氏も、同社スペシャルコンテンツサイト「論より証言」チームとして参戦、「監修者だから取れないはずはない」と強気な発言で他チームを煽る。
対戦は4回行われ、各回ごとに相手チームが入れ替わる。終了後、各対戦の勝ち点を合算して最もポイントを多く獲得したチームが優勝となる。
予想外に本気モードで熱気高まる競技会場
(→次ページ、爆ぜろリアル! 弾けろシナプス! 大熱戦のかるた大会)
