アスキー主催の「ゼロから始めるITセミナー」第2回、開講！

「セキュリティは誰もがやるべき『マナー』」元＠IT宮田氏

2016年05月16日 08時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　4月22日、アスキー主催「ゼロから始めるITセミナー」第2回となる「『セキュリティ』ってなに？」が開催された。元＠ITの編集者で、セキュリティ分野の動向に詳しいフリーライターの宮田健氏を講師に迎えた同セミナーは、アスキー編集部大谷との一問一答形式で進んだ。

今回の講師はフリーライター／編集者の宮田健氏

アスキー編集部大谷と宮田氏の一問一答形式でセミナーは進む

　今回、アスキー大谷が用意した質問は全部で6問。途中、しばしば話が脱線しながらも、初学者がわかりにくいポイントをしっかりと押さえ、セキュリティ対策の全体像が俯瞰できる形で解説が行われた。また後半には、来場者からの質問に答えるコーナーも用意された。

大谷が用意した、セキュリティに関する6つの質問

　2時間半以上にわたったセミナー全体を網羅することは難しいので、以下では特に印象に残った内容を抜粋してみよう。

「セキュリティとはマナー。『an・an』にもそう書いてあります」

　“ゼロから始める”のテーマどおり、大谷が最初に投げかけた質問は「セキュリティってなんですか？」。いきなり観念的で難しい質問である。これに対し、宮田氏は「編集者、ライターとして、専門外の方にもわかりやすく答えるとすれば……」と前置きしたうえで「セキュリティは『マナー』です」と答えた。

　「実はこれ、先週号の『an・an』（no.1999）で、セキュリティに詳しい辻さん（ソフトバンク・テクノロジーの辻伸弘氏）がおっしゃっていた言葉です。なぜ『マナー』なのか。インターネットの世界は皆がつながって、皆が持ち寄って、という世界。皆でやっているのだから、最低限のこと（セキュリティ対策）はマナーとしてやらなければならない時代になったのです」

　スマートフォンやSNSが普及し、サイバー犯罪が身近な脅威となった現在、かつては一部のプロフェッショナルに任せておけばよかったセキュリティ対策も、すべての人が知識を身につけ、実行しなければならない時代になったということだと宮田氏は説明した。

　続く「セキュリティ対策を怠ると何が起きるのか？」という質問に宮田氏は、企業でも個人でも「対策を怠るとお金が奪われたり、無駄な手間がかかったりすることになる」と説明し、昨年から国内でも被害が急増しているランサムウェアを例に挙げた。

　「ランサムウェアは、大切なファイルを開けなくしたり、PCを起動できなくしたりしたうえで、直接被害者に身代金を要求する。この例でもわかるとおり、現在の攻撃者は『お金が欲しい』。なるべく効率的にお金を得ようと考え、行動しています」

　ちなみにランサムウェアへの対抗策として、宮田氏は「バックアップを取っておくこと」が非常に有効であると語った。攻撃者に身代金を支払っても、ファイルが元に戻る保証はない。またマルウェアに感染した場合、その影響を完全に取り除くことは難しく、結局多くの場合はOSからインストールし直すことになる。その際、バックアップを取っていれば、短時間で元の環境に戻すことができる。企業、個人を問わず、今すぐにバックアップを取る対策を始めてほしいと、宮田氏は語る。

　また、10年前、5年前とはサイバー攻撃をめぐる状況が変化していることも、「マナー」として知っておいてほしいことだという。現在の「効率的にお金を稼ぎたい」攻撃者は、組織化／分業化を進めており、技術力がなくとも攻撃ツールや攻撃代行サービスがお金で買える。

　「こうした攻撃代行サービスを軽い気持ちで使ってしまい、国内でも高校生が検挙される事件が起きてしまった。セキュリティについて知ることは『子どもを守る』という意味でもあります」

「サイバーキルチェーン」を知れば、セキュリティコストも抑制できる

　「企業のIT部門が今、セキュリティについて考えるべきこととは？」という質問への回答として、宮田氏は「基本に立ち返ること」、具体的には社内で使われている狙われやすいソフトウェア（ブラウザ、Acrobat Reader、Java、Flash Playerなど）のバージョン把握と最新版へのアップデート、また「ウイルス対策ソフト」ではなく「セキュリティ対策総合ソフト（ウイルス対策だけでなくパーソナルファイアウォールなども統合したソフト）」の利用を挙げた。

　さらに宮田氏は、重要なポイントとして「『サイバーキルチェーン』を知っておくこと」も付け加えた。「少し難しい言葉ですが、元々は軍事用語。ターゲットの偵察から武器化、デリバリ、エクスプロイト……と、サイバー攻撃を実行する7段階のステップを示しています」。

サイバーキルチェーンの7ステップ（JPCERT/CC資料「高度サイバー攻撃への対処におけるログの活用と分析方法」より）

　現在の攻撃は非常に高度化しており、企業内へのマルウェアの侵入を完全に防ぐことはもはや無理である。しかしサイバーキルチェーンに照らして考えると、マルウェア侵入はあくまで攻撃成功までの1ステップにすぎない。

　サイバーキルチェーンを知っておくことで、多層防御を取ることの重要性が理解でき、またセキュリティ投資コストの抑制も図ることができる。「マルウェアの侵入を“絶対に”許さないなど、対策に完全さを求めるならば、膨大なコストがかかります。『サイバーキルチェーン7段階のどこかで攻撃を止めればOK』だと、そう考えるなら若干気が楽になるし、コストも抑制できるでしょう」。

「プロに任せる」大切さと、「それでも任せられない部分」を理解する

　「製品・サービスの導入に必要な要件とは？」という質問については、「多様なセキュリティ製品が出てきており、個人で情報収集して選ぶのは限界に近づいているため、SIerに相談するのが一番良いのでは」と答えた。そもそも顧客企業は本来のビジネスで手一杯であり、ある程度は「プロに任せる」ことも大切だ。

　ただし、それは「SIerの言いなりになる」という意味ではない。

　「ちゃんとしたSIerであれば、相談するとまず『何を守りたいですか？』と聞いてくるはず。たとえばECサイトの企業ならば、顧客データベースは絶対に守りたい、Webサイトも落とせない、といった要件があるはずです。それを判断し、いくら投資できるのかを考えることは、企業自身でしかできません」

　「クラウド時代のセキュリティとは？」という問いに対しても同様に、クラウドにデータを預けるのは不安という考え方をやめ、ある程度は「プロに任せる」ほうが効率的に、高いセキュリティレベルを実現できることを強調した。

　「本音で言えば、クラウドはガンガン使ってほしい。顧客企業が本業に専念するためにも、セキュリティ対策の一部を『プロに預けてしまう』ことが重要です。最近では、どのクラウド事業者も高いレベルのセキュリティ認証を取得し始めています。個々の企業では到底取得できないレベルです」

＊　＊　＊

【参加者の声】（抜粋）

〇ふだん何気なくやっていても、詳しくは分からなかったことが理解できたので良かったです。
〇昔と今で、必要なセキュリティ対策が違っていることがわかりました。
〇自社なりのリスクをきちんと捉え、そこにフォーカスすることの重要性を理解しました。
〇スポンサーの意向などに縛られない、自由でざっくばらんな話が聞けて良かったです。
〇セキュリティについては聞きたい話がまだまだあるので、続編も希望します。