個人でできるセキュリティー対策というと、かつてはウイルス対策ソフトをインストールして使うのが一般的だった。それは今でも変わらないが、ネットそしてソーシャルメディアの普及は、個人と個人のつながり方や、ネットとの接し方なども変えている。
そして問題になってくるのが、そのリテラシーと個人情報の保護だ。特にスマートフォンやタブレットを自分の端末として持ち始め、ネットを実際に活用し始める中高生のタイミングでは、積極的にデジタルライフを活用していこうという意欲と、その使いこなしのリテラシーのバランスがとりにくいタイミングでもあるとインテル・セキュリティ(McAfee)の青木大知氏は話す。
2016年の今、ネットに接するうえで、われわれ自身、そして子供たちを守るために必要なことは何かを聞いた。
ネットを積極的に使いだす高校生のリテラシー、パスワード管理の意識を
── 個人できるセキュリティー対策を考えた場合、まず有効なのはどんなことでしょうか。
青木 最近、MMD研究所と調査を試みました。幼児から高校生まで、どのようにデジタルデバイスを使っているかについてです。デバイスの使われ方はやはりパソコンではなくなってきています。
彼らの多くはおそらく中学に入るごろから、スマホやタブレットを持ち始めます。これをセキュリティーの観点でみた場合、より大事なのはマルウェアだけではなく、どう個人情報を守っていくかになってきます。まず思いつくのは、学生はソーシャル上で「自分や友達の写真」や「学校名」などを発信しないようにしたほうがいいということです。しかし実際に調べると、高校生の間では「どれだけ人とつながりがあるか」が、ステータスシンボルになっている面もあります。となると、自然に学校名や自分の名前を前面に出してしまう傾向が出てきます。
個人情報の保護という意味で、こういうリテラシーの問題に加えて、もうひとつ大事なのは、パスワードとIDの管理です。しかし調査してみると、若年層は驚くほど簡単なパスワードを使っていて、きちんと管理できている人が少ないのです。しかもそれが問題だと教える人がいません。親より子供のほうが詳しい現実もあります。iPhoneの指紋認証のようなスマートデバイスを使いこなしていく以前に、こういった知識が欠如しているといういびつな状況があるように思います。
一度IDが流出すると、歯止めが利かなくなる
── 今年前半はLINEやFacebookから著名人のプライベートな情報が流出した点も話題となりました。SNSなどのツールの使い方についても慎重になるべきかもしれません。
青木 最近では一般のメディアでも
- iOSの脆弱性
- パスワードの教訓
- LINEのパスワードを盗むことができるんだ
といったことが取り上げられるようになってきました。
では、盗まれたらどうなるのか? 実際は「もう取り返しがつかない」という現状があります。アカウントが盗まれるとネットを通じて自分の知らない場所で拡散していき、サイバー犯罪者は、金銭的なところにも興味があるので、銀行も苦戦しています。トークンを使ったり、ワンタイムパスワードのカードに切り替えたりといったことも起きています。
世の中というか、日本国内でもアカウントが乗っ取られてて企業が対応を迫られるなど、ID管理や企業が持つ情報の漏洩といった問題の周辺で様々な事件が起こっています。個人の努力で改善できる部分ではなく、サービス提供者がアカウント情報を漏えいしてしまうケースが増えていることです。企業に預けている情報をエンドユーザーがコントロールするのは難しい面がありますから企業の側でもより慎重な対策が求められています。
2016年は「パスワードは覚えちゃいけない」がトレンドに
── IDやパスワードを守っていくためにより効果的な方法は何でしょうか?
青木 とはいえ、個人情報は何らかの方法で管理しなくてはいけません。管理ソリューションを提供するのはひとつのトレンドです。ワンパスワードで済ませる方法なども出てきています。その中で「こんな便利なものがあるのか」と驚かれるのが、パスワードを自動的に入力してくれるツールです。私自身、パスワード対策を説明する際に、こういう反応を見る場面によく出会います。
われわれもTrue Keyを提供しています。ただしTrue Keyのような機能を「使う」「使わない」以前に、こういう選択肢があるということ自体が知られていないんですね。
われわれマカフィーのコンシューマーチームは、全員TrueKeyを使っていますが、実は社員の半分はパスワード管理ツールを使ったことがありません。私はマカフィーに入社する以前、コンサルタント時代にクライアントの前でデモをする機会が非常に多かったため、それこそ10年前から当たり前のようにパスワード管理ソフトを使ってきましたが、一般ユーザーからすると遠い存在なのかなと改めて自覚する面もあります。
おそらく多くのひとがいまだに、パスワードを毎回ブラウザーで入力していると思います。我々の間でも「パスワード管理ツールは誰が使うことでメリットがあるか」という議論ががありますが、やはり「ビジネスパーソンが使うべきなんじゃないか」と私は思っています。
── 個人でもスマホやパソコンなど様々な端末を状況に応じて使い分けています。デバイスを超えたパスワード管理という意味でもこういったツールは有効に機能しそうです。
青木 企業でも様々なデバイスを持ち込んで使い分ける“BYOD”が当たり前の社会となりました。スマートフォンは家でも使うし、会社でも使うツールです。ビジネスパーソンであれば、パソコンに向かう時間も長いので「ストレスなくインターネットにアクセスできるツールを持ってもいいのでは?」と思っています。
パスワード管理はセキュリティを高めるという意味でも必要ですが、業務改善のために利用してもいいと思います。いろいろなサービスを使っていく中で、パスワードをリセットして、新たに生成してというのは結構多いはずです。ISPの担当者や経営者に話をすると、サポートへの問い合わせで一番多いのが「パスワードを忘れた」という質問だそうです。
アカウントの再発行にお金がかかる場合もありますし、住民票のようにめったに使わないものは、重要なものでもパスワードを忘れがちです。
仕事の効率化や生産性を上げるツールという側面も
── 一方でパスワードを他人に預けるということに抵抗感を持つ人もいるようです。
青木 True Keyのようなツールは、どちらかというとライフハッキング的なツールとして気軽に使ってもらいながら、安心も手に入るものととらえてほしいです。我々は企業の戦略上、どうしても「セキュア」という要素を前面に出さないといけませんが、他社ではパスワード管理の手間を低減できる便利さをもっと前面に出してきています。実際、パスワードを覚える脳みそを使うから、もっとほかのクリエイティブなところに使った方がいいはずです。
── パスワードがいらない社会を目指すという動きもあります。テキストではなく、生体認証やあるいは個人だと特定できるデバイスなどを利用した認証も進んでいるようです。
青木 FIDO(ファイド、Fast IDentify Online=多要素認証)に関しては、当社としてもチャンレンジしていく領域になると思います。IoTの世界が広がれば、より一層重要になるでしょう。いろんなデバイスがいろいろな情報を持つ中、どう情報をやり取りしていくか、ルール化するのが大事なことだと思っています。
さらにGmailなどクラウド上でメインに使っているサービスは。多段階認証を利用するのが必須でしょうね。私自身も最初はめんどくさいと思いましたが、やはり最低限必要なものだと考えています。自分でプライオリティのレベルを決めて、一番セキュアな方法を試してみるというの重要ですね。
自分がどれだけの数のIDとパスワードを持っているかを知ることから始めよう
── まずやるべきことは何でしょうか?
青木 われわれとしては多段階に加えて、多要素の認証が重要だと思っています。同時に重要であるものと重要でないものを仕分けして、必要に応じて多要素のアクセスができるようになっています。例えば生体認証や専用端末、あるいは普段使っているスマホが近くにないと入れないなどですが、重要だと思うものを積極的に活用していくべきでしょう。
言ってしまえば:
- 家にしめる鍵をひとつじゃなくて、複数にしよう
- 使う鍵をシチュエーションに合わせて選ぼう
- 重要なものから守っていこう
それがセキュリティーというか、IDパスワード管理の第1歩になると思います。そしてこれを考えることが、セキュリティーを見直す機会になると思います。まずは自分がいまパスワードやIDを「いくつもっているか」を管理する機会を持つこと。True Keyはそれができるツールですし、その結果を見て仕分けることができます。もしかしたら「管理」という言葉もよくないかもしれません。われわれがまず伝えたいのはパスワードを始めとした個人情報の管理を「見直す機会を作りませんか?」ということです。True Keyはパスワード15個までは無料で利用できますし、ブラウザーなどに保存しているアカウント情報の移行もできます。