【ネットのセキュリティ対策分からない人、会社必見】サイバー攻撃を「機械まかせ」で守るのは夢見過ぎ!

おいちゃん@KMRクリエイティブスタジオ

インターネットリテラシーやモラルのことを記事にしたところちょいちょい反応いただきまして、ありがたい限りでした。

今回言いたいのはざっくり3点

  1. 日本の会社は「セキュリティ対策=機械への投資→機械が守ってくれる」という幻想を捨てなさい

  2. 自社のセキュリティ対策は機械まかせNG

  3. 自社のセキュリティ対策のアプローチは、人間(経営者)→業務プロセス(従業員)→機械 が鉄則!


1 日本の会社は「セキュリティ対策=機械への投資→機械が守ってくれる」という幻想を捨てなさい

何言ってんの?って思うかもしれませんが、サイバー攻撃による被害の現状は機械で防げるものではないからです。
最終的に情報を扱う判断をするのは、「人間」ですから、人間がだまされてしまうと機械は何も手出しできません!
ですから、私は
【日本の会社は「セキュリティ対策=機械への投資→機械が守ってくれる」という幻想を捨てなさい】
と言いたいのです。

ここで絶対に覚えておいてほしいこと

  • 最後に情報を扱う判断をするのは「人間」であり、ミスや判断エラーをゼロにできません

  • 「人間がダマされる」行為は機械で防げません!!

  • 「機械が全て守ってくれる」という幻想を捨てなさい

2 自社のセキュリティ対策は機械まかせNG

幻想を捨てきれない方にもう一度お伝えしたいのは、取り扱う情報は「人間」が扱うのですから、
【自社のセキュリティ対策は機械まかせNG】
というのは間違いだということです。
人間がだまされる例をこのセクションの終わりの方に記載しています。

ここで絶対覚えておいてほしいこと

  • 機械は「人間」の情報判断の補助、ポカミス防止装置ですから、「鉄壁の盾」や「危険をすべて見抜くことができる全知全能の用心棒」ではありません

  • どんなにセキュリティ防御性能が高い機械を導入しても、正しい防御設定を行う知識がなくて、設定ができなければ何の意味もありません!ただの維持費が高い箱です!

  • ウイルス対策ソフトで防御できるのは「ファイル本体が存在する旧型タイプのウイルス」と「非正規ウェブサイト」くらいであり、完璧ではありません!

  • VPNによるリモートワークは防御力ほぼゼロです!

機械で防げない被害って何?

例えば、次のとおりです。

メールによる被害(見分けられなかったメール)

  • 取引先の返信メール、取引メールだと思って添付ファイルを開いたらマルウェア(ウイルス)だった

  • 自社で利用しているショッピングサイトの偽メールに騙されてアカウントを盗まれた(フィッシング)

不正ウェブサイト、非正規ウェブサイトによる被害(見分けられなかったウェブサイト)

  • 業務で必要なフリーソフト、有償ソフトをダウンロードしてインストールしたら本物そっくりの偽ソフト(マルウェア(ウイルス))だった

  • 業務で必要な物品を買うために、インターネット検索で出てきた適当なショッピングサイトで買い物したら、偽物ショッピングサイトだった、フィッシングサイトだった

不正広告、検索エンジン結果汚染攻撃による被害(知らず知らずのうちに被害にあうウェブサイト)

  • ウェブサイトを閲覧、検索エンジンで検索していたら、突然「ウイルス感染を解決するには画面に表示された電話番号に電話しろ」という、大きな警告音を発するページが表示され、電話したらプリペイドカードの形でお金をだましとられた(サポート詐欺)

  • ウェブサイトを閲覧、検索エンジンで検索していたら、ウイルス感染対策をしないとパソコンが使えなくなるなどという変な通知が止まらなくなった(アドウェア、スパイウェア)

内部不正による被害(業務システムのセキュリティルール不備)

  • 会社に不満を持った社員がアカウント情報を盗み出して社内システムにアクセスした(不正アクセス)

  • 会社に不満を持った社員が会社のシステムサーバーのデータを完全消去して破壊した(不正アクセス、業務妨害)

  • 会社に不満を持った社員が転職時に営業秘密等の機密情報を転職先の会社に持ち出して不当な利益を得た(不正競争)

このように、人間の判断エラーによりセキュリティ事故が多発しているのです。
これらの被害事例は、記事の尺の都合上全て掲載できないので割愛していますが、他にも人間の判断エラー事例はたくさんあります。
これらを見ると、セキュリティ対策機器を導入しても、「人間」が適切な使い方や設定をしなければ、何の意味もないことがわかるでしょう。

結局は「人間」が情報の判断をする(=セキュリティの「最後の砦」)のですから、「人間」のエラーを減らすのがセキュリティの最大の課題です。

3 自社のセキュリティ対策のアプローチは、人間(経営者)→業務プロセス(従業員)→機械 が鉄則!

ここまでで、人間が情報の判断の最後の砦であること、セキュリティ対策が機械任せではダメなことが何となくわかったと思います。
では、セキュリティに関して、何にどれくらい投資するのが正しいのか、その一例を個人的意見として述べたいと思います。

投資1 人間のセキュリティ教育に優先的に投資する

コストや時間は最もかかりますが、危機意識をもった人間、セキュリティのポイントや、怪しいメール、ウェブサイト等の実例を知った人間は防御性能の高い機械を導入するよりもトータルでコスパが良いです。
セキュリティ投資の中では「長期投資」にあたるもので、定期的な方針転換、社内セキュリティルール変更等も一緒に考えるものになります。
考える時は下記資料が参考になるでしょう。

なお、セキュリティ教育を実践する第一歩は、経営者から従業員まで全員で取り組む感じで

  • 危機管理

  • 情報モラル

  • 情報リテラシー

  • セキュリティ

に関する話題のネット記事を社内ポータルやミーティングで発表し、そのフィードバックをアンケートなどを活用してKPIモニタリングすることなど、簡単なことからでいいと思われます。

投資2 経営プロセス、業務プロセスの見直し

これは、経営者や取締役、部署の上司に関して「セキュリティを自分ごとだと思わせる」ところがキモになる話だと思われます。

どうすればいいかと言えば、コストと利益に関する話について、
様々な事例をもとに、自社は必要性あるんじゃないかと気づかせることです。

この時、経営層、上司層が何の気づきもないおバカ揃いだったら、その会社からはさっさと逃げるべきでしょう笑(B○G何某の会社等は典型ですねw)

ポイントとしては経営層や上司層は技術的なことは知らないことがほとんどですし、情報リテラシーはほぼ皆無とみなして良いですから、
経営判断の共通言語としてよく用いられる

  • お金(ざっくり初期費用、ざっくり維持費用)

  • 時間

  • 必要リソース(人間、その他)

  • 導入メリット(短期・長期でざっくりどんな効果と省力化が見込めるか)

  • 取引等関連先へのメリット

に落とし込んで説明すると良いかと思います。

経営プロセスへのセキュリティ対策の導入の実例については以下のようなものです。
上から順番に優先して行うことです。

  1. 情報資産の棚卸し、優先して守るべき情報の区別、ラベル付与

  2. セキュリティ事故発生時の事業継続計画書(BCP)作成、定期見直し

  3. 警察、関連省庁、取引先等への通報体制の確保

  4. 取引等関係先との情報セキュリティや情報の保持に関する協定の確認、見直し

  5. セキュリティ教育セキュリティ対処訓練の施策実施

  6. セキュリティ関連予算、会社の貯金の確保

  7. サイバー保険の検討

業務プロセスへのセキュリティ対策の導入の実例については、業種により異なることが多いため、一概には言えませんが、次の観点にまとめられます。

  • 現状の業務プロセスの可視化(図式で表す資料の作成)

  • 業務プロセスにおける情報の種類の把握(電子か紙か)

  • プロセス自体の生産性の検証(人間のミスが起こりにくいか、入出力で繰り返し作業を手作業でやっていないか、意思決定の書類処理にハンコを使っていないか等)

  • プロセス自体のセキュリティ状況の把握(最終的に人間の判断に委ねられてないか、インターネット方面との情報やり取りで弱い部分、人間ミスが発生する部分がないか)

  • 業務プロセスと業務システムがちゃんと噛み合っていて、プロセスに乗っからない部分で人間の手が入らないようになっているか

  • 業務プロセスの情報処理の時系列把握ができるよう処理の履歴が管理される仕組みが定義されているか(履歴管理・ログデータなど)

上記のような観点で業務プロセスを資料化して、見直して、セキュリティ対策を導入すると、改善すべきところが出てくるはずです。

投資3 業務システム(機械)の見直し

人間への投資、経営プロセス、業務プロセスへの投資をして、最終的にそれを効率化した形で表すのが、業務システムです。
業務システムはセキュリティ実現の「手段」なのです。
ここで初めて業務プロセスや人間のセキュリティ教育のプロセスを実現するために、業務システムにどんなセキュリティ機能を実現する機械を導入するのか決まります。

実践方法については下記資料が参考になると思います。

終わりに

今回のテーマについては、以上です。

セキュリティ対策で「機械に投資する」のは「手段に投資する」ことであり、これだけで「脅威を全て回避して、自社を守れる」と思うのは幻想だということがお分かりいただけたでしょうか。

経営や業務のプロセス、人間へのセキュリティ教育等、
「目的」「目標」にあたるものが決まらなければ「手段」にいくら投資しても無駄だと思うのですが、なぜほとんどの人は気づかないのでしょうか??
日本の教育は「従業員」になるための教育制度になっているから、「自ら問題提起して解決策を模索する」という部分はとっても弱いと感じていますが、あんまりにも酷いですね。
(ちょっと考えたらわかることすらできないのは、教育の敗退?)

これからも、皆さんのセキュリティ対策の助けとなるような記事を書いていきますのでよろしくお願いいたします。

この記事が気に入ったらサポートをしてみませんか?