以前のコラムで、IoT機器の無差別調査が必要となった背景に、"販売者側の問題もあったのではないか"と触れさせていただきました。

今回は、日本のサイバーセキュリティ事情がなかなか改善しない遠因について述べていきたいと思います。(こちらの方が深刻だと思うのですが...)

「インターネットを使える」とはどういうことか

「あなたはインターネットを使えますか?」こう質問されたら、桜田大臣でもない限り、ほとんどの方が「使えます」と答えるでしょう。でも、本当に使えますか?

例えば、「Excelを使えますか?」という問いがあったとしたら、中小企業ではSUM機能からグラフ作成ができるくらいで「使える」と言って良いでしょうし、IT企業であれば、最低でも関数、あるいはマクロまでできて「使える」でしょう。

「使える」とは、"その組織や社会が期待している水準まで達しているかどうか"なのです。本当は主観で判断することではありません。

「車を運転できる」とはどういうことか

40代以上の方であれば、就職活動に合わせ、普通自動車免許を取得した方も多いと思います。私も仕事で必要となる可能性が高いので、大学4年のときに普通自動車免許を取りました。公共交通網の発達した都会では、もう仕事で普通自動車免許は必須ではないでしょうが、地方ではまだ必要でしょう。

"仕事で必要だから"教習所に通い、道路標識を覚え、内輪差などのリスクを学び、普通自動車免許を取得して、安全に運転できるようになりました。安全運転ができないと、周囲を巻き込んだ事故を起こし、被害者だけでなく会社にも迷惑をかけてしまうかも知れません。履歴書の資格欄には「普通自動車免許」を書きましたし、面接でも、面接官の方は、ペーパードライバーでないか確認のためなのでしょう、「どのくらい運転してますか?」と問われました。

普通自動車免許を持っていて、安全運転ができることが、企業にとっての「車を運転ができる」という基準だったのです。

"安全に使えるかどうか"を確認すべき

こう考えればインターネットも同じですね。「安全にインターネットを使える」ことが「インターネットを使える」ということのはずです。ウィルス感染や情報漏洩など起こしたら、周囲を巻き込む大事件になりかねませんから。

企業としては「安全にインターネットを使えること」を、人事採用で確認するのは本来当然だと言えるでしょう。

さて、ここでもう一度問います。あなたはインターネットを使えますか?

ゴーカートで公道を運転するようなもの

もうお分かりですね。多くの方の「インターネットを使える」は、本来仕事で要求される「安全に使える」ことを満たしておりません。

社内LANであれば、自分の敷地内と同じですから、それでも良いでしょう。しかし、インターネットは世界に繋がる公道のようなもの。安全に使うための知識を持たずにインターネットを利用することは、例えて言えばゴーカートで公道を走っているようなもの。少なくともドライバーの国際免許を確認しているマリカーよりも酷い行為なのです。

安全に使用ができない人ばかりの組織で何が起こるか

それなのに、システム担当者に「セキュリティ事故の無いようにしろ」って言われても、担当者は困ってしまいます。仕方がないので、プロキシで安全なサイトにしか見れないようにしたり、PCはユーザー権限のみを渡して勝手にアプリのインストールやダウンロードをさせないようにします。

すると「これでは効率的な仕事ができない」と現場から文句が出て来ます。でも、安全にインターネットを使えない人に、管理者権限は渡せないですよね。この現場の主張は例えるなら、ゴーカートしか乗ったことのない人が「高速道路の制限速度を守らせるな。300kmで走らせろ。」と言うようなものなのです。

個人のレベルが低い状態でセキュリティ確保は不可能

このような状況であっても、組織の上の方々は"問題の本質"を理解しようとしないため「効率的に仕事できるように自由にやらせろ。でもセキュリティは確保しろ。」などというのです。これは、社内SEにとって"自動運転車を作れ"と言われているに等しいくらいに困難なことです。自動運転車なんて、TOYOTAだってGoogleだってできていないのに...

このような組織では、セキュリティ事故が起こるのは当たり前。起きていないとしたら、"たまたま"か、或いは起きているのに気づいていないだけかも知れません。

日本は「仕事で必要なのに」学ばない

車も運転してネットワーク構築もやっている私に言わせれば、"安全運転"より"安全にネットを使うこと"の方が、余程覚えることも必要な技能も少ないと思うのです。それなのに「IT」というだけで、自分で理解しようとせず、SE任せにしてしまう人が多いんですよね。

「仕事で必要だから」普通自動車免許を取る人が、「仕事で必要なのに」安全なインターネット利用の基礎知識を学ばない。

横文字が苦手という方もいますが、ハイドロプレーニング現象が理解できるなら、バッファオーバーフローくらい理解できるでしょう。仕事で使うのですから、インターネットの仕組みや、リスク、最近のサイバー攻撃状況などは知っておくべきです。

リーダーが率先垂範せよ

このように考えると、日本のセキュリティ事情が好転しないのも、SEが疲労困憊になるのも当たり前だと感じますね。それでもこれを何とか改善していく必要があります。

いっそのこと、桜田大臣がこう宣言してはどうでしょう。

サイバーセキュリティ担当大臣として、東京オリパラ大臣として、仕事に必要な知識が不足しておりました。認識を改め、勉強してまいります。皆さまも是非、特に経営者の方々は、安全にインターネットを使うための知識を学んでください。

桜田大臣が勉強しようとするなら、社会人として後れを取るわけには行かない、と認識するのではないでしょうか。桜田大臣としても名誉挽回の機会になると思うのですが。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?