最大のリスクは認識不足組織内の情報セキュリティ啓発が不可欠な理由

攻撃リスクを回避するためにWebブラウザを切り替えたとしても、また別のリスクにさらされることになる。

[Michael Cobb，TechTarget]

　情報セキュリティの専門家なら、組織内でセキュリティについての認識を高めることは、悪天候との闘いのようなものだと身に染みている。やらなければならないのだが、無駄に思えることも多い。しかし、世界でも名だたる企業がサイバー攻撃の被害に遭ったと伝えられる中、企業はあらゆる手段を駆使して情報セキュリティ強化を追求しなければならない。

　本稿では、社外秘情報の流出につながりかねない攻撃に遭って被害が出るのを防ぐため、組織内のセキュリティに対する認識をどう高めるかについて解説する。

　最近、悪天候で路面が凍結して運転が難しくなり、交通事故が急増したことがあった。事態を憂慮した自動車関連団体や省庁は、路面の状況に合わせて運転する方法など注意すべき点についてアドバイスを出した。幸い、車をすべてハンドリングの良さで定評がある某ブランドに買い換えるようにと勧告したところは皆無だった。凍結した路面でのハンドリング性能は確かに車種によって差があるが、そのような勧告が皆無だったのは、問題の根本原因は車でなく運転者にあることを誰もが知っているからだ。

　さて、天候とセキュリティ問題はどう関係があるのか。ドイツ連邦情報セキュリティ局と、サイバー攻撃問題を管轄しているフランスの政府機関Certaは最近、Googleに対する攻撃発生を受けて、ネットユーザーに対してInternet Explorer（IE）の代替ブラウザ利用を促す勧告を行った。だがこの攻撃は限定的かつ高度に標的を絞ったものであり、国民すべてにWebブラウザの切り替えを促すのは、山間部に雪があるという理由で全国に向けて四輪駆動車に切り替えるよう促すに等しい。

　どんなWebブラウザにもセキュリティ問題はある。別のWebブラウザに切り替えれば特定のリスクは防げるかもしれないが、ユーザーはまた別のリスクにさらされる。この点は議論もあるかもしれないが、IEは本質的にほかのWebブラウザに比べて安全性が低いと単純に主張するのは、現実に即していない。確かにIEの脆弱性がGoogleなどの各社に対する攻撃経路の1つとして利用されたのは事実だが、この脆弱性を悪用するためには「セキュリティに無頓着な」ユーザーが必要だった。

　真の問題はインターネットの情報セキュリティに関する認識不足であり、最も現実的かつ長期的な解決策は、アクセスのための手段を変えることではなく、ユーザーの使い方を変えることだ。インターネットの利用は車の利用と同様、ドライバーがどの程度の注意を払うかは、利用環境に応じて変わる。外部に漏れては困る情報を扱う組織に勤めているのなら、インターネットを使うことのリスクとそのリスクを避ける方法について、認識を高める必要がある。

関連ホワイトペーパー

Internet Explorer | 脆弱性 | Google（グーグル） | フィッシング | マルウェア | トロイの木馬