ユーザーの意識を高めなければセキュリティ対策は無駄になる：Column

どのような対策を講じようとも、対策にどれだけの労力を注ごうとも、エンドユーザーがもたらす重荷を技術的に取り除く方法は何もない。この問題への対処法として唯一有効なのは、「エンドユーザーのセキュリティ意識を高めるための訓練、教育」だ。

[Ken Salchow Jr.，TechTarget]

　フィッシング攻撃が増加し、そうした攻撃の巧妙化が進むなか、「こうした状況にどのように対処すべきか」をめぐる議論も相応して高まっている。Webベースのアプリケーションを構築／ホストしている企業や金融機関が全責任を負うべきだ、と主張する向きは多い。こうした企業が、最高の措置を全社的に講じているなどと言うつもりはないが、わたしが思うに、この件に関しては、パズルの重要な要素が1つ欠けている。それは、エンドユーザーの存在だ。

　どのような対策を講じようとも、対策にどれだけの労力を注ごうとも、エンドユーザーからの重荷を技術的に取り除く方法は何もない。これは、あらゆるセキュリティアーキテクチャにおいて常に急所となるポイントだ。例えば、誰かに自宅の鍵を渡し、セキュリティコードを教えたとしたら、家に帰ったときに、その人が自分の家の居間でビールを飲みながら座っていたからといって、驚くのはおかしい。同じく、故意であれ、過失であれ、自分のオンラインアカウントの本人確認情報を周囲に明かしたユーザーは、そのアカウントが改ざんされたとしても驚くべきではない。ユーザーをユーザー自身から守るために、われわれには何ができるのだろうか？