きれいな言葉でまとめた「やったつもりのセキュリティ」が一番怖い：半径300メートルのIT（2/2 ページ）

[宮田健，ITmedia]

　セキュリティの世界に視点を置き換えてみると、セキュリティポリシーがこれにあたるかもしれません。策定から時がたってピントがずれてしまったもの、時代に合わなくなってしまったものがいまだに残っていませんか？

　例えば……

• USBメモリはつなぎません
• あやしいサイトは開きません
• あやしいURLはクリックしません
• 知らない人からのメールは開きません
• あやしいプログラムはクリックしません

　このような宣言は空虚なものです。前回紹介した通り、マルウェアに感染させようとたくらむ攻撃者は見るからに「怪しい」添付ファイルを送ってきたりしませんし、見るからに「怪しい」Webサイトからダウンロードさせようともしません。もはや、一般人には見分けがつかない攻撃に対して、きれいな（しかしピントの外れた）宣言ではセキュリティは保てない時代なのです。

　しかも、このような「きれいな言葉で表現された宣言」は、宣言しただけで何か対策をしたつもりになってしまいがち。仮に毎日の朝礼で宣言を唱和したところで思考停止につながるだけで、何の解決にもなりません。

　利用者が「個人情報の漏えいが心配です」という不安を伝えてきたとき、その回答が精神論やあるべき論だけではかえって不安が募るというもの。「多層防御」という言葉で表現されるように「感染しない仕組みはもちろん用意していますが、万が一に備えて感染してしまった場合でも情報を持ち出されないような仕組みも備えています」という態勢作りが必須なのです。

　このような考え方はマルウェア対策だけにとどまりません。例えば、パスワードの定期変更や秘密の質問の導入など「やったつもりのセキュリティ」は世の中にあふれています。日本年金機構の事故をはじめ、他社の情報漏えい事故から教訓を得るとするならば、そういった「きれいな言葉」だけが社内に存在していないかをチェックしてみるべきでしょう。