「社長がセキュリティを理解しない会社など、辞めた方がいい」 セキュリティジャーナリストが吠えた（2/3 ページ）

[宮田健，ITmedia]

「赤い薬」か「青い薬」か――経営陣はどちらかを飲み続けている

　クレブス氏はこのことを映画「マトリックス」の1シーンに例えた。冒頭でハッカーのモーフィアスが、いま見えている現実は全て虚構で、その真実を知りたいのなら「赤い薬」を飲め、その事実から目をそらし、今の現実を受け入れたいのならば「青い薬」を飲めと判断を迫る。

　「今のセキュリティも同じこと。侵害されていないと思うということは、その組織が“青い薬”を飲み続けているのだ。『自分のキャリアが失われるから、侵害が起きているという戦略は採りたくない』とトップが考えている。勇気を持って“赤い薬”を飲むべきだ」（クレブス氏）

　同氏は続けて、サイバーセキュリティを理解している企業の考え方として、「そもそも安全であるという状態はない。リスクを許容できるレベルで運用できているという状態にあるということだけ」という発言を引用し、侵害を想定することが重要だと述べた。

ブログ「SecurityRamblings.com」のブロガー、Steven Maske氏のTwitter投稿

　2017年9月、米個人情報機関最大手のEquifaxが1億4300万人の個人情報を漏えいした事件が明らかになった。これ以前にも情報漏えいは起きており、「既に生年月日や電話番号などの情報は漏れている前提で考えるべき」とした。

• 関連記事→米個人情報機関最大手Equifax、1億4300万人の社会保障番号など漏えい

　「もう、この手の情報は販売されている。銀行などからよく、認証手段として誕生日や電話番号を聞かれるが、私がそれ以外の認証方法をとるように指摘すると『できない』といわれたことがある。すぐに別の銀行に資産を移した。もし、『自分の情報は大丈夫』と思う人がいたら、名刺をいただければすぐに調べますよ。検索にビットコインがかかるので、一杯おごってさえいただければ」（クレブス氏）

　Equifaxの漏えいは、米国の人口の半数程度が情報漏えいの対象になった。この点に関して、多くの被害者がクレジットカードの再発行など、手間がかかる作業を強いられることになる。しかしクレブス氏は、この手間を面倒だと思わずに再発行すべきだと述べる。

　「やらないよりはリスクが低いし、同じカード番号を継続していると漏えいした情報の価値も高まる。ぜひ作業をしてほしい」