セキュリティは“先の見えない登山”だ 第一歩を踏み出すために有効な資料は半径300メートルのIT

セキュリティは大変奥深いもので、登山に例えると頂上付近には濃霧や雲が立ちはだかり、どこまで山が続くのか分からないという印象を与えます。ただしそんな領域にも第一歩を踏み出すためのドキュメントが用意されているのです。

» 2023年06月06日 07時00分 公開
[宮田健ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 先日、フィンランドのヘルシンキで開催された「SPHERE 23」に参加してきました。SPHERE 23はフィンランドに本社を持つセキュリティベンダーであるWithSecureが主催する大規模なイベントです。

 セキュリティ関係者が集うセッションでは、第一線のリサーチャーである同社のミッコ・ヒッポネン氏や、かつてTwitter社のCISO(最高情報セキュリティ責任者)を務めていた、ピーター・ザトコ氏による講演が非常に興味深い内容でした。本イベントのレポートは順次公開予定です。

「SPHERE 23」に登壇したハッカー、ピーター・“マッジ”・ザトコ氏は、かつてグーグルが公開した「エキスパートたちのセキュリティ対策」で「セキュリティ識者は安全のため、第一にアップデートを推奨すると挙げたがそれは本当に正しいのか」と提言した(筆者撮影)

 最古参級のハッカーともいえるザトコ氏の講演は「サイバーセキュリティの神話」と題され、非常に刺激的なものでした。特にセキュリティ識者が推奨する「即座にアップデートせよ」という提言こそが“神話”であると述べており、この一部だけを切り出してしまうと炎上してもおかしくないと思うほどの内容でした。これには“ただし3つの製品のセキュリティアップデートは即座に適用すべき”という言葉が続いたのですが、その理由と3つの製品についてはぜひ、レポートをチェックしてみてください。

ピーター・ザトコ氏が示す「脆弱(ぜいじゃく)性がどこから発生したか」という数値は衝撃的(筆者撮影)

 もちろんこれは聞く側が「それなりに分かっている人である」いう前提でのトークでした。セキュリティにおいてはいきなり高度な話をしてしまうと誤解や思い込みが発生し、効果が半減してしまいます。このコラムはなるべく、最初の入り口からステップアップし、他のニュース記事などをスッと理解できるような立ち位置になれればと思っています。

「セキュリティなんてよく分からないよ」という方に向けた最初の入り口

 セキュリティを登山に例えるなら、恐らく多くの人にとっては遠くからもそびえ立つ様子が見え、頂上付近には(いや、7合目くらいからは……)濃い霧や雲が立ちはだかり、どこまで山が続くのか分からないという印象を持つでしょう。それでも、最初の入り口はたくさん用意されています。それが無料で公開されているさまざまなドキュメント群です。

 個人的には、最初の一歩として学研と情報処理推進機構(IPA)が作成した「サイバーセキュリティのひみつ」をお薦めしてきました。これは小学生高学年向けの資料ながら、大人にとっても非常に勉強になる内容に仕上がっています。2016年刊行なので若干古い内容ではあるものの、まずはここを入り口とするとはるかな山頂を目指して登るための助けになると思っています。

 しかし「マンガではやはり……」という方や「会社でも活用したいので最新の情報が欲しい」という方も多いでしょう。そんな方にもお薦めできるのが、毎年恒例「情報セキュリティ10大脅威」の関連ドキュメントである「知っておきたい用語や仕組み」です。

 同ドキュメントは、IPAが毎年公開している「情報セキュリティ10大脅威」に合わせ、10大脅威を読み解く上で必要なキーワードを解説されています。

 ピックアップされているキーワードも「脆弱性」「多要素認証」「アップデート」など確実に理解しておく必要があるものから、「リスクベース認証」「クッキー」「VPN」など、できれば理解しておきたいものまでフォーカスされています。

 特に「脆弱性」がその筆頭に上がっていることは、これこそが今、多くの組織を悩ませているサイバー攻撃のきっかけであることがうかがえます。本書は「情報セキュリティ10大脅威」に連動しているので、このドキュメントに目を通せば、現時点で最新の脅威を集めた10大脅威もさらりと読めるようになっているはずです。

 「知っておきたい用語や仕組み」は組織だけでなく、個人も対象として書かれています。個人の場合、これらのキーワードを履修したら次は、内閣サイバーセキュリティセンター(NISC)の「インターネットの安全・安心ハンドブック」がお薦めです。

なぜセキュリティを学ぶ必要があるのか?

 最近、ジェネレーティブAI(人工知能)と呼ばれる技術が破壊的な進化を遂げています。セキュリティにおいては、この技術の悪用を試みる“攻撃者側の”進化に関する報道を聞く機会が多いことでしょう。フィッシングメールを洗練させ、よりだましやすくすることに使うだけでなく、CEO(最高経営責任者)詐欺の発展系で、経営層の声や顔の情報からディープフェイク映像を作り出したり、電子メールの文章の特徴をAIによって抽出してディープフェイクテキストを作成したりといった悪用方法が想定されています。筆者の知る限り、その力を防御側に使うという明るい話は残念ながらまだ出てきていないように思えます。

 しかし筆者は、この技術は必ず守る側にも展開されていくと、幾分楽観的に考えています。ただし、それはもう少し先の話になるでしょうから、今はまだ「セキュリティを積極的に学ぶ」必要があるでしょう。AIはまず、私たちがセキュリティを学ぶ手助けをしてくれるようになるはずです。しばらくの間は、私たち普通の人もやはりセキュリティに“一歩だけ”歩み寄る努力をしなければなりません。

 先が見えなくても、一歩目を踏み出さねば話は始まりません。もしかしたら霧の向こうでは素晴らしいシェルパや、先の道を熟知したスペシャリストが、あなたを手助けしてくれるかもしれません。ぜひ、一歩目を今日から踏み出してみてください。みんながその山にチャレンジすれば、もしかしたら山の高さすらも変えられるかも……。

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ