「リテラシーを向上させる」といってセキュリティ対策をサボるの、もうやめませんか？：半径300メートルのIT

ランサムウェア被害の報告書にはしばしば、「再発防止策として従業員のリテラシーを向上を図る」などと書かれますが、筆者はこれに違和感を覚えます。一体なぜでしょうか。

[宮田健，ITmedia]

　ニトリホールディングスが2025年までに、全従業員の8割にIT国家資格を取得させるという報道がありました。「ITパスポート」の取得によって、従業員のIT能力を底上げさせる狙いがあるようです。これには大きな反響がありました。

　個人的には本件にはそれなりに賛成の立場をとっています。しかし恐らくITにあまり詳しくない人にとっては少々気が重い話かもしれません。皆さんも「2年以内に簿記3級を取得してください」といわれたら、拒否反応を示すのではないでしょうか（個人的にはビジネスに携わる上で、簿記の資格は取って損はないと思っていますが）。

　この施策はある意味で、従業員全体の「リテラシーを向上させる」という大きな目的を達成するための手段だと筆者は考えています。最近、この「リテラシー」について少々思うところがあったので、今回のコラムで取り上げていきましょう。

リテラシーを高めるだけでは、攻撃から身を守れない

　昨今、多くの企業組織がサイバー攻撃の被害に遭っています。被害のきっかけは、電子メールに添付されたマルウェアに感染したり、ネットワーク機器やWebアプリに存在する放置された脆弱（ぜいじゃく）性から侵入を許したり、脆弱なパスワードを利用して不正にログインされたりといった、「不注意」によるものが多いと感じます。

　ランサムウェア被害の報告書ではしばしば再発防止策として「教育や研修を通じリテラシーを向上させる」といった内容が書かれることもあります。確かに、従業員を教育し、セキュリティ対策の一助としなくてはならないというのは間違いないとは思いますが、果たしてそこにどれだけ頼っていいのかというのは疑問が残ります。

　より具体的な“リテラシー”とは、やはりパスワードの取り扱いのことを指すのではないかと個人的には考えています。つまり、PCの向こう側にいる人が本当に自社の従業員なのかどうかを認証することです。人間同士であれば、対面で本人確認書類と本人を突き合わせてチェックできますが、ネットワーク越しにそれをするのは難しいでしょう。

　「認証＝パスワード」ではないことは大前提として、それでも多要素認証やPKI（Public Key Infrastructure：公開鍵暗号基盤）が利用できない場合の認証の要は、記憶情報であるパスワードです。これをいかに管理し、脆弱なパスワードの利用を避けることが重要です。

　もちろん全従業員が高いリテラシーを持っていれば、脆弱なパスワードは使われず、使い回しもない状態をキープできるかもしれません。むしろこの認証さえ問題がなければ、多くの脅威から組織が身を守れるはずです。しかし、それは“絵に描いた餅”であり、実際は脆弱なパスワードの使用や、パスワードの使い回しといった穴から攻撃を受けるケースが後を絶ちません。

　そのため「リテラシーが低いから研修を通じて全従業員の意識を高めよう」という個人の意識付けに頼った対策だけに頼るのは、非常にリスクが大きいというより、対策の方向が間違っていると言わざるを得ません。リテラシーは最後のとりでとして考え、安全な仕組みを整えなければ、いくらリテラシーを向上させてもサイバー攻撃から身を守るのは困難でしょう。

“リテラシー”とはコミュニティーを守る“最低限のルール”

　仕組みがあればリテラシーが低いままでもいいかといわれると、そうとはいえないのが難しいところです。リテラシーが高くなくとも脅威から身を守る仕組みが実現できることが理想ですが、現状はまだ過渡期であり、従業員の助けがなくては安全を確保できません。

　一定のリテラシーを持つことで、コミュニティーやネットワークは円滑に回ります。これは交通ルールと似ているかもしれません。運転免許を持っていない人でも、自動車などの交通ルールについて必要最低限の知識は義務教育の中で教育を受けているはずです。これを破る人がいると、コミュニティー全体が損害を被り、自身も不利益を被るためです。"コミュニティーを守るため最低限の常識を身に付けるべき"という意見は皆が合意するものでしょう。

　それと同様に、ITの世界で最低限の知識を身に付けることは、コミュニティーを守ることになり、ひいては自分自身にとってもプラスになります。例えばスマートフォンの中に「お金」や「重要なデータ」が入っていると考えると、“強力なパスワードを利用すること”が自分自身を守ることにつながると理解できるはずです。

　このように従業員全員がセキュリティを「自分ゴト」とするとともに、セキュリティを自動化する仕組みも整えていきましょう。既に電子メールサービスなどでは、迷惑メールを自動で排除する仕組みが実装されています。近年はAI（人工知能）の発展も著しく、特に意識しなくとも脅威をブロックする仕組みは今後ますます整っていくはずです。しかし、それはまだ少し先の話です。こうした仕組みが整うまでは、自分のためにリテラシーを少しずつでもいいので高めていきましょう。

　パスワードについても、今ではWebブラウザのパスワード管理機能もあれば、単独のパスワード管理ソフトもあります。できればそういったツールを（有料であっても）手に入れて、使ってみることをお勧めします。

リテラシーを逃げの言葉にしないために

　個人的には“リテラシー”という言葉は、あまり利用しない方がいいのかもしれないと最近思います。この言葉の本来の意味は「読み書きの能力」のはずでした。それがいつの間にか、最低限押さえるべき知識を指すようになり、さらには上から「付けるべし」と強要されるものに変化している――。といったら大げさでしょうか。

　セキュリティの文脈で語る時のリテラシーとは、「スキルを身に付け、それを自分のために使う」という性格のものだと筆者は考えています。そのため、組織としては従業員に命じるものでもないし、対策をサボるための“逃げの言葉”として使われるものでもないはずです。ましてや、サイバー攻撃対策として「従業員のリテラシーを高め、再発防止に努める」などとは書いてもらいたくないと思っています。

　ITパスポートについては、いろいろと調べているうちに個人的にも興味が沸いてきています。恐らく今の私では合格できない気がしますが、上から言われるのではなく興味を持って受験することが一番良いと思っているので、そのうちこっそりと参加しようとは思っています。続報がなかったらそっとしておいてください。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。