人の心の弱さを突くソーシャルエンジニアリング：ビジネスに差がつく防犯技術（6）（2/2 ページ）

[杉浦司，杉浦システムコンサルティング,Inc]

セキュリティ自慢の企業こそ危ない

　ファイアウォールやウイルス対策は必要なものだ。プライバシーマークやISO 27001に取り組むことも評価されるべきことであり、ISO 15408認証を受けたIT製品を選択することも意義あることである。

　しかし、どれだけ優れた対策であっても完ぺきなものはあり得ず、「うちはしっかりしたセキュリティ対策を講じているから大丈夫だ」と自慢する企業は、かえってすきができて危険だ。

　セキュリティ対策には必ず前提条件となるものが提示されているはずである。ICカードならば紛失注意とか、パスワードならば容易に推測できるものはダメだとか。また、セキュリティ対策には制限や限界も提示されているはずだ。

　警備会社による侵入監視ならば、駆け付けるのに数十分かかるとか。Winnyで情報漏えい事件を起こした企業が万全のセキュリティ強化宣言をしたにもかかわらず、Winny事件を繰り返してしまうのは、“セキュリティ対策は万全と思ったときこそ危ない”ということを見落としていたからかもしれない。

教育より訓練が大事

　以上のように、ソーシャルエンジニアリングで使われる手口は難しいものではなく、どちらかといえば子供でも分かる程度のものだ。

　にもかかわらず、不正者にとってこれだけ有効性を持ち続けているのは、だまされる側にある「まさか」「そんな」という不用心性があるからである。

　こうした状況から、ソーシャルエンジニアリング対策としては、セキュリティ教育をどれだけやっても、知識はあっても実際に出くわした場面では、結局、「まさか」「そんな」になってしまう。

　そこで筆者が提案したいのは、“教育”ではなく“訓練”を行うことだ。だまされた経験がある人は慎重になる。しかし、本当にだまされることがないに越したことはない。訓練で模擬（ぎ）体験しておけばかなりの対応力が付くだろう。

次回予告

　今回はソーシャルエンジニアリングの内容と対策の必要性について詳しく解説した。人、特に心理的な弱さは常に狙われやすい防犯上の要注意ポイントだ。

　次回からは防犯技術のフレームワークとして、組織においてセキュリティやリスクマネジメントに取り組むために、どのようなことに留意すればよいのかについて順を追って説明していく。

　次回はまず、「JISQ2001−リスクマネジメントシステム構築のための指針」の内容をご紹介しながら、組織における防犯への取り組み上での全体像を示すことにする。

筆者プロフィール

杉浦 司（すぎうら つかさ）

杉浦システムコンサルティング,Inc　代表取締役

京都生まれ。

MBA／システムアナリスト／公認不正検査士

• 立命館大学経済学部・法学部卒業
• 関西学院大学大学院商学研究科修了
• 信州大学大学院工学研究科修了

京都府警で情報システム開発、ハイテク犯罪捜査支援などに従事。退職後、大和総研を経て独立。ファーストリテイリング、ソフトバンクなど、システム、マーケティングコンサルティング実績多数。

「ビジネスに差がつく防犯技術」バックナンバー

• “企業に役立つリスクマネジメント”を振り返る
• “企業に役立つ防犯技術”を振り返る
• 目的意識の低い内部監査では意味がない
• 財務諸表は不正探知のレーダーだ
• リスクに対応できるモニタリング技術とは
• 最強武田軍は組織と人を重んじた
• なぜ幹部は褒めるべき社員をしかってしまうのか
• 意味も分からず2ちゃんねるを規制していませんか？
• 人の心の弱さを突くソーシャルエンジニアリング
• 日本企業の弱点はリスクアセスメントにあり
• 内部統制はリスクアプローチを求めている
• 営業や経理職への“無条件の信頼”が危ない
• Winny事件は防犯意識のなさが生んだ必然
• 日本版SOX法の本質は文書化ではなく防犯だ