TriTry Logo

TriTry

セキュリティ対策とは人の対策

セキュリティと聞いて思い浮かべるもの

「セキュリティ」と聞いて、まず思い浮かべるのは何でしょうか。多くの人が、暗号化技術や仮想化、ファイアウォールといったIT技術を想像するのではないかと思います。確かに、現代の情報社会において、これらの技術はセキュリティの中核を担っています。

しかし、こうした技術はあくまで「道具」に過ぎません。真に問われるべきは、それを扱う「人」の意識と行動です。セキュリティとは、技術だけで完結するものではなく、人の文化や態度に深く根ざした問題なのです。

この記事を執筆するきっかけ

まず初めに、この記事を執筆のきっかけをお話しできればと思います。

自分にはとある後輩がいました。エンジニアになりたてですが、思考のセンスがよく、開発物だけでなく、その背景やその後の運用まで気が回るタイプで、今後の成長が非常に楽しみでした。この人をAさんとしましょう。

そしてもう一人、Bさんがいました。その人はシステムへの知見はほぼ皆無といってもよいが、すべてAIで組み立てられると考えるタイプのビジネスサイドの人間でした。

Bさんは、システム運用のリスクやその時の損失額について計算することができず、また情報統制についてもかなりいい加減で、公共の場で顧客の話を大声でするようなタイプでした。つまりセキュリティが守れないタイプの人間です。

AさんとBさんはもともと仲が良く会話も多かったのですが、Bさんの話は一見すると耳障りがよく非常に「楽」なものでした。

徐々にAさんはBさんの意見への賛同が多くなってきました。

私自身、高度なITの提供を生業にしている以上、このようなセキュリティの意識が低い人と会話することは私自身のリスクでしかなく、もともとBさんとは疎遠になっていたのですが、期待していたAさんとも関係を薄めなくてならなくなってしまいました。

この出来事から、やはりセキュリティ対策は「人」であり、金八先生の加藤の話を想起せざるをえず、そのジレンマと人との向き合い方を考えたいと思い執筆しました

技術的には突破されない

現在のセキュリティ技術は、非常に堅牢です。たとえば、パスワードを破るには何万通りもの試行が必要ですが、実際にはそのような試行を許すシステムはほとんど存在しません。ログイン試行回数の制限や、アカウントロック、二段階認証などが標準的に導入されています。

また、データベースへのアクセスも、単純なパスワードではなく、公開鍵暗号方式などが用いられています。これらは、何百桁にも及ぶ素因数分解を前提とした暗号であり、現在の計算機では解読に数百年かかるとされています。つまり、技術的には「突破されない」ことが前提となっているのです。

「量子コンピュータ」が導入されれば公開鍵暗号は様相が変わってきますが、それが実現される前に数学的な難しさを担保した量子暗号が導入されるため、メンテナンスが進むシステムであれば突破されません

ではなぜ「セキュリティ」が突破されるのか

2025年にはアスクルやアサヒでランサムウェアに感染したり、小さい情報流出事故は頻繁に起きています。

なぜなのでしょうか。

それはすべて「人的なミス」が生じるからにほかなりません。

・フィッシングサイトのような見た目そっくりなサイトにIDとパスワードを入力してしまう。

・気づかないうちにコンピュータのキー操作の内容を外部に送付するソフトウェアのインストールを許してしまう。

・デスクの周りにパスワードが張ってある

・パスワードがPasswordである

これらはすべて人のミスです。

これらを防ぐものが「セキュリティ対策」です

セキュリティ対策の難しさ

セキュリティ対策はどんなにITチームが頑張っても技術だけでは限界があり、結局は人への対策に収れんします。

この人というのが曲者で、考え方が様々です。「自分だけは大丈夫」「いままでそんなに意識してなくても大丈夫だったから大丈夫」

そんな甘い考えが上記の流出事故を招きます。

そしてこの考えは、ほかの人に伝播します。「あいつはやってなくても平気だから平気だろう」

このように、甘いセキュリティへの意識が次々に広がっていくのです。

この記事では具体的なセキュリティ対策については触れません。巷に溢れていますので。それよりも人の意識の伝播に焦点を当てました

加藤はミカンじゃないんです。人間なんです!は通用しない

金八先生のセリフの引用です。

素行不良の加藤という生徒を巡った発言で、金八の生徒への向き合い方を表す名セリフでした。

しかし、これは加藤がまだ学生だったから。まだ更生するチャンスを奪ってはならない子供だったからよかったのです。

セキュリティ対策を施す先は基本的に皆大人です。セキュリティへの意識は変わりません。

基本的にネットワークから遮断したり、アクセスできない場所を増やすことでしか意識が低い人への対策は立てられません。

腐ったミカンは次々にほかのミカンを腐らせる。取り除くことでしかほかのミカンを守れないのです。

人に期待しつつ、しすぎてはいけない難しさ

相手が若手である場合、セキュリティ事故の悲惨さなどまだまだ知らないことも多くわかってもらいないとおもい、真剣に向き合いたいと思う一方でそのいい加減さがほかに伝播したり、また自分も重大事故の巻き添えにならないようにしないといけず、いつかはあきらめないといけない。

システムによる自動化やAI化が進んだ昨今でも、システムの根幹は人でなければなりません。

「ぼくは死にましぇん」といって向き合い続けたくとも、本当にナイフを振り回し始めたらさすがにどうしようもないのです

コメント (0)

まだコメントがありません。最初のコメントを投稿してみませんか?

コメントを投稿する

0/500
← 記事一覧に戻る