まずは、気になる結論からご説明します。
セキュリティ対策を施すメリットは「10秒に1人が高度なサイバー攻撃を受け、1回につき約3万円発生する損失から、情報やIT機器を守るため」です(国立研究開発法人情報通信研究機構、調べの2017年度公開情報から引用)
何やら恐ろしい内容ですが、2017年度の情報なので現状は、さらに悪化しています。
当然、IT機器を操作するOSにはセキュリティ対策と、無料で使える防御用のソフトウェアが搭載され始めました。
しかしこれらは、自動車で例えると「自賠責保険(義務)」のようなもの。そのままでは「任意保険」に一切、加入せずに大通りや商店街をかっ飛ばす状況になります。ピンと来ないときは、大統領や総理大臣をイメージして下さい。このような人が雑多な大衆食堂へ、SPもボディーガードもなしで食事をし、かつ、仕事まで行う状態です。
誰もが「無防備すぎる!」と感じることでしょう。
では話を戻します。これらの例で、ボディーガードがセキュリティ対策となります。そしてサイバー攻撃は、IT機器と情報に危険が及ぶ行為すべてを意味します。
機密ファイルの消去や盗み取り、土台たるOSの破壊から、悪意を持って情報漏えい等を勝手に行う「マルウェア」へ感染させられるなど、油断も隙も無い状況下です。安全にIT機器を操るには「インターネットやネットワーク類へ接続しないこと」となります。
ですが仕事になりませんし、本当にソレしか対策はないのでしょうか?
答えはいいえ。
インターネットの世界は光り輝いています。ただ、光があるのと同時に闇も生まれ、闇の部分と関わる存在こそがセキュリティ関連の仕組みです。「セキュリティ対策を万全に」と、呪文のごとく言われていますが……何に対して「万全」にするのでしょう?
(1)よくわからないメールの本文を見て、ウェブサイトを示す文字列を、興味本位にクリック。よくわからないウェブサイトの閲覧。
(2)メールに添付されているものを確認しようと、クリック。ファイルとして保存した後に見てみようと操作。
(3)IT機器の動きからファイルの内容、さらに使っているソフトウェアの作業スピードが遅い、画面に出せない、勝手に動いている等。
(1)のケースでは、パスワードからクレジットカード番号などの個人情報を、ウェブサイトに仕掛けられた「悪意あるソフトウェア」を動かし、漏えいさせようとしてきています。
もしくは「確認が必要です」などと、あおる内容が表示され、使う人に自ら情報を入力させてしまいます。フィッシングサイトと呼ばれる「にせもの」「騙し」サイトのことです。
(2)のケースはストレートに「悪意あるソフトウェア」を、個人や企業が使っているIT器機へ勝手にセットしようとしてきます。「悪意なし」な文書ファイルや画像だと、だましてみせかけることは、あるレベルの技術者ならば簡単にできます。
(3)の状態ならば、サイバー攻撃を受けている最中かもしれません。
対策が必要な相手は「にせものサイト」、「悪意あるソフトウェア」です。加えて、外部から取り入れたり、送ったりする情報そのものです。これは盗聴や盗撮のインターネット版だと考えて問題ありません。情報を盗まれること、それらを転売されたり悪用されたりすることを、総じて「情報漏えい」と呼び、事故扱いでイメージダウンにつながります。
こんな「相手」は、早く見つけられないと、大変なことに発展しかねません。
ですがうっかりクリックしたり、落とし穴が仕掛けられたウェブサイトを見てしまったり、人為ミスは防ぎきれません。インターネット版の盗み見なんて、どうしたらいいの?
そのため「万一」に対処する「セキュリティ対策を万全に」との言葉がポイントになってきます。なんだか得体の知れない難しさや、面倒さを感じますが大丈夫。
「高度な」セキュリティ対策やソフトウェア、システム(仕組み)を導入することで、あなたは屈強なボディーガード数百人が見張るなか、悠々快適に仕事や操作ができる状態へ早変わりできます。
・高度で屈強なセキュリティ対策で「クラウド」関連までガードできる?
結論から書きますと「できる」のひと言。それならば「高度で屈強」な状態にするには、無料提供されるセキュリティ対策ソフトウェア系を複数、導入すれば完ぺきでしょうか?
パソコンやデジタル機器が接続できるインターネットの世界は、世界規模で広大な存在です。
その広大さを活かし、リモートワークであろうと、数クリックで世界中のあちこちと接続できる恩寵を受けられるようになりました。
最先端な「クラウド技術」は、間もなく一般的な存在になっていくこと、間違いありません。
インターネットのウェブサイトは、世界中に散らばっています。ですがサイト同士は「繋がっている」状態であるため、まるで「クラウド」のようにモヤモヤしていると、この呼び名ができました。
インターネットを使う端末の接続環境を可能にすれば、自宅からだろうと職場からだろうと、海外からだろうと、ひいては国際宇宙ステーションからだろうと、その場を仕事や作業の場へ変えられます。
しかし、現代のロケット打ち上げと同じく「想定外」なワーストケースは、ゼロではありません。前述のサイバー攻撃の統計を見ると、ロケットの打ち上げ失敗確率の方が低く感じます。
それ故多く存在する想定外へ自動的に対応と対処ができ、システム管理者が手動で行わねばならない手間と時間、リソースの消費を減らせる
AI対応型となる「高度で屈強さ」を備えたセキュリティ対策は、もはや必要という段階から「導入必須」になっています。
サイバー攻撃の技術もどんどん進んでしまい、リアルな世界と同様「変異させられたマルウェア(コンピュータ・ウイルス)」が作られ、狙ってきています。これらの類似点や特性を探れる臨機応変な、AI技術によって守りを固めなければ「身代金要求」が送りつけられる時代です。
「身代金??」
新たな攻撃ケースとなる「ランサムウェアへIT機器を感染させる」行為をガードできなければ、システムの操作から、ファイル類の暗号化による利用不能まで、一瞬で行ってしまいます。そして、システムのロック解除や暗号解除をしてほしければ「支払いをせよ」と莫大な被害を受けます。暗号の解除は専門家でも数千年かかるレベルの難易度なため、お手上げです。
セキュリティ対策をおろそかにしていた企業、かたや個人にまで要求が送られ屈して数億円支払った企業や組織、倒産した企業からセキュリティ対策が怠慢だと「解雇」される個人まで、話は尽きません。
・最凶なソーシャルエンジニアリングへの対策はひとつ
次に、AIでも守るのが難しい「ソーシャルエンジニアリング」という悪行についてです。簡単にまとめると
「お金を積んで、企業や組織所属の人に情報を盗んでもらう行為」となります。
心理的なスキや行動のミスにつけ込み、ときに金銭でこっそり雇い、サーバーの管理者から組織職員などから情報を、わざと漏らさせる内部犯罪と言えます。
これはどんなデジタル技術を駆使しても現状は「打つ手なし」、こう思われがちです。半分アタリですけれど、セキュリティ対策ソフトウェアやシステムが細かくカスタマイズできるのでしたら、話は別になります。
重要情報やファイルを扱える人、さらにインターネットでどの程度アクセスできるか等、情報を扱う人の権限と範囲を決めるカスタマイズをすれば、顧客情報のデータをコピーしようにも、拒否されて何もできないようにできるのです。
存在感が薄く軽視されがちですが、セキュリティ対策において活用スタイルに合った機能構成がカスタマイズできるかどうか、見落としてはならないポイントです。
・セキュリティ対策用に定義された「CIA」
「これってセキュリティと反対のことをする組織では?」と、勘違いしそうです。
ここで使う「CIA」とは「情報システム及びネットワークのセキュリティのためのガイドライン」に示されている略語です。情報をアクセスするときの脅威を調べ、有効な対策を行う指針こそがズバリCIA。
ネットワークの普及により知られるようになった機密性(Confidentiality)、次に保証書のごとき完全性(Integrity)、最後は情報を扱う難易度となる可用性(Availability)、それぞれの頭文字です。
インターネットを使う際は、ポートと呼ぶ、あまり明示はされない機能を使い、無数のソフトウェアやタスク(処理)を働かせています。アクセスする際、それらポートへのサイバー攻撃に対し、一定のカベとなる機能「ファイアウォール」、また、マルウェア対策などのセキュリティ強化は「自賠責保険」のように完備はされていると冒頭で説明しました。
そのひとつに、不意の傍受や不正アクセス(無許可なやり取り)から情報を守るため、「暗号化」技術を使った対策が、一般化しつつあります。
最近、よく見かけませんか?
ウェブサイトを示す文字列の先頭が「http」ではなく「https」となっているものを。これもオマケに近い雰囲気ですが、セキュリティ対策の一環です。
冒頭にある「s」は「セキュアな通信」を意味し、やり取りする情報と通信を暗号化し、セキュリティ対策を施していますとの目印です。逆に、個人情報を入力するサイトやショッピングサイトで「s」の目印がない場合、やり取りや情報は「その気になれば誰にでも見られる形のまま」インターネットで伝わっていく、危ない通信となります。
一般に、これら重要サイトや無線LAN(Wi-Fi)ならば「WPA/WPA2」という技術が使われ、暗号化された通信になっています。
・「完全性」は?
定期的に情報(ファイル類)の変化を「改ざんの有無」として、調べる対策が有効とされています。ただしこの対策は、先ほどの「CIAの定義」からすると、情報の完全性は常に保たれるという「予防対策」ではなく、事後対応となり、定義から少し外れます。
それでもセキュリティ対策用として、自動的にチェックするシステムさえ導入すれば、情報の変化や改ざんは、すべて見抜けて情報の保護、守りになります。
今のところそれら以外に、情報が悪意を持つユーザの手に渡ったケースを予め考え、万一の際に情報の中身だけはわからないよう、独自に暗号化しておく対策が推奨されています。
・「可用性」は?
可用性についてですが、ざっくりと「情報へのアクセスが認められているユーザーは、利用したいときに利用できる」という意味です。使い勝手と管理についてのガイダンスとなります。しょっちゅう故障したり、ソフトウェアのエラーが出たりしていては、利用したいときにさっぱり利用できません。
このご時世なので仕方がないものの、ネットワークを使う人が増え、インターネットなど通信回線が混みあっています。そのうえ、アクセスする人はますます多くなり、ネットワーク関連システムの処理能力を超えるケースが増大中とのこと。システムダウンのニュースを、たまに耳にしますね。
サーバを含めたシステムへの負荷によって頻繁に、サービス停止状態やアクセス不能になるようでは、可用性については大問題となります。
セキュリティ対策のまとめ
セキュリティ対策技術も進み、考えも確立されてきたな、と感じられたでしょうか。ただ残りひとつ、人が行う重要ポイントがあります。
それは、セキュリティ対策の状況や情報、そしてOSでも行う「アップデート」の確認です。どんな精密機器だろうと、エラー発生確率ゼロや反対に、100%完全無比なる動作はありえません。
サイバー攻撃は不意打ちです。同じく不意のトラブルは残念ながらどんな機器でも起こりえます。
ですから自動的にアップデートをする設定していても、人の目による状態確認は必須です。導入する対策ソフトウェアが、セキュリティの状態を簡単に確認できる仕様ならば万一、怒涛のサイバー攻撃からぎりぎり、ファイルやシステムを守っている状態でも、すぐわかります。
情報戦が物事を制す時代です。危険を確認したら、あとはセキュリティ関係をカスタマイズし一時的に、機能の具合を強いものにすれば大丈夫。「相手」が諦めたとき、再びカスタマイズして、あまり強すぎないセキュリティ体制・状態へ戻せばいいのです。
その他、パスワードの変更指示を出す、職場や組織内などで使える重要ソフトウェアの権限をカスタマイズし、制限する等々、対応策を素早く打てます。
「セキュリティは強く設定すればするほど、良いのでは?」
そう、このような声が出そうですが、出入り口での人物確認と荷物検査を常時、10回行われたら、どうですか? 1回でも検査に不備が出たら、出入りできないとしたら?
これとまったく同様なことが、IT機器でも起こってしまうのです。
制限をあまりに強くすると、セキュリティ対策の数少ないデメリットとなる「クラウドに関係するソフトウェア・アプリに不具合が起こる。ソフトウェアがセットできない。画面に出せない」、これらの問題発生が顕著になってきます。
カスタマイズできて、セキュリティ対策に「緩急をつけられる」、こんな状態を構築し、維持管理していくことこそが、理想的なIT/ICTの利用環境につながると考えています。
