パーソナルセキュリティの役割にステップアップする
目を閉じて、「サイバーセキュリティインシデント」という言葉から、頭の中にイメージやシナリオを思い浮かべてみてください。そうすると、あなたの頭の中にはどんな絵が浮かんでくるでしょうか。あなたのバックグラウンドや専門性のレベルによって、あなたの前頭葉から生み出されるイメージは、他の人が想像するものとは全く異なる可能性が大いにあります。しかし、セキュリティは、たとえ人によって意見が違っても、私たち全員が共有する責任です。
テクノロジー業界で正式な経験を積んでいない人がサイバーセキュリティの事件を想像すると、非常に優れたコンピュータスキルを持つ人物が、光パルスが点滅する3Dビルの間を移動しながら、90年代には非常にキャッチーだったテクノサウンドトラックをバックに企業のサーバーにアクセスする姿を想像するかもしれません。もし、あなたの頭の中のイメージがそれに似ているとしたら、私はハリウッドを非難します。なぜなら、サイバー攻撃は全くそのようなものではないからです。誤解を恐れずに言えば、1995年の映画「ハッカーズ」(主演はジョニー・リー・ミラーとかなり若いアンジェリーナ・ジョリー)はカルト的な名作で、とても楽しい作品です。しかし、現実の世界では、ほとんどのハッキングはそれほど洗練されておらず、楽しくもない。
IT業界に身を置く読者にとっては、これから述べることは全く驚くようなことではないだろう。しかし、もしあなたがIT分野で働いたことがないのであれば、私の観察はまさに衝撃的なものになるでしょう。高度なハッキングと思われたものが(メディアでは)単なる電話だったということがあります。それだけなんです。SGIワークステーションでデザインされた派手なビジュアルもない。
しかし、私たちには悪質な行為者がいます。業界では、このような人たちを「脅威行為者」と呼びますが、ハリウッドのハッカー映画で見られるような悪質な行為よりもずっとひどいものです(悪気はありません、当時は新人だったアンジェリーナです)。
現実の世界では、脅威行為者が無許可のシステムにアクセスする場合、社内の誰かに電話をかけるという単純な方法で行われるかもしれません。おそらく、その人物は会社のIT部門の人間を名乗り、従業員にパスワードを聞くのでしょう。一人がパスワードを漏らすだけで、その会社は(悪い意味で)ニュースになるのです。
しかし、公平を期すために、テクノロジーは巨大なテーマである。多くの異なる分野から成り立ち、この分野を極めるには何十年もかかることもあります。ありがたいことに、優れたセキュリティ衛生管理には、技術の第一人者になる必要はありません。そして、あなたの現在の職務がたまたま何であるかは関係ありません。セキュリティは重要です。セキュリティは重要であり、あなたは絶対にそれに注意を払うべきです。
多くの組織では、残念ながらITスタッフとその他の従業員との間に溝があります。この溝は存在しなくてもいいのですが、文化によって多くの組織で見受けられます。そして、この溝が最も大きな痛手となるのです。しかし、自分たちの安全を守るためには、全員が同じチームの一員である必要があるのです。
技術者でない人にとって、コンピューティングの世界をナビゲートすることは、フラストレーションがたまることです。ユーザーは、定期的にパスワードを変更するよう求められ、各サービスで同じパスワードを繰り返さないよう促され、さらにアカウントを保護するために多要素認証を使用する必要があります。ITプロフェッショナルにとっては、これらのことは当たり前のことです。それ以外の人にとっては、このようなポリシーは厄介なものです。なぜITチームは、組織のすべてのサーバーを100%無敵にすることができないのでしょうか?なぜ、常にユーザーに不便を強いるのか?
一般的な従業員は、自分の仕事を終わらせたいのに、1日のうちに5回もGoogle Authenticatorを開くことに、それほど熱心でない場合が多いのです。セキュリティは、推奨されるプラクティスがあるとしても、単純なものではありません。
現場で働く私たちにとって、ユーザーに迷惑をかけることは最も避けたいことです。しかし、多くの人はそう思っているかもしれません。実際、会社のサーバーで働く私たちは、他の人たちと同じように、できるだけストレスのない仕事をしたいと思っています。他の人と同じように、私たちも自分の仕事をやり遂げたいし、もしかしたら、みんなが話題にしている新しいスーパーヒーローの映画を見るために、時間通りに仕事を切り上げたいかもしれません。
しかし、セキュリティは誰にとっても重要です。少なくとも、そうでなければなりません。セキュリティに真剣に取り組むことが、あなたの会社を存続させる唯一の理由かもしれません。大げさに聞こえますか?でも、これは正しいことなのです。たった一度のサイバーセキュリティインシデントが、組織全体の評判を落とすことになるのです。そして、その結果、利益が激減してしまうのです。
2020年、Twitterがサイバー攻撃の被害者となった。Vergeによると、Twitterは「数人の従業員が電話によるスピアフィッシング攻撃の標的にされた」ことを明らかにしました。つまり、このサイバー攻撃は、19歳のコンピュータマインドがコードを解読した結果ではなく、脅威者は電話を取るだけでよかったのです。
そう、彼らは電話をかけまくったのだ。そして、映画で描かれるようなセキュリティインシデントとは異なり、全くエキサイティングでもエンターテイメントでもありません。電話や電子メールのメッセージから始まる攻撃がいかに多いかを考えると、脅威となる人物はコンピュータの専門家でなくても、保護されたシステムにアクセスすることができるのです。彼らは単に電話を取り、誰かのパスワードを聞くだけです。そして、その後、混乱が起こるのです。
先に述べたTwitterの例は、多くの例のうちの1つです。パッチが適用されていない脆弱性を利用し、驚異的なコンピュータスキルを持つ脅威者が存在することは確かですが、多くのセキュリティ事件は、善意のスタッフに仕掛けられた簡単なトリックから始まります。
このため、セキュリティは、企業内での役割に関係なく、すべての人の責任です。組織のセキュリティは、最も弱い部分の強さによってのみ決まります。一人の人間が悪意のあるリンクをクリックしたり、非常に説得力のある(しかし完全に偽の)電話を本物と信じてしまうだけでいいのです。
では、どうすればいいのでしょうか?
答えは「教育」です。教育はすべての人に力を与えますが、エンドユーザーが適切なトレーニングを受けなければ、ソーシャル・エンジニアリング攻撃に引っかかる可能性は想像以上に高くなります。そして、それはこれからさらに悪化していくでしょう。
IT業界は時に複雑ですが、ユーザーを教育することで、私たちはより良い保護を受けることができます。組織内のセキュリティ・トレーニングは、非常に真剣に取り組むべきものです。チームメンバーが直面する可能性のあるさまざまな種類のセキュリティの脅威に対処する方法を教えてください。
IT分野で働く読者の皆さんは、このメッセージに特別な注意を払ってください。不確実な状況に直面したときに何をすべきかを同僚に教えるだけではいけません。なぜそれが重要なのかを伝えるのです。パスワードポリシーだけを伝えるのではなく、そもそもなぜそのようなポリシーがあるのかを皆に知ってもらう。セキュリティ研修では、実際の実例をあげて、サイバーセキュリティインシデントがいかに現実的で、実際にどのように起こっているかを説明する。インターネットで「サイバーセキュリティ侵害」などと検索すると、実際に被害に遭った企業を中心としたニュース記事がヒットします。
パスワードポリシーがない場合、どのようなことが起こるのか、その事例を紹介すれば、社内の人もパスワードポリシーに従おうと思うかもしれません。また、「本物だと思っていたメールメッセージのリンクをクリックした人がいて、その組織がどんな目に遭ったのか」という例も紹介しましょう。
要するに、会社の方針を伝えるだけでなく、なぜその方針が存在するのかを皆に知らせることです。そして、もっと重要なのは、それが守られないとどうなるかを知らせることです。
私たちの生活を守るためには、同じチームの一員である必要があります。セキュリティ衛生管理は、私たち全員が共有する責任なのです。
先ほどのツイッター事件のソース。https://www.theverge.com/2020/7/30/21348974/twitter-spear-phishing-attack-bitcoin-scam
>
About Björn Schönewald:
