サイバーセキュリティは、設備と仕組みと意識で防ぐ

「サイバー攻撃なんて、大企業や役所の話でしょう?」

そう思っていらっしゃる方は、実はとても多いのです。ニュースで取り上げられるのは有名企業の情報漏えいばかりですから、無理もありません。しかし、実際の被害件数を見ると、中小企業や個人事業主、さらには一般のご家庭まで、規模を問わず被害は広がっています。

理由はシンプルです。攻撃する側から見れば、守りの堅い大企業よりも、守りの手薄なところを狙うほうが「効率がよい」からです。泥棒が、警備員が立っている豪邸よりも、鍵のかかっていない家を選ぶのと同じ理屈です。

では、どう守ればよいのでしょうか。高価なセキュリティ機器を導入すれば安心でしょうか。実は、それだけでは足りません。サイバーセキュリティは「設備」「仕組み」「意識」という三つの柱で守るもの、というのが本記事のテーマです。三本脚の椅子を想像してください。一本でも欠ければ、座った瞬間にひっくり返ります。

第一の柱「設備」 ― 道具をそろえることは出発点

まずは「設備」、つまり技術的な対策です。具体的には次のようなものが挙げられます。

ウイルス対策ソフトの導入、パソコンやスマートフォンのOS(基本ソフト)を最新の状態に保つこと、データの定期的なバックアップ、そして社内ネットワークの入口を守るファイアウォールなどです。

難しい言葉が並びましたが、家にたとえると分かりやすくなります。ウイルス対策ソフトは「番犬」、OSの更新は「壊れた鍵をすぐに直すこと」、バックアップは「大切なものの控えを別の場所に保管しておくこと」、ファイアウォールは「玄関の門」です。

ここで強調したいのは、設備は「高ければよい」というものではない、という点です。最新の防犯カメラを十台つけても、玄関の鍵が壊れたままなら意味がありません。むしろ、OSやソフトの更新といった、無料でできる基本をきちんと続けることのほうが、効果は大きいのです。

「更新のお知らせが出るたびに『後で』を押してしまう」という方、心当たりはありませんか。あの「後で」ボタンは、押せば押すほど泥棒に「もう少し待ってあげますね」と猶予を与えているようなものです。お知らせが出たら、お茶でも淹れている間に更新してしまいましょう。

第二の柱「仕組み」 ― ルールがなければ道具は活きない

立派な設備をそろえても、それを「どう使うか」が決まっていなければ、宝の持ち腐れです。二つ目の柱は「仕組み」、つまりルールや手順づくりです。

たとえば、次のような決めごとです。

パスワードは長く複雑なものにし、サービスごとに使い分ける。退職した人のIDはすぐに削除する。重要なデータには、必要な人だけがアクセスできるようにする。怪しいメールを受け取ったときの報告先を決めておく。万が一被害に遭ったときの連絡手順を、あらかじめ紙に書いて共有しておく。

パスワードについて、もう少しだけ補足します。よく使われるパスワードのランキングを見ると、毎年のように「123456」や「password」が上位に並びます。これは、玄関の鍵穴に「鍵はここに差してください」と親切な札を下げているのと変わりません。覚えやすさを優先するなら、「好きな食べ物+記号+数字」のように自分だけが思い出せる長いフレーズにする方法もありますし、パスワード管理ソフトに覚えてもらうという手もあります。人間の記憶力に頼りすぎないこと、これも立派な仕組みづくりの一つです。

最後の「紙に書いておく」は冗談ではありません。サイバー攻撃を受けると、パソコンが使えなくなることがあります。「対応マニュアルはパソコンの中です」では、金庫の鍵を金庫の中にしまっているのと同じことになってしまいます。

また、仕組みづくりで大切なのは「人は忘れるし、面倒くさがる」という前提に立つことです。「全員が気をつける」というのはルールではなく、願望です。気をつけなくても安全が保たれるように、たとえば「二段階認証(パスワードに加えてスマートフォンへの確認通知などで本人確認する方法)を全員必須にする」といった形で、仕組みに落とし込むことが重要です。

第三の柱「意識」 ― 最後の砦は、結局「人」

三つ目の柱は「意識」です。実は、サイバー攻撃の多くは、コンピューターの弱点ではなく「人の心の隙」を突いてきます。

代表的なのが「フィッシングメール」です。実在する銀行や宅配業者、取引先になりすまして、「アカウントが停止されます」「荷物をお届けできませんでした」といったメールを送りつけ、偽のサイトに誘導してパスワードを入力させる手口です。

ここで、ある架空の会社の例をご紹介します。

ある小さな会社の経理担当者のもとに、社長の名前で一通のメールが届きました。「至急、取引先への支払いを今日中に済ませてほしい。会議中なので電話には出られない。振込先は以下の口座に変更になった」という内容です。差出人の名前は確かに社長。文面も丁寧で、いつもの口調に似ています。

担当者は急いで振込の準備を始めました。しかし、ふと手が止まります。「うちの社長、『至急』なんて言葉、使ったことあったかな。いつも『なるはやで〜』しか言わないけど」。

念のため社長の席まで歩いて行くと、社長は会議どころか、のんびりお煎餅をかじっていました。メールは偽物。社長の名前を語った詐欺メールだったのです。お煎餅が会社を救った瞬間でした。

これは「ビジネスメール詐欺」と呼ばれる、実際に世界中で被害が出ている手口を基にした例です。この例から学べることは三つあります。一つ、攻撃者は技術ではなく「急がせる」「偉い人の名前を使う」といった心理を突いてくること。二つ、「おかしいな」と感じる感覚が最後の防波堤になること。三つ、確認の一手間(この場合は席まで歩くこと)を惜しまない文化が会社を守ること、です。

意識を高めるには、特別な研修だけが方法ではありません。朝礼で最近の手口を一つ共有する、怪しいメールを見つけた人を叱るのではなく「よく気づいた」とほめる、といった日常の積み重ねが効きます。「報告したら怒られる」雰囲気の職場では、被害の発見がどんどん遅れてしまうからです。

三つの柱は、どれか一つでは倒れる

ここまで「設備」「仕組み」「意識」の三つを見てきました。改めて整理すると、こうなります。

設備だけあっても、使い方のルールがなければ穴だらけになります。仕組みだけ立派でも、守る道具がなければ絵に描いた餅です。そして、設備と仕組みが完璧でも、たった一人が偽メールのリンクを押してしまえば、扉は内側から開いてしまいます。

逆に言えば、三つがそろえば、完璧ではなくとも「狙われにくい組織」「被害に遭っても立ち直れる組織」になれます。サイバーセキュリティの目標は「絶対に被害に遭わないこと」ではなく、「被害に遭いにくくし、遭っても被害を小さく抑え、早く立ち直ること」なのです。

おわりに ― 今日からできる小さな一歩

最後に、今日からすぐにできることを挙げておきます。

パソコンやスマートフォンの更新通知が出ていたら、「後で」ではなく今すぐ更新する。使い回しているパスワードを一つでも変える。大切なデータのバックアップを取ってみる。そして、家族や職場の仲間と「最近こんな詐欺メールがあるらしいよ」と話題にしてみる。

どれも費用はかかりません。セキュリティ対策というと身構えてしまいますが、最初の一歩は「お知らせを無視しないこと」と「ちょっと変だなと思ったら確認すること」。それだけで、守りの強さは見違えるほど変わります。

三本脚の椅子、今日から少しずつ組み立てていきましょう。

Back to top
タイトルとURLをコピーしました