【ブックレビュー】どうしてこうなった？ セキュリティの笑えないミスとその対策51 ちょっとした手違いや知識不足が招いた事故から学ぶITリテラシー

この本に書かれているのは本当に初歩の初歩、だからこそセキュリティの専門家でない人にとって起こしがち（もちろん専門家とて油断禁物）の事例です。 「Googleフォームが全体公開になっていた」「zoomやslackのWeb会議画面共有で見えてはいけない資料・メッセージが見えてしまった」「電車内で機密情報を喋った」など、あるあるです。ヒヤリ・ハットした経験がある人もいるのではないかと。僕だって身に覚え有ります。

そしてやっぱりメールに関するセキュリティ事例の話が多いです。添付ファイルからのマルウェア感染、BCCと間違えてCCで送ってしまった、宛先を間違えた、メーリングリストに返信した、などなど。「手でメアドを入力しないようアドレス帳から選ぶようにしろ」と前職ではルール化されていましたが、それは結局アドレス帳から間違えて宛先を選んだ場合の誤送信を回避できませんよね。人間は疲労や精神的な同様、その他さまざまな理由により過ちを犯すものなので。メールは一度送ってしまったら最後、取り消しできないのもリスクを増長しています。昨今企業はLINEのようなSNSを使って顧客にアプローチすることが増えていますが、これには電子メールにごみメールばかり来て読まれない、という商売的な理由だけでなく、電子メールが古いツールゆえのセキュリティのリスクを避けたいという意図もあるのではないかと思っています。

業務で使う身近なツールに潜むセキュリティリスクも多数掲載されています。SNSという手軽に投稿でき、あっという間に拡散するツールと、”喋りたくてしょうがない”という人間の欲が悪魔合体すると、会社の機密情報を発信して懲戒解雇、という恐ろしい事態が起こります。僕も過去に従業員のSNS投稿の写真に第三者が映っているのを見つけ、「この写真、許可得て使っているの？」と聞いて無許可と知りびっくり。掲載を取り消してもらい、その後会社で「SNS利用の注意」と題した啓蒙動画を発信したことがあります。 PDFはAdobe Acrobatの黒塗り機能により文字を隠すことができますが、実際にはデータを読むことができる、というネタも会社のコラムで記事書いたことがあります。この本もそのリスクが掲載されており、この本の目の付け所はテクノロジーを深く理解しているエンジニア向けではなく、コンピュータを日常業務で使用している一般従業員向け、つまり現場と近い本だと思いました。

セキュリティの専門家にとっては「知っているよそんなこと」という内容ですが、だからこそこの本を僕は評価します。結局一般の人こそがセキュリティのリスクなのですから。この本はとても丁寧にセキュリティリスクを紹介していますが、問題なのは一般の人はなかなか自発的にこのような本を読まないということです。 そのため今年の新入社員教育で、この本の内容を引用させていただきました（もちろん「引用」と言えるレベルでです）。

• 電子メールの添付ファイルを開かないこと
• 携帯電話や業務PCの紛失に気を付けること
• オフィスの外で業務を行うこと、公衆無線LANを利用するリスク
• SNSを使う際のルール

これらの資料は社内で啓発活動を行うために過去作ってきましたが、作っては忘れ去られてきたため、今回再利用しました。新人教育にだけ使うのはもったいないので社内にも共有しよう。