「【ブックレビュー】サイバーセキュリティ、マジわからん」と思った時に読む本

2025, Apr 27    

会社におけるセキュリティ担当として活動して思うのは、いくらセキュリティ担当者が学び、規程を作成し、セキュリティを強化するツールを導入したとしても、現場で働く普通の人がセキュリティの意識が低いままでは会社全体のセキュリティのレベルが上がらない、という事実です。とはいえ、自分がかつてセキュリティ担当でもなんでもなかったときは今のような意識は持っていなかったことも事実。

本当にごく一般の方向けに、リスクを低減するために知っておいたほうが良い知識をまとめ、周知し、定着してもらう必要があります。この本はタイトル通り本来は普通の人に読んでもらいたいのですが、そもそもセキュリティを意識しながら仕事したくない、というのが一般の人の考え。このような本を手に取るとも思えません(笑) そのため、この本のレベルを何度でも何度でも口酸っぱく伝えるのが、一般社員向けのセキュリティ講習を担当するIT関連部署の社員の役目であると思います。

まず、セキュリティリスクでどのような被害が実際に起こるのか、けして他人ごとではないのですよ、ということを身近な被害からレクチャーすることは大事と思います。銀行口座から現金がインターネット経由で奪われるケースや、ランサムウェアによるインターネットサービスの利用停止、USBメモリ紛失・盗難による情報漏洩、公共交通機関や病院が攻撃されたなどは日常生活でも聞いたことがあるはずなので、興味を持ってくれるはずです。 僕はこの本で紹介されていた心臓ペースメーカーがインターネットにつながり遠隔治療や状態確認ができるようになった利便性の半面、脆弱性によりハッキングされるおそれという話しが印象に残りました。まだリアルで起きた事例ではないようですが、技術的には起こっても不思議でない話しです。一昔前なら映画や小説で書かれたようなフィクションの世界に今生きているのですね。

一般の人が被害を受ける原因の一つである、身近なソーシャルエンジニアリングについても紹介されています。タイトルを聞くだけで震える「スマホを落としただけなのに」（これ、推理小説なのですね、てっきりセキュリティをネタにしたホラー小説と思っていましたよ）。この本を読んでいて「社員の人たちはスマフォを廃棄するときどうしているのだろう？」と思いました。三大キャリアのようにしっかりした会社ならしっかり処理してくれるだろう、という信頼はありますが、中古スマフォ店で買取してもらったスマフォは本当にデータを完全消去してくれるのだろうか。 パソコンやスマートフォンには貴重な金属が使われているため、リサイクル目的で自治体がリサイクル箱を用意してくれていることがありますが、この際にちゃんと個人情報も消去してくれているのでしょうか？行政のホームページを観ましたが、そのあたりについては記載がありませんでした。そこがはっきりしないと社員にも勧めにくいですよね。

次にフィッシング対策。未だにセキュリティ事例トップ10の上位に位置します。ランサムウェアの入り口にもなりますし、そもそもフィッシング詐欺で使われる一見便利そうなソフトウェアに見せかけたマルウェア”トロイの木馬”の元ネタが紀元前のトロイア戦争にさかのぼるわけですから、人類が逃れることのできない罠といえそうです。対策がいろいろ紹介されていましたが、自分の会社の状況を元にカスタマイズすると良いでしょう。例えば以下のように。

• OSを最新のセキュリティパッチを適用
• 怪しいメールは開封しない
  • 添付ファイルのダウンロードもしない（通常業務において、Gmailのプレビューで閲覧できないフォーマットのファイルを開く理由はほとんどないはず）
  • 自分達がファイルを送る場合は添付せず、Googleドライブ上にアクセス制限したファイルを置くほうが安全
  • メールのURLもクリックしない
• 万が一PCがかしな挙動になったら、速やかにネットワーク切断して情シスに連絡

このようにルールを考えていくと、ビジネスであろうと個人であろうと、もはやメールを利用すること自体に限界を感じてしまいます。実際BtoBであればSlackなどがあります。BtoCでもLINEはあります。ただ、メールアドレスは個人を識別するIDとしてあまりに普及してしまったため、今更無かったことにするのも難しいのが現実。行政関係についてはマイナンバーを認証に利用したアプリでやり取りすることができれば、というのが私見です。デジタル庁の人には頑張ってもらいたいです。

その後は一般の人にはあまり関係のない、セキュリティの専門用語の解説に移りました。セキュリティの根底にあるCIAの話、認証の3種類、認証認可、認可の種類、暗号化について、セキュリティで利用できるサービス、セキュリティテストなど。SOCとSCIRTは当初自分で内製したい、とも思ったのですが、小さい会社であればリソースも足りませんし、外注したほうが良いな、と今では思っています。