【年末年始休業のお知らせ】
12月25日~1月5日まで休業
第4回 利便性と安全性はトレードオフの関係

新しいものに飛びつかないで!

よく考えずに突っ走るのは危険です。

新しいものには、新しいリスクが潜在する。

ビジネス、プライベートを問わず業務の効率化には、新しいアプリや機器、システム、クラウドなどといった新しいコンピュータ技術の導入が欠かせません。
しかし新しいものを導入するということは、これまでに存在しなかった新しいリスクに晒されることになるのです。
そのことに気が付かないままで突っ走ってしまう人、またはリスクに気付いても目を背けて利便性だけを求めてしまう人が非常に多いです。

飛びつく前に立ち止まって!

新しいものを「危ないから使うな!」と言うわけではありません。
むしろ、新しいものは業務効率化に大きく役立つので、導入をポジティブに検討すべきです。
しかし利便性だけに注目するのではなく、リスクにもきちんと目を向けた上で導入を検討する必要があることを知って下さい。
セキュリティを維持するためには、新しいものを本格的に運用する前に、十分な試験運用の期間を設けてリスクの発見・分析と対策を行うべきです。
そのためにここでは、基本的なリスクについて説明します。

初期ロットは不具合が多い

これはスマホやパソコンに限った話ではなく、あらゆる工業製品に当てはまることですが、一番最初に製造されたロット(初期ロット)には、製造メーカーが気付いていない不具合が潜在していることがとても良くあります。
上図のように、製造メーカーが事前に行った試験動作では問題が見つからなかったけれど、沢山の人が購入して膨大な回数の使用をしたことろ、製造メーカーが見つけられなかった問題が明らかになる、という事がよくあるのです。

ちなみにロットとは、製造や出荷する製品の数量の単位です。
例えば製造者等が1ロット=100個と定めた場合は、初期ロットという言葉が指すものは、最初に作られた100個の製品となります。
1ロット=1000個の場合は、初期ロットは最初に作られた1000個の製品が該当します。

アプリ等も同様で、初期は未知の不具合や脆弱性が多い

スマホやパソコンのアプリ、サービス、システムなども上記の工業製品と同様で、販売・配布開始後の時点では不具合が潜在していることがとても良くあります。
いや、良くあるというか、すべてのプログラムにこのような不具合があると言っても過言ではありません。
(その不具合を改善するために、「アップデート」という処理が必要となるのです。)
ですので販売・配布開始されてから時間があまり経っていないものは、「まだ成熟していない未完成のもの」と考えたほうが良いです。

便利なものは、必ず悪用される。

■Eメール → 郵送の手間が省ける → 物理的に郵便物を盗まないでも情報を盗める。

■ファイル共有やデータベース → 情報の一元管理 → 一箇所の攻撃で全ての情報を盗める。

■クラウド → 外出先でも情報にアクセス → 世界中のどこからでも攻撃可能。

■IOT → 家事負担の削減 → 私生活を丸裸に。

流行り物は、攻撃者に狙われやすい。

攻撃者の視点に立って考えよう

下記の2つのうち、あなたならどちらを狙いますか? 攻撃者になったつもりで考えて下さい。

1,【セキュリティが強固な製品やサービス】

 販売・提供開始から数年が経過し、幾度ものアップデートを重ねた頑丈なもの。

2,【セキュリティが未熟な製品やサービス】

 販売・提供開始したばかりで、アップデート回数が少ない未熟なもの。

性善説と過信を捨てよう!

まず、次に挙げるような考えを捨てて下さい。

「悪いハッカーなんて、現実にはそんなにいないでしょ?」

その考えは甘い!
インターネットで「攻撃のやり方」を詳しく調べることができる現状、近年では小学生・中学生でもサイバー犯罪を犯してしまうケースも少なくないほどにサイバー犯罪が蔓延しているのです。
そして、日本における2017年のサイバー犯罪の被害者数は、約1770万人。
インターネット利用者数は約1億人。
つまり、5・6人に1人は被害にあっているという、とても身近な問題なのです。
( → 第2回「サイバー犯罪は交通事故よりも身近な脅威」をお読み下さい)

「大手の有名な製品やサービスなら大丈夫でしょ?」

前項「流行り物は、攻撃者に狙われやすい。」を読んで下さい。
有名なものほど狙われやすいのです。
また、セキュリティに100%完璧というものは存在しませんので、有名な製品やサービスだからといってセキュリティ機能を過信しないで下さい。
( → 第3回「防げない攻撃の脅威」をお読み下さい)

むやみに飛びつかず、必ず立ち止まって考えてください。

特に企業の場合、ひとたびセキュリティ・インシデントが発生すると、機密情報・顧客情報漏洩や営業停止などにより経営に深刻なダメージを及ぼしてしまいます。
ここでは実際に発生してしまったインシデントの事例を紹介します。

社員のSNS利用が原因で、情報漏洩。

社員同士の業務連絡を円滑にするために、SNS(TwitterやLINEなど)を導入した。
役員の鶴の一声で、「便利だから」という理由で。
社員の中には、SNSの仕組みを良く理解できていない者も少なからずいたが、しかしその会社はセキュリティ意識が低かったため、社員達に対して利用方法のレクチャーやセキュリティ設定の指導を行わず、運用上のポリシー(○○情報のやり取りは禁止する、など)も定めていなかった。
しかたなく社員達は各々の自己判断で、適当にSNSのアカウントを登録して利用を開始したのだった。
社員の中には、非常に脆弱なパスワードや、いい加減なセキュリティ設定のままで利用している者もいた。
そのため当然といえば当然だが、一部の社員のSNSアカウントが「不正アクセス」の被害を受けてしまい、第三者が業務連絡を見ることができる状態となってしまった。
また、運用上のポリシーも定められていなかったため、様々な重要情報をも社員同士がSNSで気軽にやり取りしてしまったため、深刻な情報漏洩が起こってしまった。
会社のシステムのパスワードが漏洩したり、取引先の顧客情報が漏洩したりなど…

ファイル共有が原因で、プロジェクトのデータが完全消失。

とある新規プロジェクトで、自社の社員や取引先企業の担当者がスムーズにプロジェクトを進行できるよう、ファイル共有のクラウド(DropBoxやGoogleドライブなど)を導入し、プロジェクトに関するデータを共有した。
ある日そのプロジェクトに参加する一人の端末が、当時に流行し始めたウィルスである「ランサムウェア」に感染してしまった。
そこからクラウドも感染してしまい、さらに、クラウドを使用していた他の社員の端末にも感染が拡大した。
結果、プロジェクトに関する全てのデータが破壊されてしまい、そのプロジェクトは頓挫した。
また、そのプロジェクトに関するデータではない、別の業務データも破壊されてしまったため、他の業務も営業停止を余儀なくされてしまった。

遠隔操作アプリが原因で、社内システムがダウン。

ある社員が、「出張や外回りのときに会社のPCを遠隔操作できたら便利だ」と考え、その当時に人気のあった遠隔操作アプリを導入した。
導入からしばらくの間は問題がなかったが、あるときに遠隔操作アプリの脆弱性が発見され、そしてそれを悪用するサイバー攻撃が増え始めた。
もともとその社員は、遠隔操作アプリの利便性にしか目が行っておらず、「流行ってるし他社でも使っている人が多いし、大丈夫でしょ?」とリスクに対して舐めてかかっていたため、脆弱性発見のニュースに気付くこともなく、当然、修正パッチの適用などの処置も行っていない。
結果、そのセキュリティホールからウィルスが会社のネットワークに侵入し、会社のシステムおよびパソコンが全てダウンし、営業停止を余儀なくされてしまった。

まとめ

新しいもの、便利なものを安全に導入するためには、必然的に相応の手間やコストが掛かります。
それを省いてしまったら、深刻な脅威に晒されることになります。
この事を認識し、むやみに飛びつかないで、「本当に今すぐに導入すべきか?」と良く検討してください。
ご自身だけでセキュリティのリスクを判断することが難しい場合、専門家に相談されることをお勧めします。

「良くわからないけど、まぁ、大丈夫なんじゃない?」と、面倒臭がってリスクから目を背けてしまうのはいけません。
そこからセキュリティの決壊が始まるのです。