Dr.セキュリティ


4つの研究内容


リスクマネジメント普及啓発

セキュリティ対策の限界

脅威を100%防ぎ続ける鉄壁のセキュリティ対策は、現代の科学技術では残念ながら実現不可能です。

マルウェア(ウイルスなど悪意プログラムの総称)は、日々新しいものが発生しています。
その数の正確な統計はありませんが、セキュリティ業界では一般的に「毎日100万個」や「年間1億個以上」であるとされています。
コンピュータの発展に伴ってマルウェアの進化も加速し、その脅威はますます増加しています。
たったの一台の端末が感染するだけでも、すぐに他所に攻撃が連鎖して被害がどんどん拡大していきます。
周辺の機器、会社、取引先、家族、友人などに対し、ねずみ算式にどんどん攻撃が連鎖していくのです。
そして残念ながら現代の科学技術では、そのマルウェアの活動を完全に防ぐという完全無欠のセキュリティ対策は実現できません。

このような実状に気付いた人たちは、情報セキュリティに対する方針を次のように転換するようになりました。
旧方針:「徹底的な防御態勢を維持して、絶対に侵害が起こらないようにする。」
新方針:「侵害は不意に発生するという前提で、緊急対応、被害最小化、機密データ保護などの体制を整える。」

既に大企業や行政機関などでは、新方針に則るのが当たり前になっていますし、中規模な企業や団体でも新方針への転換が進んでいます。
これからは小企業や一般家庭でもそうなることでしょう。
そして、この新方針に基づく場合に「リスクマネジメント」という取り組みが必要となります。

補足

完全無欠のセキュリティ対策が不可能だからといって、セキュリティ製品を一切使用しないというのは誤りです。
「住宅の玄関ドアを施錠しても空き巣を防げないなら、鍵なんか付ける意味がない。」というのが誤りなのと同様です。

リスクマネジメントとは

リスクを知る。リスクと向き合う。対応を計画する。

リスクマネジメントに関する詳しい説明はとても長くなるので省略し、ここではザックリと簡単な説明に留めます。

自動車の運転をイメージして下さい。
どんなに気をつけて運転していても、事故に遭ってしまうリスクを0(ゼロ)にすることはできませんよね?
だから予め事故に備えて、被害を低減するようシートベルトやチャイルドシートなどの安全装置を使用しますよね?
また、事故による損害の補填や賠償のために、自動車保険にも加入するのが常識ですよね?
このように起こり得るリスクと向き合って対処を計画するのがリスクマネジメントです。

スマホやパソコンにおけるリスクマネジメントも、上記の例と同じようなことです。
※次からの説明は、厳密に言うと正しくないです。正確さよりもイメージしやすさを優先しています。

「リスクマネジメントとは、侵害の内容ごとに細かく分けて、それぞれの深刻度と対策費用を計り、比較衡量して現実的に最良と思われる対策を計画する。」というものです。
この言い方だと分かり難いので、もう少し分解します。
1,どのような情報を持っているか洗い出します。
2,その情報が漏れると、どれぐらい深刻な被害を受けるかを計ります。
3,その侵害を防ぐために、どれぐらいの手間やコストが掛かるかを計ります。
4,被害の深刻度と対策コストを比べてみて、対策すべきかどうか、対策する場合はどのぐらいの強度でするかを検討します。

もう少し分かりやすいように、身近な具体例を次に3つ挙げます。
これを見ればリスクマネジメントがどのようなものかイメージしやすいかと思います。

【例①】感染拡大のリスク管理

自分はウイルス感染しないように気をつけているけど、家族は割といい加減だし、注意を促してもあまり効果がないし。
   ↓
家のWi-Fiを家族皆で共用していて、しかも子供の友人たちが遊びに来たときも使っているようだし、セキュリティのトラブルが起こりやすい運用形態になっているなぁ。
   ↓
子供の友人が1つでもウイルス感染している機器を持ち込んだら、自宅でクラスターが発生する危険があるな。
   ↓
そうなると子供を起点に別の友人たちに感染拡大したり、自分の会社にも派生する危険もあるな。
   ↓
感染拡大をブロックするセキュリティ製品を契約しようかな?
それとも家族用と来客用でWi-Fiを分けるために、ネット回線をもう一つ契約しようかな?

【例②】クレジットカードのリスク管理

ネット通販でクレジットカードを使用すると、カード情報の漏洩&不正使用が生じるリスクがある。
   ↓
ネット通販ではカードを使わないようにするべきか。いや、それは不便すぎるので却下。
   ↓
ネット通販用のカードと、その他の支払いに使うカードは分けて使おう。そうすれば万が一にネット通販用のカード情報が漏洩しても、他の支払いには影響しないで済む。
   ↓
ついでにネット通販用のカードは限度額を引き下げよう。そうすればもし不正使用が起こっても被害額が少なく済む。

【例③】プライバシー情報のリスク管理

時々、家族の共用パソコンを仕事でも使っているけど、もし取引先から送られたExcelファイルにウイルスが混じっていたら、どうなるだろう。
   ↓
家族の個人情報が流出。家計簿が流出。子供たちの写真が流出。
   ↓
自分の情報が漏れるのは許容できるけど、子供たちの情報や写真が漏れたらかわいそうだ。
   ↓
仕事用にパソコンをもう1台買うべきかな?
それとも子供たちの情報は共用パソコンに保存しないようにするべきかな?

リスクマネジメントの必要性

他人事ではありません。
スマホやパソコンなどを使う全ての人が、リスクマネジメントを意識する必要があります。

大企業や政府機関などの組織であれば、リスクマネジメントを実施するのは当たり前のこととなっています。
しかし小企業や個人では『全く取り組んでいません。』とか、『それって何?』という方が圧倒的に多いです。

特に何も考えずに、1台のスマホやパソコンを何にでも使っている人を多く見かけます。
趣味のネット閲覧も、仕事のメールやファイルのやり取りも、SNSも、資産運用も、何でもかんでも。
このような使用状況をリスクマネジメントの視点から考えてみて下さい。

自分や友人がウイルス感染し、その被害が会社や取引先に拡大するリスクがあります。
会社や取引先がウイルス感染し、その被害が自分や友人などに拡大するリスクもあります。
このように幾つもの深刻なリスクが潜在していることを、容易に想像できるはずです。
そして、法人だけでなく個人においてもリスクマネジメントに取り組んだほうが良いことをお感じ頂けたかと思います。

特に小企業や個人に向けて

業界他社や士業の方たちの協力を得ながら、リスクマネジメントの普及啓発の研究と発信を続けています。

本格的にリスクマネジメントを実施するには専門家のサポートが必要となるので、小企業や個人にとっては実現が難しいかと思いますが、簡易的にならば本人たちだけでも実施できることが沢山あります。
いきなり難しい事に取り組むのではなく、まずは単純なところから簡易的にできることが沢山あります。
そして、そのような簡易的な取り組みでも被害を軽減させられる部分は多くありますし、被害の連鎖・拡大を防げる部分も多くあります。
ですのでぜひとも、小企業や個人にも取り組んで頂きたいのです。

しかし小企業や個人に対してどんなにこれを訴求しても、彼らの心には全く刺さりません。
なぜならば彼らがいま立っている所はリスクマネジメントを語る以前の段階であり、“スマホやパソコンは常に脅威に晒されている”ということすら十分に理解されていないからです。
『サイバー攻撃というのは知っているけど、たぶん自分は大丈夫だろう。』と思い込んでいるのです。

そのような現状で、如何にしてリスクマネジメントの普及啓発を図るべきか、この課題に対して当研究所は常に取り組み続けております。
またこれは当研究所が単独実施しているだけで改善できるような課題ではないため、業界他社や他の研究会員、士業の方たちの協力を得ながら活動を進めております。
◆無料相談などボランティア活動への参加
◆メディアへの情報提供や普及啓発企画のサポート
◆弁護士、士業などへの情報提供

繰り返しのこととなりますが、マルウェアを完璧に防ぐ手立ては存在しません。
そして近年のマルウェアの多くは、家族、友人、会社など繋がりのある所にも被害が拡大していきます。
だから、誰しもがリスクから目を逸らさずきちんと向き合って頂けるよう、これからもリスクマネジメントの普及啓発に関する研究と発信を続けていきます。

次のページ

マーケティングの研究