Googleの調査による「最強のセキュリティ対策」は超簡単なことだった
最強のセキュリティ対策なんて聞くと、興味はあっても、実際には「もの凄く難しく」て「面倒な手間が掛かりそう」で「実用出来るものでない」ようなものが溢れています。ほぼ手間と強度はトレードオフな関係なので、仕方ない部分でもあります。難しいことをわかりやすく説明することが「どれほど大変なのか」に似ているような気がします。と同時に身にしみています。
まさにそう思ったのがGoogleでした。同社はニューヨーク大学とカリフォルニア大学サンディエゴ校の研究者とチームを作り、アカウントハイジャック35万件以上を分析し、ごく基本的なセキュリティ対策で、どの程度までユーザーのアカウントを守れるのかを確かめました。
その結果、基本中の基本のテクニックでさえ、ポケモン風に言うと「こうかはばつぐんだ!」であることがわかりました。
例えば、疑わしいサインインが検出されたら、Googleからのテキストメッセージが届くように「再設定用の電話番号」を設定する場合がそうです。
これは、Googleアカウントで利用できる、もっとも基本的なセキュリティ設定です。
IPAの中小企業の情報セキュリティ対策ガイドラインにある中小企業のセキュリティ5か条には、決して新しいことは書かれていませんが、基本中の基本が書かれてあります。こういう基本的なことが最も重要と思います。
お客様先で見聞きするのは、これらの基本すら満足に出来ていないにもかかわらず、外部攻撃とか直近のセキュリティ事故のニュースばかり気にするケースが多かったりします。まずは、基本的なことが出来てないと何も出来ないと思います←ここ重要
上記の記事にも書かれていますが、二段階認証なども有効です。スマホのアプリがありますので、何らかのGoogleサービスを使っていると思いますので導入するのも良いと思います。これらのアプリは他のサービス(マイクロソフトやfacebook、Dropboxなど)の二段階認証にも使えたりしますので便利です。
セキュリティ事故事例1
最強のセキュリティ対策であっても、使い方を間違えればその強度も変わってきます。この記事にあるように最強の組合せは、ケータイやスマホなどでテキストメッセージを受けることです。PCと別端末と考えれば、スマホの二段階認証も含まれます。
映画のワンシーンのような「もの凄い展開でセキュリティが破られる」ような対応事例は1つもありません。そこまでなくとも不可抗力と言えるような事故すらありません。
PCの紛失盗難などで言えば、ほぼ管理不十分な状態でことは進んで行ったものばかりです。同時に立派な大義名分のような「後付言い訳理由」があります。そこまでの展開が立てられるならば、そのスキル別なことに使った方が色々役に立つと思うんですけどね。
こういう事故が起きるとき、別端末のテキストメッセージや二段階認証などの設定がされてないという、マーフィーの法則のようなものばかりです。
セキュリティ事故事例2
上記の設定はバッチリ行われており、万一の場合にもセキュリティは最強と言えるはずなのですが…
週末に残った仕事を持ち帰り、そのまま飲み会に行き、PC入りのバッグごと紛失盗難に遭遇する。最強セキュリティな別端末もご丁寧に一緒で!
ある意味、もう最強の組合せですよ。展開も持ち物も全部です。これメールアドレスのALLtoやCC漏洩のように、未だに減らないです。
起きた問題の原因はたったこれだけですが、この後、超大変な後作業があります。
物理的に出来ないようになっていれば、起きないはずなのですが… こういう最悪な組合せの時に起きるのもマーフィーの法則なのでしょうか?
こういうのは、灯台下暗しのようなものなのでしょうか。ヒンドゥー教のことわざに「鳥にとっての空気、魚にとっての水、人間にとっての自分自身」というあまりのも身近過ぎてわからないものの表現もあります。似ていますが、ちょっと違うと思います。
身近すぎてわからないものと、基本から応用という順番、階段を一歩ずつ昇るようなステップとは違います。
基本を忠実にすることの重要性を改めて思いました。
現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか?
技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。
一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。