増え続けるサイバー犯罪、「完璧」ではなく「現時点最強」で致命傷を避ける備えを――圓窓 澤円氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

コロナ禍にあっても増え続けるサイバー犯罪。安全・安心に稼げるため、減る要素は見当たらない。データ駆動社会の進展で全ての企業がテクノロジーカンパニーになることが求められているが、多くの企業ではサイバー犯罪のリスクを自分事としてとらえ切れていない。コロナ禍で大きく変わろうとしている時代に求められるサイバーセキュリティ対策とは。

[山下竜大，ITmedia]

　アイティメディアが主催するライブ配信セミナー「ITmedia Security Week 2021 冬」のDay1基調講演には、圓窓 代表取締役である澤円氏が登場。元、日本マイクロソフトの業務執行役員で、現在は大学の客員教授や企業の顧問などを兼任し、テクノロジー全般やサイバーセキュリティ、ビジネスマネジメントなどを得意分野とする同氏は、「COVID-19時代に不可欠なセキュリティの心構え」をテーマに講演した。

圓窓 代表取締役 澤円氏

リモートで世界分業が進むサイバー犯罪は増加の一途

　リモートワークが前提、グローバルなバーチャルチーム、そしてエンジニアのスキルを発揮できる職業があるとすれば、腕に覚えのあるエンジニアは応募したくなるのではないでしょうか。しかし、実はこれ、サイバー犯罪者のワークスタイルなんです。この業界では働き方改革がずっと進んでいて、並みの企業の10年先、20年先を行っています。

　しかも、従来の物理的な犯罪と違い、サイバー犯罪は安全・安心に稼げるため、減る要素が見当たりません。ですから、われわれは備えるしかないのです。

　どのように備えるかといえば、学ぶことがたくさんあるのは格闘技です。格闘技で最も大事なことは何か。身体が大きい、運動神経がいいなどは、要素の1つではすが、最も大事なのは「知っている」ことです。自分は強いと思っていても、相手の得意技が何かを知らなければ勝負になりませんし、自分の弱点を知っていないと防御も効果的にできません。相手よりも多くのことを知っていると一気に優位になり、知らないことはリスクになるのです。

コロナ禍で世界はリセットされた

　コロナ禍でECサイトでの買い物がますます増えたのではないでしょうか。しかし、よくよく考えてみれば、その場で物を手に入れたわけではありません。掲載されているコンテンツを買っているだけです。コンテンツを買った結果、運が良ければ（たいていの人は運がいいのでほぼ100%の確率で）商品が届きます。アマゾンや楽天などの信頼性が高いサイトは大丈夫ですが、怪しげなサイトでは商品が届かない可能性もあります。

　人はデータを信じる生き物に進化したのです。ECサイトに掲載されているのは商品の説明、価格、納期を信じ、画面をクリックして買い物をしているように感じているのです。今やデータがなければこの世に存在しないというところまで来ています。例えば、新しいレストランを見つけたら、目の前にお店があるのにまずSNSで検索する人は多いでしょう。そういう人からすれば、SNSにデータがないだけで、目の前のお店が存在していないのと同じです。こうしたデータが駆動する社会では、すべての企業がテクノロジーカンパニーになることが求められます。改めて知っておいてほしいのは、データが信用されなければ、ビジネスができないということです。

　当たり前だと思うかもしれませんが、こうしたことが腹落ちしていないと、ついつい油断してしまいます。知っていることが重要と言いましたが、サイバー犯罪者は膨大な知識を持っています。一般の利用者の弱み、油断するポイントを熟知しています。そこでわれわれも、もっと学ぶことが必要です。

　例えば、データのやりとりに関しては、まだまだ心配な面もあります。私のかつての同僚の息子さんが、アパレル系の会社に入社して配属当日に上司から言われたのが「LINEのアカウント教えて」でした。「会社のメールは」と聞くと「うちのシステム使いにくいから」という返事でした。これでめでたく個人のLINEアカウントで仕事のグループができます。一見仕事がスムーズに回るようになったかに見えますが、会社のオフィシャルなやりとりが個人のLINEで行われていることはリスクです。

　このようにオフィスの「中」と「外」の境界が急激にあいまいになり、外に出してはいけない情報がむき出しになりやすい状態が一気に進みました。コロナ禍で、2020年に世界はリセットされたのです。このような大きな変化は25年ぶりです。インターネット元年の1995年以前は電話やFAXがコミュニケーション手段でしたが、1995年以降はメールやチャットと、ありとあらゆるビジネスのコミュニケーションがアップデートされました。これは不可逆な変化です。

ゼロトラストが基本だが……

　コロナ禍のリセットで、クラウド利用を含めた個人レベルのITリテラシーが業績に連動し始めていて、企業は働き方の多様化が急に求められていますが、ネットにいろいろなものがつながっているので、ゼロトラストが基本概念となるでしょう。

　しかし、ゼロトラストの考え方は大事ですが、ゼロトラストそのものの対象を社員ととらえてしまうと分断を生みます。「社員が信用できないからUSBメモリは使用禁止」といったルールは生産性を低下させます。この状況は、便利なわけはなく不便に感じるユーザーが圧倒的です。不便さは、最大のリスクになり、ユーザーたちは抜け道を探してしまいます。なぜ堂々とせずに、抜け道を探すかといえば、組織の誰かに怒られるからです。そして、何か起きてしまったときにも隠そうとします。

　故意ではないセキュリティ事故で叱責するのは逆効果です。そのような叱責は組織の間で亀裂を生み、その亀裂は、そのままセキュリティリスクになります。社員は仕事をしたいと思っていますが、武器になるのが自分のITリテラシーだけに限定されてしまう状態だと、ITが得意ではない人は疲れてしまいます。ですからユーザーのITリテラシーに依存しすぎるのは危険です。このとき「運用でカバー」という言葉が出てくるとさらに危険です。手作業は、サイバー犯罪者の狙いどころだからです。