増え続けるサイバー犯罪、「完璧」ではなく「現時点最強」で致命傷を避ける備えを――圓窓 澤円氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

コロナ禍にあっても増え続けるサイバー犯罪。安全・安心に稼げるため、減る要素は見当たらない。データ駆動社会の進展で全ての企業がテクノロジーカンパニーになることが求められているが、多くの企業ではサイバー犯罪のリスクを自分事としてとらえ切れていない。コロナ禍で大きく変わろうとしている時代に求められるサイバーセキュリティ対策とは。

[山下竜大，ITmedia]

　ではどうすればいいのか。セキュリティインシデントが発生するきっかけの一つに名刺交換があります。名刺交換をすると、氏名、メールアドレス、会社での立場が分かります。会社での立場が分かれば、アクセスできるデータの種類が分かります。経理であれば経理データ、人事であれば人事データです。次にメールのやりとりをします。これにより、メールサーバ情報、メールクライアント情報が得られ、ハッキングの一つの手法でもある「総当たり攻撃」（＝ユーザーIDにランダムにパスワードをぶつけて割り出す方法）が可能になります。

　パスワードを入手した犯罪者は、本人に成りすましてログインして、連絡先リストにリンクを踏ませるメールを一斉送信をします。受信者がリンクを踏んだら、偽造したログオフ状態の画面を表示させ、ユーザーIDとパスワードを入力させます。こうして犯罪者は受信者のユーザーIDとパスワードを難なく手に入れることができるのです。

　この事例では、ハッキングされてしまったユーザーのパスワードは十分に複雑でした。エンドユーザーができるのはここまでと言っていいでしょう。ここから先は、IT部門のサポートが必要です。まずは2段階認証を設定します。これだけで、99.9％のリスクの軽減効果があります。

「常に最新」を習慣に

　サイバー攻撃から企業を守るためには、「べからず」をやめるアプローチが効果的です。あれはダメ、これもダメでは不便になり、不便になると抜け道を探します。そこで「べからず」ではなく、「これさえやれば大丈夫」というシンプルなルール作りが求められます。これによりサイバー攻撃から守りやすくなります。そして常に環境を最新に保つことを習慣にすることがとても効果的です。

　サイバー犯罪者からすれば、最も迷惑なのが環境を最新にする、多要素認証を有効にするなどの方法をとる多層防御です。ちょっとしたわなを、少しずつ、ソフトウェアとハードウェアの組み合わせで設定します。これは重要なポイントで、安全性が高まります。

　格闘技では、実力差があっても、指1本触れさせない防御は困難です。そこで致命傷にならないことを考えます。どこが致命傷になるのかを知っていれば、ガードする場所も分かります。完璧を目指す必要はありません。現時点で最強の状態を目指して備えればいいのです。

　最後に皆さんに伝えたいことがあります。多くの人から、「AIが進化したら、人類はどうなるんですか？」と聞かれます。テクノロジーには、素晴らしい部分と怖い部分があります。知らない人には未知の恐怖があります。しかし、ある日突然、映画『ターミネーター』の世界は登場しません。テクノロジーで犯罪を犯す人もいますが、テクノロジーに携わる仕事をしているビジネスパーソンの大半は、人を幸せにしたい、世の中をよくしたいと考えているでしょう。そのためには、一人ひとりのマインドセットをアップデートしてほしいと思います。

　どんな世界にしたいかをイメージすることが重要で、テクノロジーは移動が制限された世界でも、時間と距離を超えたコミュニケーションが可能です。テクノロジーの力で一緒に未来を創っていきましょう。