どれだけセキュリティー対策をしていても被害に遭うことはある
ITサポートの現場は、ITの問題や現状についてリアルタイムで情報が得られる最前線と言えます。ITサポートエンジニアとして、その最前線から今のITの現状について現場の視点で述べてみたいと思います。
架空請求表示や偽ツール被害のユーザーから「セキュリティー対策しているのになぜ被害に遭うのか?」とよく言われます。これは「安全対策車なのになぜ事故になったのか?」という問いと同じです。どんな安全対策車でも、大きく操作を誤ったり限度を超えれば事故は避けられません。また、整備不良車は当然危険です。
セキュリティー対策ソフトもフィッシングや不正アプリへの対応には限界があり、ユーザーによる安易な操作や脆弱性の放置は、車の操縦ミスや整備不良と同じと言えます。自動車の安全対策と同様にITセキュリティー対策も100%万全というのは難しく過剰な依存は危険で、安全性の維持向上のためにはユーザー自身の安全意識が不可欠です。
ITセキュリティーは要塞防衛から心理戦へ変化してきている
「それなら、もっと頑丈な対策をすればいいじゃないか…」と思うでしょう。以前は外部からの攻撃が主で、セキュリティー対策はそれに対応し進化してきました。その結果、外からの攻撃には既に要塞の様な防御力が備わっています。
そこで最近の攻撃は、信用や信頼を利用し武器化して内部から切り崩しを試みます。標的型攻撃やフィッシング、偽装レビューやステマブログで不正アプリを導入させるような攻撃です。ITリテラシーが乏しいと、簡単に騙されてユーザー自身が自覚のないまま管理者権限を与え、不正プログラムを内部に招き入れてしまいます。
難攻不落な要塞を外から攻撃するよりも、内部にスパイを送り込んだ方が効率的だという考えです。攻撃の多くは破壊工作ではなく、情報や資産などを盗むことが目的です。ITセキュリティーの前線では、要塞防衛戦から既に心理戦の様相を呈していると言えます。これはパソコンだけでなく、スマートフォンも同様です。ユーザーに怪しい広告へアクセスさせたり、や不正アプリをインストールさせる機会を常に伺っているものがあります。
セキュリティーとユーザビリティーはトレードオフの関係
パソコンのセキュリティに関して言えば、Windows10では、サードパーティ製アプリの更新管理やOS標準アプリへの代替を進めていて、メンテナンスフリー化で脆弱性への対処を図っています。また、標準でセキュリティー対策機能が組込まれていますので、サードパーティ製の対策ソフトは通常であれば必要ないでしょう。
これらの対策で以前のような被害は激減しました。Windows以外のOSについても新しいほどセキュアであることは間違いなく、可能な限り移行が推奨されます。しかし一方で、使い慣れた環境からの移行には、様々な理由で躊躇するユーザーがいることも事実で、従来のITリソースの有効活用やユーザビリティーを優先させたいという切実な状況があるのも確かです。
とはいっても、セキュリティーとユーザビリティーがトレードオフの関係である以上、どちらを優先させるかはユーザーの意識次第です。Windows7を使わざるを得ないのにITリテラシーが乏しいとなると、それ自体がセキュリティーリスクとなってしまいます。
ユーザーのITリテラシーの乏しさが最大のセキュリティーリスク
フィッシング被害や架空請求詐欺などについては一向に治まる気配はなく、ますます巧妙化して被害が後を絶ちません。けれども残念ながらこれらは対策ソフトの問題というより、情報リテラシーの問題と言えます。
これからのセキュリティーの考え方は、物や仕組みの対策だけでなく心理戦へと移行していますから、個々の判断力やリテラシーの向上はもちろん、インテリジェンスも必要でしょう。一つの判断ミスで、セキュリティー対策は水泡に帰してしまう事も実際にあります。
セキュリティーの最後の砦はユーザーの判断とリテラシーです。端末標準のセキュリティー機能で十分なのかどうかは、ユーザーのリテラシー次第だと言うしかありません。ユーザー自身のITリテラシーの乏しさが、今では最大のITセキュリティーリスクと言えるからです。
(古賀 竜一/コンピューターサポートエンジニア)