情報セキュリティの意識が低い企業はつぶれるかもしれない。

最近TVを見てると「NTTの情報セキュリティ」のCMを見ることがあって、その時にふと思ってた内容を書き留める記事です。

それ、チラシの裏に書いとけばよくないですか？

どうも、情報セキュリティにはちょっとうるさい小倉です。

これだけセキュリティにうるさい時代になってきているにも関わらず、セキュリティに関してはなぜか無関心だったりする社会です。

なぜ無関心なのかというと、その情報がまとまっていなくて、理解してる人が少ないからでは？と思ったので、今回はこんな記事を書きました。

便利になれば、それだけザルになるのがセキュリティ

技術の進化や、便利なサービス、楽になるツール。

世の中がどんどん便利になっていく、その反面、セキュリティはザルになっていきます。

例えば、パスワードをPCに保存していたとします。

そうすると、そのPCがクラッカー（いわゆる悪いハッカー）に狙われたら、余裕で全てのパスワード流出です。

じゃあオフラインにしておけばいいじゃん。←それって不便になるじゃん。仮にオフラインにしてても、破棄するときに注意しないとその時にもれちゃう。

ボタン1つで、ピッとできちゃうためには、重要な情報がさりげなく保存して、それを人の意識を介することなくやりとりできるようになっているという、技術的なバックグラウンドがあるわけですが、通常そんなことはわからないですよね。だって、意識を介させないためにイチイチそんなことは表に出さないから。

また、人々がもとめているものに「スマート〇〇」があるように、簡単に決済できたり、簡単に認証出来たり、簡単に動かせたり、と進化していっています。

それだけ、世の中にはどんどんザル化していっているということです。

情報セキュリティの意識が低くて情報流出にかかる損害

ちょっと情報が古いですが2017年の想定損害賠償総額が1,914億2,742万円。

1件あたり5億4,850万円となっています。

引用：2017年 情報セキュリティインシデントに関する調査報告書

中小企業なら余裕で傾く金額です。

そして、それ以上に痛いのが信用の失墜です。これは、本当にマズいことになります。連鎖的に顧客離れがおきて、大ダメージを受けかねません。

この時代にセキュリティに意識をもたないというのは、もはや自殺行為。

自傷主義者のドM野郎ですか？

世の中にこれだけの攻撃手法がある

といっても、あくまで有名なやつのごく一部のご紹介です。間違ったこと書くといけませんので、情報処理安全確保支援士の学習教材から抜粋します。

細かい説明はよそに任せて、攻撃手法のキーワードだけひたすら書き出します。

ゼロデイ攻撃、バージョンロールバック攻撃、バッファオーバーフロー攻撃、ブルートフォースアタック、辞書攻撃、セッションハイジャック、クリックジャッキング、スニッフィング、キーロガー、スキャベンジング、スピア攻撃、水飲み場型攻撃、Dos系攻撃（EDos攻撃 / DDoS攻撃）、DNSキャッシュポイズニング、SEOポイズニング、DNSリフレクション攻撃、フィッシング、ファーミング、Webビーコン、クロスサイトスクリプティング、クロスサイトリクエストフォージェリ、SQLインジェクション、OSコマンドインジェクション、HTTPヘッダインジェクション、メールヘッダインジェクション、ディレクトリトラバーサル攻撃

もはや呪文。

僕が理解している攻撃手法だけでもこのボリュームです。

世界がヤバい。

なのに、自分は大丈夫だと、当社は大丈夫だと言い切れるでしょうか？

どうして情報セキュリティに穴が開くんだ

「人」が穴をあけているんです。

セキュリティに対するリテラシーがあまりにも低すぎる。なんの疑問も抱かずに危険なものをホイホイと実行しちゃう。

日本人の気質の中にはお人よしさがあって、悪い人間からするとその人の良さを悪用すると簡単に攻め込めちゃうというひどい時代です。

常に疑念を持てというわけではなくて、疑念を持たなくてもいいようにするために、知識をつける必要があります。知識は、実際の攻撃手法・犯罪者がどう考えて動くかをとらえるとつけやすいです。それがわかっていれば、どうやったら守れるのかを考えられるようになります。

皆さんも、ぜひどうやったら守れるんだろう、ということを考えたり勉強してみてください。

人を守ることは、素晴らしいことです。