■ITリスクへ対処するために
先日、「リスク」に関する記事を書きましたが、
「じゃあ、実際にITリスクについて対処するには何をしたらいいんだ」
という質問を受けました。
ITリスクと言っても、本当にいろいろあります。
OS・アプリへのウィルス、ルーターを乗っ取られる踏み台攻撃、Webサイト改ざんによる情報漏えい、etc…。
最も重要なのは、最新の問題についての知識を身に付けることです。
そして、とにかくそれを「実践」し「続ける」こと、です。
■最初のハードルは「実践」
私が研修を行うとき、セキュリティ対策はやっていますか?と聞くと「やっています」という人が多いです。
でも、はたしてそうでしょうか。
そこで、具体的に聞くと「OSの定期アップデート」「ソフトの定期アップデート」「ウィルスソフトの定期更新」が良く出る対策方法です。
そこで、こう質問します。
「IDとパスワードはサービスごとに変えていますか?」
するとみんな一様に、ああ、大切ですよね、という知っている表情をする一方で、やや表情を曇らせます。
使いまわしている方が、とても多いのです。
でも、使いまわさない方が良いことは知っている。
これは、日本に限った事ではありません。世界中で同様の例があります。
同様の例として、パスワードが「abcdefg」など簡単なものにしてしまうというのも、あげられます。
最近では、設定する時にサービス側で「簡単すぎます」といった形で警告することもありますが、それでも生年月日など個人情報にまつわるパスワードにする例は多数あります。
やってはいけないとわかっていても、めんどくさくてやってしまいます。
そして、何か問題の起こった時に「やっぱり、やっておけばよかった」となるわけです。
知ったからには、そして必要とわかったからには、めんどくさがらずに実践しましょう。
■「継続」という壁
次に来るハードルは「継続」することです。
思い立ったが吉日、とばかりにはじめてみたものの、長続きしないでやめてしまう。
あるある、ですね。
ただ、「実践」はし続けなくては意味がありません。
そのために工夫をする必要があります。
努力をしてはいけません。努力は疲れますよね。努力ではなく、「実践」するのとセットで、無理せず続けられる仕組みを調べたり、考えるのです。
たとえば、IDとパスワードをサービスごとに帰るのであれば、無料のパスワード管理ソフトを使ったり、他社のサービスに個人情報を任せるのが怖いのであれば、エクセルに一覧で保存した後、パスワードをかけます。
そうすれば、エクセルのパスワードのみ覚えておけば、他の全パスワードを把握できます。
1つくらいは覚えられるでしょう。笑
もちろんこのとき、エクセルのファイル名は「IDとパスワード」と分からないものにしましょう。
もし、遠隔操作の攻撃を受けた時に、それとわかるファイルが見つかったら、とりあえずダウンロードされ、時間をかけて解析されてしまうかもしれません。
情報収集になるサイトを発見したとしても、一回見て「ワンダホー」と言って、それっきり、では最新の情報収集をし続けることはできません。
かといって毎日必ず見るのが大変であれば、毎月1日に見る、など頻度を減らしながら継続する仕組みを考えてください。
「いっときは気にして調べていたんだけどねー」なんてことにならないように、継続した、知識と行動のアップデートを行ってください。
■有効な厳選サイト2つ!をご紹介
特に私が依頼を受けた際に行っている、情報セキュリティ対策研修で参考にしているサイトを載せますので、参考にしてみてください。
たくさん載せても見ないと思うので(笑)、特に、活用してすぐに役に立つという、絶対お勧めのサイトを2つだけ紹介します。
1.Security NEXT
http://www.security-next.com/
最新の情報セキュリティに関するニュースを日刊で見ることができます。
どんな事件事故が起こっており、どのように対策したらよいか、情報収集が可能です。
2.IPA(情報処理推進機構)
https://www.ipa.go.jp/index.html
国家資格の情報処理技術者試験を運営する機構です。
試験ばかりが注目されますが、もとは国内のITリテラシー・セキュリティの向上に努める団体です。
そのための研究や分析なども行っており、特に以下の毎年更新されている記事が役に立ちます。
「情報セキュリティ10大脅威 2017」
https://www.ipa.go.jp/security/vuln/10threats2017.html
タイトルは若干毎年異なりますが「10大脅威」という箇所は、ここ数年同じようなタイトルで情報公開されています。
ランキング形式で、個人・企業にまつわる脅威と、その実例、対処方法を触れています。
もし、社内のセキュリティ教育が未実施だったり、アウトソーシングも内製化もできずにいるようであれば、
この内容をもとにテキストや課題作成するだけで、かなり有効なセキュリティ研修になります。
■人のせいにせず「最大の弱点は『自分』」と考えて対策する
自分だけができていても、周囲がエラーをすることで、自分も被害に巻き込まれるのがIT「リスク」です。
自分をで守るのみではなく、周囲の家族や友人も守りながら、IT「リスク」は回避・対処していってください。