最大のセキュリティホールは“自信過剰”であること（1/2 ページ）

[松尾順，INSIGHT NOW!]

　このところ、メールなどに添付したウイルスで、特定の企業・団体の情報システムへの侵入を狙う、「標的型サイバー攻撃」が増えていますね。

　2011年10月に起きた、参議院議員に送付された攻撃メールの被害調査を担当した佐藤元彦氏（伊藤忠テクノソリューションズ）によれば、最近の情報セキュリティ関連の案件は「新規の依頼を断らなければならないほど増えてきた」とのこと。

　佐藤氏の部署に依頼が殺到する理由は、被害を受けた組織のセキュリティ管理体制など「人」の側面からも感染に至った経緯を分析できる総合力だそうです。

　佐藤氏はヒューコムを経てCTCテクノロジーに転職後、情報セキュリティサービス部門の立ち上げに参画、「情報セキュリティ」について貪欲に学んで知識を深めていったのですが、一方で新たな悩みが生まれてきました。

　それは、対策ソフトの導入の重要性を認識していながら「自分だけは大丈夫」とソフトのインストールを怠ってしまう人がいること。

　そこで、佐藤氏は「行動心理学」や「社会科学」などの勉強も開始し、対策ソフトだけでなく、人の側面からもセキュリティを高める総合的な対策を考えるようになったのです。

　佐藤氏は、「人がセキュリティの弱点になり攻撃者は常にそこを狙う」ということを実感しています。

　例えば、「標的型攻撃」は意外なことに、既にウイルス対策のための「修正プログラム」が出ている脆弱性を狙うものが多いのだそうです。

　人の弱さが、「修正プログラム」を迅速にインストールすることを妨げてしまうことを攻撃側はわかっているのです。システムの脆弱性ではなく、むしろ、人の脆弱性を突いてくる。

　すなわち、最大のセキュリティホールは、実のところ、現場の「人の弱さ」にあると言えるのかもしれません。