2018年10月29日記載
セキュリティの心配する前に現実を知ろう
セキュティ対策のための様々なソリューションが存在し、多くの企業では情報流出防止に躍起になっている。インターネットの回線を使って様々なデータのやり取りが行われているが、全体のトラフィックのうち、7割以上はセキュアな通信と言われている。全ページのhttps化の流れもあいまって、大半のデータ通信は暗号化され、データの途中読み取りすることはほとんど困難な状況にある。

Webサーバとブラウザ間でやり取りされるデータは全ページ暗号化の流れが定着してきているのに対し、ビジネス間のメインの伝送手段であるEメールに関しては今も大半が平文通信となっている。(Gmailは暗号化されている)

そのため、企業間でやり取りされる添付ファイル付きメールの送信には添付ファイルが1個でも、わざわざzip暗号機能を使って暗号圧縮後にメールに送付を行い、別のメールで解凍パスワードをお知らせする方法が主体となっている。これをすることで外部からの漏えいリスクは限りなくゼロとなる。

一方、どうでも良いファイルまですべて暗号圧縮する傾向が常態化している。受信した側は大したファイルでもないのに都度添付ファイルにパスワードを入力して解凍する業務上の無駄な時間ロスを発生させている。本来なら暗号化すべきデータについてのみ上記の手順を踏めば良いものを全件添付ファイルのパスワードによる圧縮が常態化。ITは生産性の向上であるはずのツールが間接コストの増大へ逆流しているといえる。

さて、重要なのはここからだ。

情報隠蔽の反対、情報を公開し多くの人に見てもらいたいとする。情報が乱立する情報洪水時代において、多くの人に見てもらうのは大変困難な時代となっている。

例えば、個人がオリジナルドメインを取得しWebサイトを公開したとしよう。公開初日から半年までの間で一体何件アクセスが期待できるのかご存じだろうか。

答えは「ゼロ」である。

名もないWebサイトをゼロから立ち上げた場合、何もしなければゼロ行進が半年以上続くのが現実なのである。頑張ってSNSや各所でPRしてもアクセスがあるのはロボットエンジンのクローラぐらいでしかない。特に最初の一ヶ月は見事なまでにアクセスは1件もないのが普通。大砂漠の中にポツンと一人の人間が立っていても誰も発見してくれないのと同じ理屈だ。

もともと知名度のある人や企業が新規に立ち上げる等の場合はすぐに話題になるし発見もされ、口コミが増えることでアクセスも右肩あがりの上昇カーブを描く。しかし閑古鳥がなくWebサイトは何もしなければ永遠閑古鳥が泣き続けるのである。

つまるところ、個人間のメールの送受信なんてものは、技術的に漏洩リスクがあっても、よほどの署名人でない限り、情報摂取されないし誰も興味すらないのである。メールの添付ファイルに暗号化しようが平文のままだろうが、漏洩リスクは変わらないことを知るべきである。

このようにセキュリティの本質を間違えているケースは枚挙に暇がない。メールによる情報漏洩リスクは添付ファイルの暗号化忘れではなく宛先間違いによる誤送信である。本来BccにするべきところにCCやToにメールをつけて送信するヒューマンエラーだ。この情報漏洩の根源である大事な部分を置き去りして、テクニカルな要素ばかりを取り上げるソリューションはうんざりである。

「それはセキュリティ的にどうだんだ」と偉そうに発言する人、あなたの近くにもいるだろう。こうして漠然とセキュリティについて豪語する人ほど、ウイルス添付付きメールを不用意にオープンしてしまったり、フィッシングサイトにアクセスしたり、誤送信したりする。ITを使う一人ひとりの正しい知識と実態の教育こそ、本来あるべきセキュリティ対策を忘れてはならない。


コラムワード検索
表示件数
ワード検索
本コラムに関する意見
Twitterにて受け付けます @megahit_jp