銃とサイバー・セキュリティー

2013.09.02

今回の投稿は、サイバー・セキュリティーに関する話題です。前回の投稿では空軍士官学校に訪問したときのエピソードを取り上げましたが、同学校で教えている内容が参考になると語っています。（ITpro）

　準備が出来ていない人にとって、オンラインの世界は危険です。加えて、状況は悪化しています。サイバー・セキュリティーを高校と大学教科の一部として教え、企業の従業員全てにも教える時です。

　私はニューヨークで育ちましたが、そのうち数年、夏休みにデラウェア川のボーイスカウト・キャンプに行ったときには、この世の天国と思えました。

　キャンプでは、ハイキング、釣り、カヌーの川下りといった、都会の子供にとって想像できる全ての夏の冒険に参加できました。しかし、私が一番好きだったのは、ライフル射撃場でした。都会の12才の子供にとって、22口径のライフルでの射的訓練とスキート射撃は、危険なことに関して大人から信頼されることを意味しました。なぜなら、射撃訓練と同時に銃の安全な使用方法を頭に叩き込まれたからです。

　射撃場に入った瞬間から銃を手にする直前まで、私たちは銃の基礎的な取扱方法を教えられ、私はそれをいまだに忘れていません。もしそこで混乱すれば怒鳴られ、それでも再度混乱すると、射撃場から連れ出されました。

　射的練習とスキート訓練は楽しかったものの、安全訓練はとても厳しいものでした。

　それから数年、私は軍隊の基礎訓練でM-16の射撃法を習い、東南アジアに行く前に基礎戦闘コースの訓練を受けました（この訓練中、あたかも訓練を遊びのように振る舞っていると、訓練官は訓練を止め、「君たちを目がけて撃っている敵方も戦闘訓練でふざけていることを、君たちのために願っている」と言い、私たちの注意を引きました）。

　私が農園を購入したとき、その敷地内に野生の猪がうろついていました。猪がランチ内に入れなくする目的で数キロメートルにも渡る柵を張り巡らしているとき、400ポンド（180kg）の獰猛な猪に対処できるように、私はかなり強力な銃を購入し、その銃の安全な取扱方法を習うために指導員を雇いました。新しい銃を手に入れたとき、安全な取扱方法は訓練の一部です。私にとっては、銃と銃の安全な取扱方法は一体なものなのです。

サイバー・セキュリィーのハッキング

　一般消費者にとって、Webサーフィン、オンラインショッピング、オンラインバンキング、オンラインの娯楽などは、生活の一部になりました。その結果、個人IDの盗難、ハッキング、フィッシング、オンラインでの詐欺、いじめ、児童虐待などが起こるようになりました。加えて、プライバシーが失われました。

　企業にとっては、その脅威はより深刻です。RSA、ノースロップ、ロッキード、グーグル、アマゾンなど、オンラインで事業を展開しているほとんどの会社に聞いてみてください。知的財産の盗難、顧客情報のハッキング、資金の不法な引き出し、商品の盗難などが、会社に打撃を与え、倒産させることもあるのです。

　何かを見落としてはいないでしょうか。

　過去20年の間に、30億人がWebにアクセスするようになりました。いまだに、ほとんどの人たちがオンラインの安全性は他人事だと考えています。現在、企業がオンラインで事業を展開することは、装弾された銃を扱うのと同じであることは明らかです。

　インターネットと銃を対比するのは、誇張しすぎだと思われるかもしれませんが、私はふさわしいと考えます。銃は何百年も前から身の回りにあり、食べ物を獲得したり戦争を遂行したりするのに使われていますが、しかし銃の安全規則が成文化され教えられたのは、20世紀に入ってからです。

　私は、銃の安全使用訓練と同等の訓練が、オンライン・アクセスにも必要だと考えます。

　現在私たちは、オンライン・ハッカーが使う基本的なツールを知っています。簡単なハッキングから自分たちのWebサイトを守り、強固にする方策を私たちは理解していますし、従業員に基本的なソーシャル・エンジニアリング（訳者注：面と向かわずに人を欺いてある行動を取らせたり、個人情報を提供させたりする詐欺的な行為）や、フィッシング攻撃について教育することもできます。高校か大学、あるいは双方で、サイバー・セキュリティーを、選択科目ではなく必須科目として教える時期に来ています。会社としても、サイバー・セキュリティーを新入社員教育の一部とする必要があります。

　空軍士官学校のサイバー・セキュリティー・コースは、良い模範です（スタンフォード大学や他の大学でも、同様のコースを教えています）。コースの教科項目は、基礎ネットワーキングとその管理手法、ネットワーク地図、遠隔からの悪用操作、サービスの拒否、Webの弱点、ソーシャル・エンジニアリング、パスワードの弱点、無線ネットワーク網の悪用、コンピュータの機能の継続維持、デジタル・メディア分析、サイバー作戦運営です。

学んだこと

・Webは、安全で穏やかな環境ではありません
・会社や高校、大学で、サイバー・セキュリティー・基礎コースをオンライン利用のための必須項目にすべきです

（2013年5月13日オリジナル版投稿、翻訳：山本雄洋、木村寛子）

スティーブ・ブランク

　シリコンバレーで8社のハイテク関連のスタートアップ企業に従事し、現在はカリフォルニア大学バークレー校やスタンフォード大学などの大学および大学院でアントレプレナーシップを教える。ここ数年は、顧客開発モデルに基づいたブログをほぼ毎週1回のペースで更新、多くの起業家やベンチャーキャピタリストの拠り所になっている。
　著書に、スタートアップ企業を構築するための「The Four Steps to the Epiphany」（邦題「アントレプレナーの教科書新規事業を成功させる4つのステップ」、2009年5月、翔泳社発行）、「Startup Owner's Manual」（邦題「スタートアップ・マニュアル」、2012年11月、翔泳社発行）がある。