「いくら高価なセキュリティ製品を購入しても,ユーザーの意識が低ければ意味はない。まずはユーザーのセキュリティ意識を高め,『何が危険なのか』『どうすれば重要な情報を守れるのか』を周知させることが重要だ。また,セキュリティ製品を利用する際には知名度だけで選ぶと後悔する。機能を吟味した上で選択すべきだ」——。米CyberguardのSenior Vice PresidentであるPaul Henry氏は11月20日,IT Proの取材に対して,ユーザーのセキュリティ意識を上げることの重要性などを説明した。以下,同氏の発言内容をまとめた。

人名のパスワードは容易に破られる

 企業や組織のセキュリティ・レベルを上げるには,個々のユーザーのセキュリティ意識を向上させることが不可欠だ。セキュリティ意識を上げるには,まずはパスワードの重要性を認識させる必要がある。パスワードを盗んで正規のユーザーになりすました攻撃者からネットワークを守ることは難しい。セキュリティを維持する上で,パスワードを攻撃者に盗まれないこと,推測されないことはとても大切なことだ。

 にもかかわらず,多くのユーザーはその重要性を認識せずに,利便性のために簡単なパスワードを付けてしまう。人名などの固有名詞を使ったパスワードなら破られないと考えているユーザーがいるようだが,大きな間違いだ。いろいろな国の人名を収めた辞書ファイルがあるので,それを使えば人名のパスワードはあっという間に破られてしまう。一般の辞書に載っているような単語はもちろん,人名などの固有名詞もパスワードに使ってはいけない。最低8文字で,大文字と小文字,数字,記号すべてを使ったパスワードが望ましい。

 パスワードは,決して他人に教えてはいけない。ある企業のCEOと話をしたときに,パスワードを尋ねたらさすがに教えてはくれなかった。しかし話をしているうちに,娘の名前をパスワードにしていることを教えてくれた。そして,またしばらく話をしていると,パスワードの話題を忘れて,娘の名前を私に教えてしまった。

 攻撃者は言葉巧みにパスワードなどを聞き出そうとする。だましてパスワードなどを聞き出す「ソーシャルエンジニアリング」はとても増えている。だまされないように十分注意する必要がある。

インターネット・ユーザーの義務

 インターネットを利用するユーザーは,自分のマシンをセキュアにしておく義務があることも周知させる。未対策のマシンをインターネットに接続すると,被害はそのマシンにとどまらない。そのマシンが踏み台にされて,別のマシンを攻撃される可能性がある。

 ノート・パソコンの場合には,ウイルスなどを社内LANに持ち込む恐れがある。インターネットに接続する場合には,自分のためだけではなく他のユーザーのためにも,自分のマシンをセキュアにしておかなければならないのだ。インターネットの利便性を享受するために,果たさなければいけない義務である。

知名度だけで選ばない

 ファイアウオールをはじめ,さまざまなセキュリティ製品が市場に出ている。企業や組織のセキュリティ・レベルを上げるには,セキュリティ製品の利用は不可欠だが,製品数が多いために,「どれを選べばよいのか分からない」という声をよく聞く。

 結局,それぞれの製品の機能をきちんと調べずに,単に“有名だから”という理由で選択しているユーザーは多いようだ。そのような理由で選ぶと失敗する場合が多い。

 製品の中には「アプリケーション・レイヤーまでチェックする」とうたっていながら,設定画面にはアプリケーションに関する設定がないものがある。「多数のプロトコルに対応している」と言いながら,2,3種類のプロトコルに関する設定しか用意していない製品もある。製品を購入する際には,自分たちが要求する機能を備えているのかどうか,きちんと調べる必要がある。

 もちろん,必要以上にハイ・スペックの製品を購入する必要はない。一般の企業には,政府や金融機関で使われるようなセキュリティ製品は不要である。ただし,企業の規模にかかわらず,顧客の個人情報を扱っているシステムでは,セキュリティに万全を期すべきである。要求されるセキュリティ・レベルは,企業規模ではなく,守るべきものによって決まる。

(勝村 幸博=IT Pro)