当事者と直接やり取りをするという意味では、第11回「手のひらが世界中 繋がるハクティビスト」(2013年1月9日公開)も非常に印象的であった。この記事は、ちょっとしたことがきっかけで筆者が驚くような展開を見せた出来事を紹介したものである。
きっかけは、「GhostShell」というハクティビストグループを報じている記事の中に「GhostShellはAnonymousと関係があるチーム」というようなことが書かれていたことだ。この真偽が気になり、直接彼(彼女)らのTwitterアカウントに対して問い合わせを行ったことである。
詳しくは記事をお読みいただけると分かるのだが、やり取りをしているうちにそのハクティビストから「日本の政府や地方自治体に存在する脆弱性のリストを提供できるので、日本のセキュリティ向上のために役立ててほしい」という旨のメッセージをもらったのである。筆者はそのリストを入手し、しかるべきところへ提供した。そして、そのハクティビストへのインタビューを行うこともできた。
その中で印象的だったコメントに以下のようなものがある。筆者の「最後に日本の人々にメッセージがあれば、どうぞ」という問いに対する回答である。
サイバー攻撃を恐れないでほしい。代わりに、サイバー攻撃を注意深く観察し、サイバー攻撃から、「サイバー攻撃を防ぐ方法」を学んでほしい。何よりもまず、もしあなたのデータが窃取されてしまったら、どのようにあなた自身を守ればいいかを学んでほしい。
情報はインターネットにおけるキーとなる重要な要素だ。だから、世界で起こっていることについて、常に新しい情報を入手してほしい。
そして、忘れないで。私たちはみんな、shellの中に住むゴーストだってことを。
彼(彼女)らの主義主張を広め、抗議をするという手段として、情報を盗みリークをするという行為自体には決して賛成できないが、この言葉はもっともだと思う。
セキュリティ業界では、さまざまな脅威やキーワードが取りざたされてきた。現在では「標的型攻撃」がそれに当たるだろう。どのキーワードもそうなのだが、本質の理解を充分に促すことなく脅威のみを伝え、それを一人歩きさせてしまう傾向があると筆者は感じている。
本来はまず、自分たちが守りたいものをはっきりさせ、それがどこからのどのような脅威にさらされており、自分たちはいまどの程度それを守る手段を持っているのか、何が不足しているのかということを知ることから始めるべきだろう。自分たちの状態が分からず、結局何をすべきかも分からないため、予算も確保できず何もしなかったというケースを筆者は沢山見聞きしてきた。
いま何ができていて、何ができていないのかを知り、ゴールが見えれば少しずつでも歩みを進められる。こうしてセキュリティレベルを向上させることができるはずだ。初めから100%に近いセキュリティを担保したい気持ちも分かるが、優先順位を付けて少しずつゴールに近づいていくという取り組みが現実的であり、必要なことではないだろうか。0よりは10、10よりは20……である。
セキュリティに従事する人間は、どうしても脅威面ばかりを伝えがちである。そこにはバランスが必要であり、煽り過ぎてはいけない。「何かあってはいけないから最大値で危険を伝える」という考え方は十分に理解できるのだが、リスクに対しては過大であっても過小であってもいけない。常にバランスを取ること、そして、その意識が大切だろう。また、危険であることを伝えるのも、安全であることを伝えることもセキュリティなのではないだろうか。
パスワード管理に関するところでも述べたが、私たちを取り巻く状況は、専門家だけが頑張ってどうにかなる問題ではなくなってきている。攻撃をする側は主義主張、もしくは金銭的な理由から攻撃を行っている場合がほとんどで、攻撃者のモチベーションは高く、細かな分業化も進んでいるようである。
一方、私たちは通常の業務をこなしつつセキュリティを意識し、実践していかなければならない。圧倒的に不利なところからのスタートなのである。
専門家、ユーザーのどちらか一方が頑張ったところで勝ち目は無いといっても過言ではないだろう。互いに歩み寄り、同じ方向を向いて、脅威を見極め、脅威と対峙していかなければならないのだと筆者は考えている。
専門家は「煽るな危険」、ユーザーは「煽られるな危険」なのである。
Copyright © ITmedia, Inc. All Rights Reserved.