ビジネスでのIT活用術(IT初心者向け)-14:セキュリティ対策はコンピュータだけではない
セキュリティ対策はコンピュータに対してだけ必要なわけではありません。コンピュータを使う側の人間にも対策が必要です。つまり、コンピュータに対するセキュリティ対策が完璧でも、人間が原因でセキュリティ上の問題が発生することがあります。
例えば、会社の人間を装ってパスワードを聞き出したりするソーシャルエンジニアリングという手口のように、全くコンピュータを介さずに機密情報を入手する行為などがあります。私自身以前経験したのですが、ある外資系企業の社員だと名乗る男から電話で社内情報の問い合わせを受けたことがありましたが、さすがに怪しいと思ったので、その場では答えなかったことがあります。
また、ウェブサイトを閲覧しただけで金銭を請求したりするワンクリック詐欺や、偽ウェブサイトで個人のアカウント情報などを入力させて盗み取るフィッシングという手口は、インターネットが一般的になった頃からあります。
最近では、フィッシング攻撃も進化しており、偽メッセージから偽ウェブサイトに誘導されて不正な偽アプリがインストールされたり、巧妙な偽メールを企業の担当者に送り、不正な口座に入金させる振り込め詐欺もあり、実際に企業が大金を騙し取られた実例がいくつかあります。そして、企業から大きな金額を引き出そうと企てるものは、企業の経営層などの大物を狙うことからホエーリング(捕鯨)と呼ばれることもあるようです。
このように、人間の心理の隙きを突くような行為に対抗するためには、コンピュータを使用する人間に対して対策を施さなければなりません。つまり、何か怪しいとか不審に思われるウェブサイトやメール・メッセージに対しては反応しないことが肝心なのですが、そのためにはこのような脅威を人に啓蒙していくことが必要です。しかし、これはコンピュータへの対策とは違い、なかなか実施することが容易ではないですし、効果も見えにくいところが難点です。
なお、すぐに効果のある対策の代表例としては、パスワード使い回しをしないことが挙げられます。例えば、あるシステムで使用しているIDとパスワードが何らかの理由で盗まれてしまった場合に、他のシステムへもそのIDとパスワードを使用して不正アクセスをされてしまいます。パスワード使い回しはついしてしまいがちですが、悪意のあるアクセスを防ぐためには注意が必要です。
