昨年、情報セキュリティマネジメント試験を受験しました。試験に向けて勉強した内容は、セキュリティの概論・組織の運営・リスクマネジメントの仕組みなどです。
勉強しながらずっと思っていたことがあります。
これ、現場で何の役にも立たないな、と。
試験で学ぶセキュリティと現場のセキュリティは別物です
情報セキュリティマネジメントの試験では、組織のセキュリティポリシーの作り方、リスクアセスメントの手順、インシデント対応の体制整備などを学びます。きれいに整理された理論です。教科書として読む分には理解できます。
でも現場はそんな話ではありません。
今日もサポート詐欺で42万円を振り込んでしまったお客様が来ます。「マイクロソフトセキュリティチーム」を名乗る迷惑メールに引っかかったお客様が来ます。Driver Updaterをインストールさせられて8万円を請求されたお客様が来ます。
これらの被害を防ぐために、組織のリスクマネジメント体制の整備が役立つでしょうか。答えはノーです。
サイバーフィジカルセキュリティ対策フレームワークとは何か
経済産業省とIPAが策定した「サイバーフィジカルセキュリティ対策フレームワーク」というものがあります。産業界のサイバーセキュリティ対策の指針として作られたものです。
ただしこれはガイドラインです。法律ではありません。守らなくても罰則がありません。実施状況を確認する監査機関もありません。企業が対策しているかどうか、外部からはわかりません。
制度を作るのは官僚です。コンサルティング会社やセキュリティ企業と結びつきやすい構造があります。天下り先として機能している可能性を否定できません。「やっている感」だけが先行して、実際の被害防止につながっているかどうかは不明です。
この制度のおかげで防げたサイバー攻撃が明確に示されたことはありません。
インターネットを理解していない人たちがセキュリティを語っている
日本のセキュリティ対策が機能しない根本原因は、制度を作る側がインターネットをよく理解していないことです。政治家、官僚、業界団体の上層部。こういった方々がセキュリティの指針を作り、予算を動かしています。
現場を知らない人が作ったルールは、現場で役立ちません。これは当たり前の話です。料理をしたことがない人が作ったレシピで美味しい料理はできません。
だからサポート詐欺の被害がなくなりません。10年以上同じ手口で同じような被害が続いています。制度がどれだけ整備されても、現場に届いていないからです。
本当に必要なセキュリティ対策は別のところにあります
わたしが16年の現場で見てきた現実から言うと、一般の方に必要なセキュリティ対策はシンプルです。
メールのリンクをクリックしない。電話口の言葉をうのみにしない。知らない番号に折り返さない。パソコンの警告画面に表示された電話番号にかけない。これだけです。
組織のリスクマネジメント体制を整備するより、この4点を近所のおじいちゃんおばあちゃんに伝える方が、被害は確実に減ります。でもそれは試験の範囲には入りません。フレームワークの対象でもありません。
天下りや税金の無駄遣いかという問いへの答え
サイバーフィジカルセキュリティ対策フレームワークは天下りや税金の無駄遣いかという問いに対して、わたしの答えは「完全に無駄とは言わないが、現場には届いていない」です。
大企業やインフラ事業者にとっては指針として機能する部分があるかもしれません。でも日本のセキュリティ被害の大半は個人・高齢者・零細企業が対象です。そこへのアプローチがないまま制度だけ整備しても、被害は減りません。
情報セキュリティマネジメントの試験を受けながら、この国のセキュリティ対策の限界を改めて感じました。試験に合格することと、現場でセキュリティを守ることは別の話です。
サポート詐欺・不審なメール・怪しいソフトのインストールでお困りの場合はパソコン本舗にご相談ください。16年の現場経験で対応します。
