1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 根岸征史氏に聞く「誰もが安心して利用できるネットワークやサービスへの思い」(後編)

根岸征史氏に聞く「誰もが安心して利用できるネットワークやサービスへの思い」(後編)(1/3)

前編に引き続き、根岸征史さんにお話をお伺いします。後編では、エンドユーザーがセキュリティ意識やリテラシーを高めるためのポイントや、根岸さん個人の今後の取り組みなどについて語っていただきました。

根岸征史氏

根岸 征史(ねぎし・まさふみ)

株式会社インターネットイニシアティブ(IIJ) セキュリティ情報統括室 シニアエンジニア。外資系ベンダ等で、ネットワーク構築、セキュリティ監査、セキュリティコンサルティングなどに従事。2003年、IIJ Technologyに入社、セキュリティサービスの責任者として、セキュリティ診断など数多くの案件を担当。現在はIIJのセキュリティインシデント対応チームに所属し、主にセキュリティ情報の収集、分析、対応にあたっている。2007年よりSANSトレーニングコースのインストラクター、2012年よりOWASP Japan Advisory Boardのメンバーでもある。Twitter IDは@MasafumiNegishi。

段階的に失敗を経験できる「砂場」があると理想的

★それでは、エンドユーザーが安心してネット上のサービスを利用するためにはどうしたらいいかという視点に話を移します。エンドユーザーはどういう心構えが必要だと思いますか?

そうですね。率直に私の思いを述べると、普通にインターネットを使っているユーザーが、毎回、このメールは開いて大丈夫かとか、友達からメールで送られてきたファイルが本物ではないのではないか、と疑心暗鬼になって使わなければならないインフラやサービスというのはよくないと思います。本来であれば、社会インフラというのは、使う人が意識しなくても誰でも安全に使えるものであるべきですし、私も通信事業者に属する一員として、そのために何か役に立ちたいと思っています。

一方で、現実には、インターネットというインフラは、ユーザー側がある程度高いリテラシーを持って利用しないと、被害に遭う可能性があります。ですから、ユーザーに対しては、自分が使っているサービスやツールに関することや、自分がやっていることにどんな意味があるのか、何が危険で何が危険でないかを、知ってもらわなければなりません。セキュリティに関する情報に敏感でなければならないと思います。

★例えば、リスト型攻撃が横行していて、パスワードの管理が問題になっています。やはり、ユーザー側では最低でも、異なるサービスでパスワードを使い回さないというのを守るべきでしょうか?

はい。本来であれば、インフラやサービス事業者がパスワード認証に代わる安全な仕組みを提供する必要があると思いますが、現実問題として、パスワード認証に代わる手段がない今の状況では、同じパスワードを使い回さないとか、単純な文字列のパスワードを設定しないというように、ユーザー側に最低限のリテラシーが求められます。

ただ、パスワードの管理といったセキュリティに関することを全てユーザー側に委ねてきた結果が、昨今の不正ログイン事件の多発を招いているのも事実です。ですから、現在では、インフラやサービス事業者側でも対策を講じていて、例えば、ユーザーが簡単なパスワードを設定しようとしたらエラーを出すとか、外部からの攻撃を検知するために監視するとか、事業者側の対策を追加することで全体のリスクを下げようとしています。

★では、エンドユーザーのセキュリティ意識やリテラシーを高めるためには、どうすればいいと思いますか?

一つには、教育ということがあるでしょう。我々の世代というのは、運良く、インターネットの普及に合わせ経験を積んでこられたので、使っているうちに自然とリテラシーを身につけることができたという側面があります。しかし、これからインターネットを利用するような若い世代の人は、ちゃんと教わらないと分からないという面があります。

★セキュリティ教育というのは大事ですね。

以前、大学で講演をしたことがありました。パスワードのセキュリティについて話をしたのですが、良くわかりましたという反応に加えて、私も使い回していましたという学生が多数いて、驚きました。理系の情報系の学生を対象にした講演だったので、一般の学生よりリテラシーが高いであろうという学生だったにもかかわらずです。

★何が危険なのか、どうして危険なのかというのは、教えてもらわないと分からないのも事実です。

おっしゃる通りです。聞いてみると、今までそういうことをきちんと教わったことがないという学生が多かったのですね。実際に、なぜ使い回しが危険なのかについてちゃんと教えれば、理解してもらえるのです。ですから、セキュリティについてのリテラシーという点では、我々のような立場の人間が、もっと伝えていかないといけないと痛感しています。それと、もう一つは、エンドユーザーに対して正しい知識を提供するようなコンテンツや仕組みのようなものがもっと必要なのかもしれません。

★コンテンツや仕組みですか?

うまくいえませんが、例えば、仮想的なものでいいので、害のない環境下でウィルスに感染してみるとか、実地訓練のような場で、間違って個人情報を漏えいしてしまうとか、ちょっとした失敗を体験できるような機会ですね。

★なるほど。子どもにとっての砂場のようなものですね。

そうですね。いろんなことを練習できるような砂場があって、子ども達はそこで痛い目に遭いながら、これをしたら危ないというのを体験的に学んでいくものですが、今のインターネットの世界は、大人も子どもも、一般のユーザーもプロも、同じようにオープンでフラットな環境におかれて、いきなり本番で大けがをしてしまうような状況にあると思うのです。

★確かに、段階的に失敗を体験できるようなコンテンツや仕組みというのは興味深いですね。

経験上、セキュリティインシデントに遭遇した人や組織というのは、その後、ものすごくレベルが上がるのですね。裏を返せば、何か実体験がないと、本当に理解することは難しいということかもしれません。ただ、いくら理解するためとはいえ、実際に被害に遭うわけにはいかないですよね。ですから、仮想的なものでいいので、実際に被害に遭うと大変だというのが実感できる機会があると理想的です。

関連キーワード:
  • モバイルマルウェアを用い2要素認証のコードを盗む手口に注意
  • カテゴリートップへ
  • 2014年4月のIT総括