Special Issue

トーテックアメニティ 脱PPAPで考え直すセキュリティの常識/非常識

2021/07/29 09:00

週刊BCN 2021年07月26日vol.1884掲載


 クラウド・セキュリティをテーマとした2日目の基調講演では、トーテックアメニティ トーテックサイバーセキュリティ研究所所長の藤原礼征氏が「脱PPAPで考え直すセキュリティの常識/非常識」をテーマに講演した。

トーテックアメニティ
トーテック サイバーセキュリティ研究所 所長
藤原礼征 氏

 藤原氏は、講演の冒頭で添付ファイルを暗号化ZIPで送ってパスワードを送る「PPAP」が国内の多くの組織や企業で採用されてきたが、セキュリティ対策として大した意味がないと指摘する。最大の問題点は「“セキュリティしぐさ”によって、本来のセキュリティ対策が阻害され、心理的な安心感から技術的な安全策が講じられなくなることだ」という。

 サイバー攻撃の侵入経路の90%はメールからの攻撃であるため、そこを抑えることが重要だ。いかに添付ファイルを安全に運用できるかを考えた時、PPAPは送る側のリスクを受け取る側に転嫁するもので、ファイル共有を添付ファイルに頼る時点で負けだという。解決策として、「ファイル共有はさっさとクラウドに移行しましょう」と語る。ファイル共有はクラウドとセキュリティのド直球の問題で、それを片付ける必要があるためだ。

 クラウドの安全性は高まっているが、最大の懸念点は利用者のパスワード管理問題だ。不正アクセスによる被害の多くはユーザーIDとパスワードの漏えいが原因となっているため、パスワードは暗号化して保管するのが鉄則。また、安易なパスワードを使わない、十分に長く複雑なパスワードを使う、同じパスワードを使い回さないことが重要な対策になる。「安全な(十分に複雑で使い回していない)パスワードを大切に使うことが、これからの常識になる」と藤原氏は強調した。

 次いで、指摘したのはソフトウェアが経年劣化するという点だ。未知の脆弱性を突くような攻撃が巧妙化しており、年々、対抗するセキュリティの技術も向上しているので、既存のソフトは陳腐化していく。だが、ソフトウェアをアップデートすれば安全かといえばそうではなく、ルータなどIoT機器の危殆化リスクも存在している。特に、テレワークやDXの推進が問題を深刻にしている。その対策として、自宅で使用しているルータなどのIoT機器を定期的に買い直すことを推奨。企業にもその費用負担を検討してほしいと訴えた。

 最後に取り上げたのが、セキュリティポリシーの継続的な見直し。ポリシーの強化で「使えなくするセキュリティはセキュリティではない」とし、大切なのは、安全(Security)に使える(Usability)ようにすることで、バランスが重要だと語った。
  • 1

外部リンク

トーテックアメニティ=https://www.totec.jp/