最恐の脆弱性とセキュリティ

「最恐の脆弱性は人間である」
プラスエスが講演会などで最後のメッセージで使う一言です。
今回のコラムでは、なぜこの言葉を意識していただきたいのかをまとめてみました。

脆弱性の脅威：狙われるのは「人」も同じ

サイバー攻撃というと、ウイルスやハッキングのような「システムの脆弱性」を思い浮かべがちですが、実は人間の「心の隙」も大きなターゲットです。
たとえば、知らない相手から届いたメールをうっかり開いてしまう、面倒だからバックアップを後回しにする。こうした「ヒューマンエラー（人為的ミス）」が、データ漏えいの約7割を占めるという調査もあります。つまり、どんなに最新のセキュリティ対策を導入しても、人の行動ひとつで攻撃者に突破口を与えてしまうことがあるのです。

なぜ人が脆弱性なのか：2つのエラーに注意

メルボルン大学の研究者によると、ヒューマンエラーには大きく2つの種類があるようです。

● スキルベースのエラー
知っているのに、うっかり忘れる・後回しにしてしまうタイプ。
例：バックアップを取るべきと分かっていても、忙しさで忘れてしまう。

● 知識ベースのエラー
知らない、あるいはルールを誤解しているために起こるタイプ。
例：不審メールのリンクをクリックしてしまう、社外持ち出しルールを知らずにUSB保存してしまう。

どちらも悪気のない行動ですが、結果的に会社の大きな損失につながる可能性があります。

対策のカギは人間中心のセキュリティ

従来のセキュリティ教育は「パスワードを強化しよう」「多要素認証を導入しよう」といった技術的な指導が中心でした。しかし、最近では「人間の行動を変える」という考え方が注目されています。人はプレッシャーや多忙さの中では、つい、楽な行動を選んでしまうものです。だからこそ、次の3点を考慮した「人のマネジメント」が大切になります。

1.できるだけシンプルにする
難しい手順や長いパスワードルールではなく、自然に守れる仕組みをつくる。

2.前向きな意識づくり
「やらないと怒られる」ではなく、「守ると安心できる」と感じる教育へ。

3.継続的な学び
セキュリティは一度の研修で終わりではなく、日々アップデートが必要。