lufeの備忘録

学んだことをてきとーに。

【レポート】基調講演1:「サイバーセキュリティの万華鏡を揺らす – 人間行動とサイバーセキュリティへの没入型調査」CODE BLUE 2021 #codeblue_jp

 CODE BLUE 2021で行われた「基調講演1:「サイバーセキュリティの万華鏡を揺らす - 人間行動とサイバーセキュリティへの没入型調査」」というセッションのレポートです。 このレポートは私の言葉で書いてあるため、解釈が異なるかもしれません。そこのところご了承ください。

レポート

 あるサイバーセキュリティにかかわる俳優の方がチョコレートを配布しており、ユーザ ー名とパスワードを教えてくれればチョコレートを渡すといった実験を行っていた。そこ で自分の情報を公開する人が多かったという結果がでた。これは人間が一番のサイバーセ キュリティの中でもっとも脆弱であるということを示した一例でもある。そして近年は新 しい攻撃ツールが開発され続けており、サイバーセキュリティの状況はどんどん悪化して きている。ある議会のセキュリティの責任者に普段は何をやっていますか。と聞いたところ、 ツアーやオフィスで珈琲を出したり家族の写真を見せたりして交流をするといって家族写 真を「USB をつないで」コンピューターを見せた。しかし、そのセキュリティの責任者は USB によるセキュリティ脅威を認識していなかった。USB による脅威はイランの核開発の 遅延の場合にあった Stuxnet と呼ばれるマルウェアである。人々の USB のセキュリティ脅 威をいかに知っているのかを検証するために、50 個くらいの USB をもっていろんな国の空 港に意図的においてどのくらいの人々が USB を指すのかといった実験を行った。その結果 ほとんどの USB が拾われ、接続された。ここで拾った大多数は老人のビジネス観光客であ った。このことからも人間の行動が脆弱であるといった裏付けにもなった。 サイバーセキュリティではいろいろな人が必要であり、水平軸でいろいろと関わる必要 がある。サイバーセキュリティは一つの分野ではなく、医療やインフラなどの様々な場所に 関係しているためいろんな広さがある。 コロナによって在宅勤務が増えたことによりサイバー犯罪も非常に増えた。言い換えれ ばビジネスが家にやってきたといっても過言ではないだろう。そこで中小企業の人にサイ バーセキュリティについて聞いてみたが、セキュリティコントロールについて答えられた 人はほぼいなかった。結果セキュリティ対策を実施している中小企業は圧倒的に少ないこ とが分かった。そこで中小企業で使われているセキュリティ教材の分析をしてみたが、セキ ュリティ意識向上研修を行っても適切なセキュリティコントロールを導入できた企業はな かった。加えて企業側としては約2万円ぐらいであったらセキュリティ対策をしてもいい といったセキュリティについて甘く判断していた。このような状況であるため、セキュリテ ィ意識が低い理由などを社風などの事柄からいろいろと調べる必要があった。そのために 外部セキュリティオペレーションセンターを構築し、サイバーセキュリティに関する情報 提供を無料で行えるようにしていきたいと発言した。ここで Drunk Tank Pink といった実 験があり、お酒の飲みすぎで暴力を行う人を牢屋に入れ、その牢屋をピンク色にすることで 約 80%の暴力が抑えられた。このようなことがサイバーセキュリティでできないかと考え た。サイバー犯罪に関与しているのは世界で頭がいい人たちであり、フィッシング対策など は回避されてしまう。そのためにセキュリティコントロールを組織全体に入れていく必要 があり、それには認知的不協和や行動データ工学などを用いて考えていく必要がある。 ここで現在最も安全な携帯は Microsoft Phone であり、なぜかというと使っている人がす くないからである。攻撃者としてもあまり使われていない製品をターゲットにすることが ない。他にも最近ゼロトラストといった言葉がはやっている。誰も信じないデバイスを作れ れば、決して大事な情報を端末に入れたりすることはないのだから。 最後にサイバーセキュリティは日々変化し続けており、技術も進化し続けている。これに 対応できるように私たちもより早く変化していかなければならないと思う。

感想

 人々の不注意による情報漏洩や情報持ち出しが近年では多いと思っている。フィッシング サイトが萬栄しているのもこれが一番効率のいい等の理由があると思った。情報セキュリ ティは一つの分野でありその分野を学ぼうと思っていたが、IT は現在どの分野でも用いら れており、加えて国々の法律にもかかわってくる。サイバーセキュリティはその意味でも広 さがあると実感した。落ちている USB の接続でマルウェア感染等の話は有名だと思ってい ましたが、ここまで多いとは思ってはいなかったのと、これを防ぐにはすべての人に危険で すよといった認知が必要である。しかし、認知させるだけでは実行できないといったことが 中小企業の研修でもわかったと考えると難しい問題であり、考えていかなければならない 問題だとも思いました。今回の公演でゼロトラストといった言葉の意味を初めて知りまし たが、何も信用できないのは確かに、悲しいことであり、そんな世界にはなっては欲しくな いと私も思いました。最後になりますが、頭を固くするのではなく新しい技術を取り入れ、 自分たちも時代に追いついていけるように日々努力や勉強をすべきであると再実感しまし た。

参考文献 https://dev.classmethod.jp/articles/codeblue-2021-day1-track1-1000/

dev.classmethod.jp