1. セキュリティのリテラシーをあげる!そのこころは「7つの習慣」<前編>~今こそ必要な、セキュリティ本~

プロに聞く【vol.09】

2017.07.05

セキュリティのリテラシーをあげる!そのこころは「7つの習慣」<前編>~今こそ必要な、セキュリティ本~

  • Facebook
  • このエントリーをはてなブックマークに追加

MV「セキュリティ」と聞くと、「難しい」「自分には関係ない」と敬遠する人も少なくない。昨今のITの進化に伴い、セキュリティもよりいっそう複雑になってきているのも1つの理由だろう。また、会社の中では、セキュリティに必死に取り組む情報システム担当者と、セキュリティを押し付けられる社員の格差は開くばかり。

そこで、エムオーテックスはNO MORE情報漏えい~情報漏えいの「自分ごと化」プロジェクト~の活動の一環として、新たな取り組みを開始した。これまでも本サイトを通じてセキュリティに関する情報発信を続けてきたが、その中で気づいたことは「セキュリティ教育ならコレだというコンテンツがない」ということ。

そこで、セキュリティ界を代表するお二人(株式会社アスタリスク・リサーチ/ OWASP Japan代表 岡田良太郎氏、HASHコンサルティング株式会社 代表取締役 徳丸 浩氏)に監修に入って頂き、セキュリティの原理原則をまとめた1冊『セキュリティ 7つの習慣・20の事例』を作成。今回はその完成を記念し、お二人にお話を伺った。

(インタビューアー/エムオーテックス株式会社 坂本 琴音)

okada岡田 良太郎 氏
株式会社アスタリスク・リサーチ/ OWASP Japan代表
“Enabling Security”をコンセプトに掲げ、技術とビジネスの両方の視点からリサーチ・コンサルティングに従事。2016年、サイバーセキュリティ教育のためのHackademy Projectを発表。IPA10大脅威選考委員、総務省CYDER分科会委員など公共活動にも従事。CISA、MBAを保持。
tokumaru徳丸 浩 氏
HASHコンサルティング株式会社 代表取締役
1985年京セラに入社後、ソフトウェアの開発、企画に従事。2008年Webアプリケーションセキュリティを専門分野とするHASHコンサルティングを設立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。

 

一般消費者を対象にした“セキュリティ本”が必要な理由

-「セキュリティ本」を作成するにあたり、セキュリティ界の重鎮であるお二方に監修に入っていただけたことは本当に心強かったです。改めてありがとうございます。
こちらからのお願いではありましたが、この企画に賛同頂けたところはどういったところだったのでしょうか?

徳丸:
いろんな格差が言われる中で、スマホの普及により一般消費者における「セキュリティ格差」は非常に大きくなっていると思います。私はWebのセキュリティが本業で、Webの格差については2008年くらいから様々な活動をしてきましたが、一般消費者に対してはこれまで接点がなく、でも何か貢献したいなと思っていたところでした。だから、今回のお話は私自身のチャレンジでもありました。

岡田:
以前、河之口社長(エムオーテックス株式会社 代表取締役)とお話する機会がありました。ちょうどそのころ弊社は「一般の実務担当者向けのサイバーセキュリティリテラシーをあげるトレーニング」や、大学で「教養としてのサイバーセキュリティ」という講義などの取り組みを始めていたのですが、その際に実感として理解したことがありました。それは、実務担当者や一般学生向けのセキュリティトレーニングは、従来の学び手である情シスやセキュリティエキスパートの方とはまったく違う反応があるということ。そして、それこそが企業が事業リスクを下げることに大きく貢献できる可能性があるということです。

河之口社長は、エムオーテックスの事業活動を通じて企業のITの状況やサイバーリスクの影響を見ていらっしゃって、その中で一般の方のリテラシーをあげる必要性を感じ、その取り組みをしようとしているとのことでした。「ならば是非一緒に!」ということで、参画させていただくことになりました。

-それは、期せずしてうれしい出会いでしたね!ところで、大学での講義もしていらっしゃるとのことですが、このテキストは役に立ちますでしょうか。

岡田:
「教育」と「人材育成」と「訓練」という、よく似た意味で使われる言葉がありますよね。この違いを考えると、「教育」はもっとも広い概念で、「基礎的なリテラシーと学び方を教える」ことが目的です。つまり、学び手に明確なゴール像があるかどうかを問いません。一方、ゴール像として何かの役割やスキルセットが決まっていて、それを身につけ、役割を担えるよう教育することを「育成」、さらにそのスキルを強化することを「訓練」といいます。すべては、まず基礎リテラシーありきです。

そこで、昨今のセキュリティについての理解レベルはどういう状況になっているかというと、まずもって「基礎リテラシー」がない人が多すぎる。特に、技術者でない人が学ぶ方法も限られていました。そのため、「大事だと分っているけど、どうしたらいいかわからない」というレベルにすら至っておらず、「大事だということがいまいちわかってないゆえに、被害も多い」という状況ですね。こういう状況では、まず誰もが基礎的なリテラシーを身につける手段が必要です。その上ではじめて、企業の中で役割を担うことができるようになります。このような本が、今必要な理由です。

技術的なセキュリティの教科書ではない、それがキモ

-構想から3年・・・時間がかかってしまいましたが、ようやくリリースすることができました。実際に出来上がった本を手にとっていかがですか?

001

徳丸:
セキュリティに関する書籍はすでにたくさんありますが、正確にすると硬くて読みづらくなるし、読みやすくするとやわらかいけど内容が不正確になってしまいがちですが、この本はその両方を狙ったという点が非常に画期的ですよね。セキュリティの専門家が書くと「そりゃ正しいけど無茶言うなよ」ということも多いですから。

岡田:
一般消費者がセキュリティに関心を持ち出した理由の1つのトリガーになったのは間違いなく、不正送金やランサムウェア被害騒動などの「リアルな経済被害」だと思います。
これまでも「暗号化されていない無線LANを使うと危ないですよ」だとか、「海外でクレジットカードがスキミングされる」などといったことは聞こえてきたとは思いますが、実際の被害を含めリアル感が湧いてこなかったんでしょうね。

ランサムウェアは実際にPCが乗っ取られたり、目の前でファイルが暗号化され、振込みが要求されたり・・・。これほど蔓延すると、情シスだけでなく、個人としてもヒヤッとすることは増えてきます。このように、「どうしたらいいのかな・・・?」と一般消費者側の気運が高まっている中で出てきたこの本は意味があると思いますね。企業の中のセキュリティのずっと手前の「リテラシーをあげていく」というところにフォーカスしているところが凄くいいなと思います。

002

徳丸:
この内容、ボリュームだったらとりあえず読んでみようかなとなるのではないかと思いますね。このキャラクターも絶妙ですよね!

岡田:
オリジナルの原案からすると、よくこんなシンプルにまとまりましたよね。テイストもやわらかいし、読み手からするとページをめくりたくなるようなものになっていると思います。

この本は、広い意味では「社会人の常識を身に付ける」というものですよね。技術的なセキュリティの教科書ではないというところがキモだと思います。これを読めばセキュリティはバッチリとまではならないですが、「なるほど、見る目が変わったぞ」そんな風に思ってもらえるのではないかと思います。

<後編>「7つの習慣」に込めた想いとは?

BNR_セキュリティテキスト

 

kotoneコトネNO MORE 情報漏えいプロジェクト 編集部員
セキュリティソフトメーカー勤務歴13年。
広報・プロモーションを担当し、その中で昨年「NO MORE 情報漏えいプロジェクト」を立ち上げ、日々奮闘中。好奇心旺盛で新しいもの好き。でも仕事もプライベートもいかに効率化するかを常に考える“ミニマリスト”の側面あり。
この記事をシェアする
  • Facebook
  • このエントリーをはてなブックマークに追加