今月は10月、そう例の月だ。例の月と言ってもハロウィーンではない。「サイバーセキュリティ啓発月間」(Cybersecurity Awareness Month)、つまりサイバーセキュリティの脅威がどれほど重大なのかを再認識するために設けられた期間だ。
提供:Getty Images/10'000 Hours
人事部門から発出された、フィッシング攻撃に対する注意や、強力なパスワードを使う、さらに組織によっては多要素認証(MFA)を使う重要性など、日頃から気をつけておく点を記したサイバーセキュリティ上の注意喚起を目にしたことがある人も多いはずだ。
仕事の場と日常生活の場の双方において、オンライン上で身を守るための方法に関するアドバイスを提供するというのは有益だ。セキュリティ上の脆弱性が新たに発見された場合、ハッカーが悪用するよりも先にベンダー側でその脆弱性を修正できるかという、ソフトウェア企業とハッカーらとの競争が常に開始される。しかし、ユーザーが自らの身を守れるよう、基本的なアドバイスを伝えておくだけで、攻撃を防御する上での大きな力となる。
そしてもちろんながら、サイバーセキュリティの啓発は年に1度、1カ月だけ実行すれば残りの11カ月は何もしなくてよいというものではない。そして、ユーザーに恐怖心を植え付けることでサイバーセキュリティを啓発するという、一部の企業が実践している手段も効果的であるとは言えない。
多くの企業にとって、ユーザーはサイバー攻撃に対応する最初の防衛線であり、最後の防衛線でもある。しかし、オンライン上での安全性を生み出すための構成要素についての正しい情報が与えられない限り、あらゆるユーザーが脆弱な状態に置かれることになる。
コンテンツを閲覧するにはパスワードを入力する必要があるとうたう、まるで本物のようなフィッシングリンクをクリックしてしまったり、システムにバックドアを仕掛けるトロイの木馬型マルウェアが仕込まれた添付ファイルを、安全なドキュメントだと信じてダウンロードしてしまうといった行為が組織に大きな問題をもたらしかねないのは言うまでもない。
上司からの「緊急の指示」を装い、送金させようとするビジネスメール詐欺(BEC)や、誰かがあなたの口座にハッキングしたという偽の警告を通知して復旧のためと称するリンクをクリックさせることでパスワードを盗もうとする行為に気付くのは簡単ではない。悪人たちは生活費の高騰すら利用し、人々をだまして食い物にしようとしている。
多くのプロフェッショナルらにとって、電子メールの添付ファイルをオープンしたり、リンクをクリックするという行為は、仕事の一環として日常的に行われている。たとえそれが知らない送信元からのメールであったとしてもだ。そして、そういった行為が多ければ、いつかは問題が引き起こされてしまうことになる。