6歳の子供の素朴な疑問から、セキュリティ対策に相通じるものを考える

６歳になる息子が言いました。「僕は地球にいるんだよね？でも、目の前の道路は丸くないよ？まっすぐだよ。」

図鑑などで見る地球は丸いので、自分が地球に居るなら、自分の目の前の景色は丸いはずだ。こう思ったようです。大きなボールに乗った姿を創造するとわかりやすいかと思います。６歳ならではのかわいい疑問ですが、この言葉を聞いて、かつてヨーロッパで信じられていた天動説を思い出してしまいました。
　

天動説から学べること

天動説が信じられていた頃はロケットもなかったので、目の前にある世界がその当時の人達が見ることのできる世界の全てでした。６歳の息子がそう思ったように、当時の人達が見ることのできる範囲では、地球が丸いということには気づきようがなかったはずです。どこまで行っても地平線や水平線はまっすぐにしか見えないですからね。

今でこそ、国際宇宙ステーションから撮影した地球の姿（Ustreamでライブ映像を見ることができます）を、インターネット上で誰もが見ることができたりしますが、天動説が当たり前の時代では、誰も地球の姿など見ることができなかったわけですから、地球が丸いなどとは露程も思いもしなかったことでしょう。つまり、知らないが故に、想像すらできなかった。というわけです。

そして、同じようなことは現代においても垣間見ることができます。例えば、「DNSキャッシュポイズニング」などはその典型かと思います。Webサイトにアクセスしたり、メールを送信したりする際は「ドメイン名」が使われるわけですが、ほとんどのユーザはURLやメールアドレスを間違いさえしなければ、正規のWEBサイトにアクセスできる、また、目的の相手にメール届くと思っているはずです。

しかし、「DNSキャッシュポイズニング」によって汚染されたDNSを参照していたら、正しいURLを打ち込んでいても、偽のサイトにアクセスすることになってしまいます。「DNSキャッシュポイズニング」や、目的のサイトに辿り着くための仕組みについて知らないユーザであれば、自分が偽のサイトにアクセスしているなどとは露程も思わないかもしれません。このような状況はまさに、地球が丸いということを知らずに、天動説が正しいと信じ込んでいた。という話と相通じるものがあると言えるのではないでしょうか？
　

知識の幅を広げることは、想像力を高めるための源泉となる

ユーザが「DNSキャッシュポイズニング」や、目的のサイトに辿り着くための仕組みについて知っていれば、アクセス先のサイトにちょっとした違和感を感じることがあれば、「DNSキャッシュポイズニング」の可能性に気づくということもあるかもしれません。しかし、知識が無ければ、気づくことすらないはずです。

知ってさえいれば、想像が働いて被害に遭うことを防ぐ、もしくは、被害を最小にすることができるであろうはずが、知らないばかりに、攻撃者にいいようにやられてしまう。これは、セキュリティ担当者としてはとても悔しいことではないでしょうか？

攻撃者にいいようにやられないためには、従業員の知識の幅を広げ、一人一人の想像力を高めることによって、何が起き得るのか？をイメージできるようにする。セキュリティ業界に飛び交う技術用語や情報は難しいものが多いですが、それを噛み砕いて、わかりやすいような形で従業員に伝えてあげることも、セキュリティ対策の一つだと思います。

人間、興味の無いことについては、自ら深く知ろうとしたりはしないものです。セキュリティに関しては日々新しい情報が出てくるので、各個人には、自ら情報のキャッチアップをしてもらって、知見を広げてもらいたいところですが、興味が無ければそのようなことはしないでしょう。といって、セキュリティ担当者が手取り足取り教えるようなことをするのも大変です。

難しい話になりがちなセキュリティについて興味を持ってもらうようにするのは簡単ではありませんが、組織のセキュリティレベルを上げるには、従業員全員の参加が不可欠ですし、セキュリティ担当者の負担を減らすためにも必要なことです。

急がば回れではありませんが、セキュリティについて従業員が抱いているイメージを変えていく施策・活動に本気で取り組めば、今後の様々なセキュリティ施策の取り組みに、良い影響となって現れてくることが期待できると思います。