なんで情報セキュリティが必要なの？

冒頭に追記しました(2020.7.18)

(日本人が)セキュリティの必要性を感じないのは、恵まれてるからだと思う。守ってもらうのが当然、守ってもらえると思ってる。
でもインターネットでつながる先は地球全体なんです。日本の法律なんて通用しない。
確かに、自分の命やお金も含めて守りたいものがないのであれば、セキュリティなんて必要ないですよ。
でも、守りたいものぐらい守れるセキュリティは必要ありませんか？
だって、身を守る必要がないなら更地のほうが「効率的」ですけど、風雨や暑さ寒さ、獣や虫から身を守るために扉や壁のある家に住むでしょう？
だから、その時々の状況に応じた身の守り方が必要なんじゃないでしょうか。

それでは、あらためて情報セキュリティの必要を考えてみます。
技術的な話ではなく、気持ちの話です。

そのまえに

今まで大丈夫だったから、これからも私は大丈夫という考えに陥りがちです。この成功体験は、情報セキュリティへの取り組みを邪魔します。

でも考えてみてください。
日常で危ないなと思っている場所を避けていませんか？不審者がいたら避けていませんか？貴重品は肌身離さず持っていませんか？

情報セキュリティも、抑えるべきポイントは変わりません。
ちょっと一緒に考えてみましょう。

考え方として、リスクを防ぐことと考えないで、リスクを遠ざけることを重視しましょう。
例えば、進行方向や速度を揃えてリスクを減らすことで、新幹線や高速道路は短時間で移動できる手段となっているように、「セキュリティ＝効率を悪くする」という先入観を捨てましょう。

自分や家族を守れる？

皆さんは、インターネットバンキングを利用したり、オンラインショッピングでクレジットカードを入力していませんか？自宅周辺や屋内にネットワークカメラを利用していませんか？
インターネットバンキングに不正アクセスされて不正送金される事件がありました。サービス開始直後のスマホ決済アプリでクレジットカード情報を悪用された事件がありました。ネットワークカメラに映ったプライベート映像が今も世界中に流れています。

思い出してみてください。
自ら危険に飛び込んでしまって事件や事故に巻き込まれた人に、あなたは何を思ったのか。
明日は我が身でも不思議ではありません。

仕事も守れる？

会社を守るというと、私は関係ないと思うかもしれませんが、会社がなくなれば一時的でも仕事がなくなり、収入が断たれれば、家族を養えなくなったり、将来の不安を感じるようになります。取引先や近所の人から後ろ指を指され、あなただけでなく家族も肩身の狭い思いをするかもしれません。

思い出してみてください。
情報セキュリティの事故を起こした会社のニュースや記事を見て、あなたは何を思ったのか。
明日は我が身でも不思議ではないのです。

データで見る状況

（FACTFULNESSを意識して）皆さんの背中を押すために、データも見てみましょう。

警察庁の公表している「令和元年の犯罪情勢【暫定値】」(https://www.npa.go.jp/news/release/2020/20200204001.html)を見てみましょう。（他にも「サイバー空間に関する統計等」というデータも公表されています）

サイバー犯罪は年々増加傾向にあります。
アンケートでは、45%がサイバー犯罪の被害にあう恐れがあったと回答し、25%がサイバー犯罪の被害にあったと回答しています。

例にあげたインターネットバンキングの不正送金は、平成30年(4億6100万円)まで減少していましたが、令和元年(20億3200万円)は増加に転じています。

このデータの統計的な信頼性は分かりませんが、少なくない人がサイバー犯罪の被害にあっているということです。

どうやって守るの？

日常で行っている身を守ることと同じです。
一例としては
・パスワードを使いまわさない。
・アングラサイト等の危険なサイトにアクセスしない。
・アプリは公式サイトからダウンロードする。
・OSやアプリは最新バージョンを維持する。
・リンク先と表示があっているか確認する。
・セキュリティソフトを利用する。
等です。

よく聞く話ですよね。
長く難しい話になってしまうので理由は書きませんが、基本がとても重要です。

もし、あなたが外でスマホやパソコンを使うのであれば、セキュリティ対策にしっかり取り組んでいるという外観もとても大事です。
例えば、覗き見防止フィルターを貼っていれば被害にあう可能性は低くなりますが、セキュリティを意識して使っていることが見た目で分かるので、割れ窓理論の効果も期待できます。

重要なのは大事なものに関心を持つことです

今回の話に限らず何にでも当てはまると思いますが、関心を持っていると変化に気づくことができます。
その気づきにより、被害を受ける前に防ぐことができたり、被害を小さく抑えることができるようになります。

情報セキュリティに関心を持ったら手始めに、内閣サイバーセキュリティセンター(NISC)の「インターネットの安全・安心ハンドブック」は挿絵があるのでおすすめです。分量が多いですが。
読み切れないよという方は総務省の「国民のための情報セキュリティサイト」を少しずつ読んでみるのも良いと思います。

みんなでしっかりサイバーセキュリティ

国民のための情報セキュリティサイト

いつもの蛇足

あるアプリを新しくしなければならないときに、その担当者から「分からない」という言葉がでてくるのですが、それ「知ろうとしていない」だけですと思うことはないでしょうか。私はよく思います。
「知らない」と「分からない」、「(やったことないけど)できない(と思っている)」と「(やろうと努力したけど)できなかった」には大きな違いがあるのです。
だから、まず知ろうとして、やってから、言ってほしい。

というよりも、やってみせたら、自分がやらなくてもいいんだと考えるその思考を変えてほしい。(山本五十六の「やってみせ～」が好きだったけど、どうしてこうなった)

そういわけで、気になることがあれば、情報処理安全確保支援士をよろしくお願いします。