そのパスワードでは｢危険｣です！　～　ネットセキュリティの｢新常識｣

《『THE21』2013年12月号より》

インターネットショッピングやネットバンキングは忙しいビジネスパーソンの味方。だが、個人情報漏洩によって身に覚えのない請求がきたり、いつの間にか預金が引き出されていたり、というニュースもしばしば耳にする。何となく不安に思いながら、何の対策もしていない、という人がほとんどではないだろうか。そこで、情報セキュリティのエキスパートに、「忙しいビジネスパーソンでも、ここだけは注意すべき」という勘所だけをうかがってきた。＜取材・構成：赤堀たか子＞

進化し続ける情報盗みの技術

　自分のＩＤやパスワードを入力する機会は飛躍的に増えています。常々気をつけている私ですら、改めて数えてみたら30を優に超えていました。多くの人も似たような状況でしょう。

　しかも、ほとんどの人がどれも同じようなパスワードを使っているようです。これでは、１つのパスワードが漏れてしまったら、すべての情報が盗み取られてしまう危険性があります。

　日本ネットワークセキュリティ協会によれば、2011年に起きた個人情報の漏洩事件は、報道されたものだけでも1511件にのぼるそうですが、これはあくまで氷山の一角。発覚しながら報告していないものや、漏洩しているのに気づいてさえいないものもあるからです。個人情報は漏洩したらすぐに悪用されるとは限らず、より大きな利益が得られるタイミングまで「泳がせる」ことも多く、あなたの個人情報もすでに盗まれている可能性があるのです。

　情報を盗み取る手口は年々巧妙化しており、本物そっくりの偽サイトにおびき寄せてパスワードを入力させる、パソコンにもぐり込ませたウイルスで打ち込んだ文字を盗み見るといった手口もあります。パスワードを破る技術も非常に進んでおり、パスワードによく使われる言葉の傾向を分析し、より短時間で破るソフトなども存在します。

　ソフトを最新の状態に保ち、こまめにパスワードを変え、アンチウイルスソフトを常に更新することは不可欠ですが、絶対の対策にはなり得ません。しょせん、後追いの対策だからです。

情報漏洩の原因の９割は個人のうつかりミス

　最初から怖がらせてしまいましたが、実際にはアンチウイルスソフトを突破するほどの労力をかけて個人の情報を盗もうとすることは稀です。政治家や企業ならともかく、個人相手では労力に見合った対価が得られないからです。むしろ個人で気にすべきは、初歩的なセキュリティ意識の欠如です。いわば「うっかりミスの撲滅」。実はいまだに情報漏洩の９割は「電車内にパソコンを置き忘れる」「居酒屋にＵＳＢメモリーを落とす」「人前でパスワードを囗にしてしまう」といった理由なのです。

　また、誕生日や電話番号、愛車のナンバーなど、簡単に類推できる数字をパスワードに使っている人もまだまだ多いのが現状。しかもその誕生日を、フェイスブックなどのＳＮＳで堂々と公開していたりする。逆に複雑なパスワードを設定したはいいが、覚えられずにメモにして机に貼っている、という本末転倒なこともあります。　

　他人の目に触れるという点では、公共の場所でのパソコンやスマートフォンの使用も危険です。私のオフィスの近くを通るつくばエクスプレスは無線ＬＡＮ対応で、電車内でパソコンを開いて仕事をしている人が多いのですが、横から簡単に重要な情報を見られてしまいます。とくに怖いのはメール。自分や取引先の名前やアドレスがばれてしまえば、悪意ある第三者が成りすますことも十分可能です。

　また、信じられないかもしれませんが、「どうしてもファイルが開けなくて困っている」などという顧客を装った電話に、思わずパスワードを教えてしまうというようなことも頻繁に起きているのです。肝心なのはやはり、「個人のセキュリティ意識を高める」ことなのです。

「いつかは盗まれる」という意識で対策を

　「情報は盗まれるもの」「パスワードは破られるもの」という前提で情報機器を使うべきでしょう。むやみに会員登録しないのはもちろん、あまり重要でないサイトに登録する際の「捨てパスワード」を持っておくのも手です。さらに、それぞれのサイトのセキュリティの強さも判断すべきです。もしパスワードが４桁しかなく、しかも問違っても回数無制限でやり直せるようなサイトは非常に危険。サイトの運営がずさんな場合もあります。たとえばパスワードにハッシュをかけずに保管しているサイトがあります。ハッシュとはパスワードを元に戻らない形に変形する処理のことで、これをかけるのは情報管理の基本ですが、それすらしていないサイトも多く、大手企業にも見受けられます。また、お金を盗まれることが不安なら、クレジットカードやネットバンキングの限度額も見直しておくべきです。

　もしＳＮＳをやっていて、情報公開の範囲を初期設定のままにしているなら、自分の情報を全世界にばら撒くリスクとメリットのどちらが大きいか、考え直すべきでしょう。ほとんどの場合、リスクのほうが大きいはずです。最近、アルバイト先のイタズラの画像から、撮影した個人がすぐに暴かれるという事態が多発していますが、ほとんどの場合ＳＮＳがきっかけです。

　こうして考えていくと結局、「便利さと危険性のトレードオフ」なのです。安全性を突き詰めれば不便さが増す。パスワードを複雑にすればするほど安全ですが、そのぶん不便になる。結局、どこまでやるかを自分の価値観と照らし合わせて決める、ということになるのです。

　最後に、企業の情報漏洩について。基本はやはり社員１人ひとりの意識ですが、より根本的な対策として「情報量を減らす」というものがあります。最近、あらゆる情報をＣＣで関係者全員に送る会社が増えていますが、多くの人に情報が伝わるほど、漏洩のリスクは高まります。また、数行ですむ用件をわざわざ別データにして添付で送ってくる人もいますが、データ化された情報は漏洩しやすくなるうえ、ムダに仕事時間が増えることにもつながります。会社の情報漏洩の多くが、いわゆる「風呂敷残業」、つまり仕事を家に持ち帰ることから生まれています。「不必要な書類は作らない」とルール化することで、一石二鳥の情報漏洩防止になるのです。

<< 次ページ >>　今すぐやるべき９つの対策