株式会社圓窓　代表取締役
澤 円(@madoka510)

立教大学経済学部卒。生命保険のIT子会社勤務を経て、1997年、日本マイクロソフトに転職、2020年8月に退職し、現在に至る。プレゼンテーションに関する講演多数。琉球大学客員教授。数多くのベンチャー企業の顧問を務める。
著書：『外資系エリートのシンプルな伝え方』（中経出版）／『伝説マネジャーの 世界№1プレゼン術』（ダイヤモンド社）／『あたりまえを疑え。―自己実現できる働き方のヒントー』(セブン＆アイ出版)／『未来を創るプレゼン 最高の「表現力」と「伝え方」 』(プレジデント社)　Voicyアカウント：澤円の深夜の福音ラジオ　オンラインサロン：自分コンテンツ化　プロジェクトルーム

皆さんこんにちは、澤です。

今回のテーマは、「非テクノロジー人材にセキュリティ問題をどう説く？」です。

セキュリティにまつわるニュースは、いろんなところで話題になっていますね。

某自治体で酔っ払って超大事なUSBを鞄ごとなくしちゃった事案は、けっこう話題になりましたね。

とりあえず見つかったとのことですけれど、なんというかトホホなお話でした（参考）。

でも、あーゆーことはあちこちで起きますし、そのための備えが弱いのは間違いなさそうです。

これは、別に日本に限った話ではないんですけど、特に日本は気にしないといけない部分でもあるなと思ったりします。

というのも、日本はセキュリティ意識を高めにくい環境だからです。

セキュリティ対策は「当事者意識」を高めることから

これはある意味世界に誇っていいことなのかもしれませんが、とにかく失くしたものはすぐ戻ってくるし、銃を突きつけられる確率もすごく少ないし、戦争が起きる可能性も今のところ低そうだって意識が、国民全体に根付いているように思います。

実際、いろんな人たちの努力によって、この平和な状態が提供されていることって、意外と忘れがちなんですよね。

そして、実は自分はターゲットになっているかもっていう意識がないと、ついつい警戒が手薄になりがちです。

ボクはクルマが好きで免許を取ってからずっと車を所有してきました。

最近では、神奈川ダイハツ販売の顧問をやることもあり、軽自動車も2台所有しています。

こちらは、フツーに駐車場に停めていて、特別な盗難防止策をしてはいません。

しかし、1年前に購入した1996年式のランドクルーザーには、ハンドルロックやGPS機能付きのICタグ、複数のカメラなどの盗難防止機能を付けまくってます。

なぜかというと、ランドクルーザーは日本で盗まれる車のトップ3に常に入っている、クルマ泥棒の絶好のターゲットだからです。

つまり、ボクは強い当事者意識を持っているので、盗難に対して備えようと思ったわけです。

セキュリティ対策に最も大事なことは何かというと「当事者意識」であることは間違いありません。

しかし、ITセキュリティに関しては当事者意識は自然とわいてくるものではない気がしています。

ほとんどの人にとって、セキュリティは「なんとなく必要なもの」というレベルのもので、「絶対になくてはならない」というレベルにまで達していないでしょう。

なぜかというと「自分なんて狙っても意味がない」と考えるからです。

しかし、それは狙う側が決めることであって、狙われる側がそう思っても全く意味を成しません。

もっといえば、ITセキュリティの世界において、ターゲットにならない人というのは存在しないのです。

「私は重要なデータを持っていないから大丈夫」と思っても、その人がセキュリティ設定の甘いパソコンを使っていれば、犯罪者たちはありがたく踏み台として使うでしょう。

つまり、その人の名前で友人知人にマルウェア付きのメールを送りまくったり、SNSに投稿しまくったりするわけです。

Facebookで謎の動画を送りつけられた経験（あるいは送ってしまった経験）はありませんか？

この手の事案はまさに「わきが甘い人」のせいで起きていることなのです。

悪いことをする人たちは大変に賢くて、研究熱心です。

「よくそんなこと思いつくね」ということを、次々にやってのけてくれます。

彼らのやることを先回りしてすべてを防ぐのは、ほぼ不可能と思ってもいいでしょう。

では、どうすればいいか。

とにかく「相手が嫌がるであろうこと」をやっておくしかありません。

つまり「簡単な相手」と見られないようにすることです。

一番手っ取り早い方法は、あらゆる更新をかけておくことです。

最新のパッチを当てておけば、既存の脆弱性を狙った攻撃は防げます。

たったこれだけで、攻撃対象の優先順位が下がるのです。

更新は基本的に自動で降ってくるはずなので、それを受け入れればOKです。

そしてもう一つ。

「自分からセキュリティについて情報発信してみる」というのはどうでしょう。

発信する内容は、なんでもいいです。

ニュースの記事をTwitterでシェアするだけでも十分ですし、「今日もセキュリティのアップデートをした！」とツイートするのもいいですね。

自分が発信するようになると、受信感度がアップします。

そうすれば、必然的にセキュリティに関する知識がたまっていって、自分の身を守れるようになるだけではなくて、周囲にもいい影響を与えられるようになります。

セキュリティに関する情報を発信する人は、専門家である必要なんてないのです。

むしろ、そうではない人が発信してくれる方がよほど効果があると思っています。

ボク自身は、前職時代に「サイバークライムセンター」というところの責任者をしていたので、「専門家」の部類に入ります。

そのボクから見ても、ありがたいのは「専門家ではない人の情報発信」なのです。

ぜひとも、ご自身がセキュリティのエバンジェリストになってみてください。

自分に嘘をつかない、
無理はしない。
だから、可能性が広がっていく。

マイクロソフトを卒業して、
自分らしく生きる僕が大事にしていること

＞＞詳細はこちら