「脆弱だな～！」で話題のセキュリティ芸人が力説！　"最大の脆弱性"「人」に立ち向かうためのソリューションとは？

学生時代に参加したセキュリティ人材育成プログラム「SecHack365」で思いついた、セキュリティ啓発コンテンツの制作アイデアが始まりです。ITエンジニア志望の私はセキュリティ事故の多くが、誤操作やパスワードのずさんな管理など人に起因することを知っていました。いくらセキュリティを技術的に高めても、この状況では元も子もなく、打開のためにはITリテラシーの幅広い底上げが不可欠です。その点で、私自身もお笑い好きだったこともあり、「お笑い×セキュリティ」のネタで笑ってもらうことでセキュリティを身近に感じ、広く関心を持ってもらえると考えたのです。

以来、ネタを作り続け、今はゲーム会社のエンジニアとの二足のわらじで活動しています。「〇〇芸人」のような他ジャンルを掛け合わせた芸風の芸人さんは数多くいらっしゃいますが、「セキュリティ芸人は誰もいない！」と思って始めました（笑）。芸人として今、目指しているのは、脆弱なことに対して誰もが「脆弱だな～！」とツッコミできるようになってもらうことです。そこから、一般の方々のセキュリティ意識を向上させていきたいですね。オフィスなどでパスワードと思われる付箋が貼られているのを見たら見逃さずに「脆弱だな～！」とつっこんで、セキュリティに目を向けるようになってくれると嬉しいです。

元ネタは、日常の中での気づきがほとんどです。床屋でいまだにWindows XPが使われていたり、病院でパスワードが付箋に書かれて貼られていたりなど。脆弱なものを見つけたら、とにかくスマホでメモをして、時間を見つけてフリップネタやコントなどのかたちに取りまとめるわけです。よくある喫茶店シチュエーションのコントをセキュリティ寄りに構成したものが「脆弱カフェ」というネタです。

周りのセキュリティ仲間との雑談から生まれることもよくあります。彼らはITに詳しい人ばかりで、「脆弱さを競う大会というネタを作りたいが、一番脆弱なのはなんだと思う」と相談したところ、「そりゃ人でしょ」とバッサリと断言され、「確かに！」と大いに盛り上がりました。結果として生まれたのが私の代表ネタの「脆弱-1グランプリ」になります。動画を見ていただければ感じることですが、やっぱり一番の脆弱性は人だな、と（笑）。

お客様の相談を通じ、我々も人が脆弱性になる例をいくつも目にしています。パスワード共有や、パスワードを書いた付箋をモニターに貼り付けるといったことも、いまだ広く行われています。

IT業界は一般的にセキュリティ対策がしっかりしており、リテラシーも高いので錯覚しがちですが、他業界は必ずしもそうではありません。ITリテラシー向上の継続的な支援がセキュリティ対策を進めるうえで何より大切な理由ですね。

実際に悩ましい部分も多いです。例えばサーバーのパスワード管理ですが、手っ取り早いのがパスワード付きExcelでの管理です。しかし、これだとExcelのパスワード1つで、全サーバーへのアクセスを許しかねません。

何とかするにはユーザーやサーバーの権限、ワンタイムパスワードなどを組み合わせた複雑な仕組みが必要となります。ただ、整備には手間とコストがそれだけかさみ、必要性を認識しつつも対応がなかなか進まないのが実態です。

あと1つ、9位の「ビジネスメール詐欺」も気になります。自社の偉い人を装うハッカーからWeb会議の参加を促すメールが届き、ディープフェイクの偽CFOから送金指示を受けたことでの詐欺事件が事例として挙げられていました。不審に思い、その場で確認の質問をすると偽CFOに叱られたそうです。ここまでくるとリテラシーが高くても見抜くのは難しいでしょう。

AIの技術革新は急で、詐欺かどうかを見分けるのは確かに難しくなるでしょう。ただ一方で、現状の被害の大半はアスースンさんが説明された通り、操作ミスなど人に起因しているのが実態です。

その対応に向け、USBメモリの使用制限や一定長以上のパスワードの設定といった最低限のルールを定めたうえで、ルール違反がある場合には管理者が担当者に改善を促すなど、人のミスを何らかの仕組みによってカバーできる環境を整備すべきです。この程度ならWindowsのグループポリシー機能やMDMツールで実現でき、既存の仕組みを使うのでコストも要しません。

複数台のPCやスマホなど、業務で使用するデバイスは増え続け、リスクもそれだけ高まっています。その中にあって、基本的なところを気にするだけでも、事故発生のリスクを大きく抑えられるわけですから。

当社でも、その支援に向け、HP独自のPC用MDMサービス「HP Protect and Trace with Wolf Connect」を提供しています。その一番の特徴は、一般的なMDMによる端末管理機能のみならず、PCの電源が落ちていてもPC内のデータを消去可能で強力なリモートワイプ機能を標準機能としている点です。

リモートワイプ機能はPCの盗難／紛失時の対策として、MDMツールで広く提供されています。ただし、それらはPCの電源が入っている間しか利用できません。対してHP製PCはPC保護のための物理的に独立したチップ「HP Endpoint Security Controller（ESC）」を搭載しています。ESCはバッテリーがある限り常時通電しており、通信用モデムとも接続されています。この構成により、PCの電源が切れていても、LTE Cat-M通信によるサービス側からの指示でデータを常時、消去可能なわけです。データ消去以外にPCのロックや、現在地の探索機能も利用できます。

もう1つ、このサービス向けのLTE通信網を当社は世界約80カ国で展開しており、海外での紛失時にも同様の処理が行えるのも強みです。通信料はサービス料金に含まれ、別途発生することもありません。

おっしゃる通り、紛失を管理者に迅速に連絡できるよう、その手順などを事前に調整しておくべきです。

一方で、脅威による情報漏洩という意味では、当社の調査によると、脅威の侵入経路の約8割をエンドポイントが占めます。逆に言えば、脅威侵入を防ぐにはエンドポイントの保護が最も効果的で、そのために当社が用意しているエンドポイント保護サービス「HP Wolf Pro Security（WPS）」が有効になります。

アスースンさんから話があったように、サイバー攻撃は今後、AIなども活用した、人が攻撃と判断できないかたちに凶悪化すると当社では見ています。

それらの防御におけるWPSの強みが、通常のアンチウイルス機能と併せて提供する、仮想技術を活用したSure Clickという隔離機能です。近年の攻撃を一例で説明すると、攻撃用に用意されたリンクをユーザーがクリックし、一般的なブラウザが立ち上がったことをトリガーに、脆弱性を悪用した攻撃が行われます。しかし、WPSを導入したPCでは、仮想的にPCから隔離されたブラウザが立ち上がり、閉じた環境内でのみ稼働します。つまり、攻撃の被害を仮想空間内に閉じ込め、ブラウザを閉じることで攻撃を無かったことにできるのです。まさしく、「Sure Click（安全なクリック）」というわけです。

普段使いのブラウザとしても活用いただけますし、仮想空間内で作業したOfficeファイルの編集・保存などにも対応しています。WPSの技術の多くを当社が特許で押さえており、類似のソフトウェアは他社では困難でしょう。PC用MDMソリューションのHP Protect and Trace with Wolf Connectを利用できるのはHP製PCだけですが、WPSはPCのメーカーを問わないため、より広くご利用いただけます。

なお、HPではユーザーのPCの利用体験の最適化を支援する管理サービス「HP Workforce Experience Platform（WXP）」も提供しています。WXPはいわば、ユーザーのPC利用時の体験価値を可視化する仕組みです。PCやメモリの使用率、アプリやVPN通信のパフォーマンス、自宅Wi-Fiや回線の品質、発生したブルースクリーンの不具合理由など、管理者による把握を実現しており、そこで明らかになった課題を踏まえたセキュリティやコンプライアンス強化、ユーザーサポートのための能動的なアクションとともに、ユーザーごとの最適なPC配備によるコスト最適化を支援します。