最近、ネット上で殺人予告などを行ったと思われる人物を逮捕したら、その自分はPCを乗っ取られただけで、誤認逮捕だった可能性が高いということで物議を醸しています。新手の手法かのような報道やコメントもありますが、攻撃者が他人のコンピュータを使うというのは非常に古典的です。
『カッコウはコンピュータに卵を産む』は20年以上前の話ですが、根本的な部分では当時から変わっていないと筆者は考えています。著書のなかに出てくる話では、セキュリティが甘いコンピュータにクラッカーが侵入して、そこからネットワークを通じてあちこちに侵入を試みています。確かにそれ自体はテクニカルな内容ではあるものの解決の妨げになったのは関係した人間の意識の低さです。
どんなに偽造が難しく、破壊することも難しい鍵を玄関にとりつけても鍵を開けて外出をしていたら意味が無いことは常識です。しかし、これに近いことがコンピュータの世界ではいまだによく行われているのも事実です。そして、コンピュータの世界ではコンピュータ同士がネットワークでつながっているのが当たり前な時代なので、一台セキュリティの甘いコンピュータがあるとそこを起点に攻撃されるおそれがあることです。
セキュリティ対策の製品はもちろん必要です。しかし、それが意味をなすのは正しく運用されてこそです。そして正しく運用するにはセキュリティに対する正しい理解が必要です。何を脅威と考えるのか?どんな攻撃は絶対に防がなければいけないのか?その対策にはどれだけのコストが許容されるのか?といったところからスタートして総合的に対策を考えなければいけません。守るべきモノの価値が高くなく、リスクが低ければそれを受容するという選択肢も場合によってはあり得ます。
ウイルス対策ソフトもセキュリティパッチの適用も必要なことではありますが、事の本質ではありません。コンシューマ向け・エンタープライズ向けを問わずセキュリティ対策の製品はいろいろありますが、くれぐれもそれをいれれば万事解決ではないことを忘れてはいけません。
そう思ってしまいがちな人間の心がもっとも大きなセキュリティホールなのです。