サイバーセキュリティが「常識」となるために必要なこと

　道路を渡るときは左右をよく確認する。トイレから出る前に手を洗う。車に乗るときはシートベルトを着用する。黄色い雪を食べてはいけない。

　これらはすべて安全に関する常識的な習わしであり、誰もが両親から（あるいは雪の日の経験から）、既に学んでいるはずだ。だが、サイバーセキュリティに関して言えば、常識はほとんど存在しない。

　「password」が良いパスワード候補だと考える人は、依然として大勢いる。Keeper Securityが2016年にデータ侵害で盗まれた1000万件のパスワードを調べたところ、そのうちの約170万件が「123456」だった。

　これらの愚かなパスワードを笑う前に注目すべきことは、誰もが自分の個人情報の保護を苦手としている、という事実が浮き彫りになっている点だ。「WannaCry」のような大規模攻撃が可能なのは、そうした環境のせいである。WannaCryが広範に拡散したのは、人々がより新しく、よりセキュアなソフトウェアにアップグレードするのを渋っていたからだ。

　Pew Research Centerは3月、米国の1000人以上の成人を対象に、サイバーセキュリティに関する知識の調査を実施した。この調査では、多要素認証とは何か、仮想プライベートネットワーク（VPN）とは何か、そして、公衆無線LANはどれくらい安全か、といった質問をした。

　平均すると、回答者は13問中5問しか正確に答えられなかった。全ての質問に正解した回答者はわずか1％だった。

　Pew Research Centerのアソシエイトディレクターで、今回の調査を主導したAaron Smith氏は、「これらの事柄に関しては、誰もがD評価の成績のようなもの」と述べている。この調査はサイバーセキュリティに関する常識の一端しか取り上げていないが、その常識を備えていたのは、たったの1％のようだ。

　読者の皆さんも自分の知識を確かめたければ、ここからクイズに答えることができる。

知識の格差

　専門家から見ると、こうした知識の格差は深刻な問題になりつつある。2016年だけでも、21カ国の6億8900万人がサイバー犯罪の被害に遭っており、この3年間、被害者数は毎年10％ずつ増加している。

　サイバーセキュリティ専門家によると、シートベルトの着用が死亡事故のリスクを50％近く減少させたように、人々がサイバー脅威に対して、手洗いのように有益な習慣を身につければ、侵害やハッキング、マルウェアの被害者数は大幅に減少するという。

　WannaCryは、安全なセキュリティを実践しなければ何が起きるかを知らしめる教訓となった事例だ。Microsoftが3月にエクスプロイトのパッチをリリース済みだったにもかかわらず、この破壊的なランサムウェアは5月、150カ国の病院や銀行、大学、空港などに被害を及ぼした。

　WannaCryが標的にしたのは「Windows XP」などの古いシステムだったが、被害者の多くは「Windows 7」を使用していた。つまり、被害者はソフトウェアのアップデートを怠っていたのだ。

　米国のNational Cyber Security Alliance（NCSA）エグゼクティブディレクターのMichael Kaiser氏は、次のように語っている。「私はサイバーセキュリティを、公衆衛生の問題や交通安全、そのほかの広範な、または一般的な社会の安全問題と同じように見ている。われわれは、人々がこうした有益な習慣を身につけ、時間とともにそれを改善していけるように支援する方法を考えている。繰り返す、ということもその方法の一環だ」