テレビドラマ、半沢直樹エピソードゼロが話題ですね。
こちらの作品は証券会社とITシステム会社を舞台とし、サイバー攻撃を題材としたドラマになっていますが、セキュリティ関連の描写がひどいということでインターネット上で話題になっています。
インターネット上での反応は以下にまとまっているので、ご興味のある方はご確認ください。
私もセキュリティ関係の仕事をしていた人間の端くれなので、当然気になる点はたくさんありました。
ただ、他のドラマや映画と比べたらだいぶマシな部類だと思いましたし、なんなら上記リンク先にまとめられているツッコミのほうにも、一部ツッコみたくなる部分もありました。
個人の書き込みにツッコミを入れていくのもどうかとは思ったのですが、突っ込んでいいのは突っ込まれる覚悟がある人だけということで…
やられたらやり返す……倍返しだ!(※筆者は半沢直樹関係者でもなければ熱心なファンでもないため、やられてはないしこれは倍返しでもなんでもなくただの言いがかりです)
あとどうしても記事の特性上内容に触れないといけない部分がありますので、ネタバレ注意です。
トロイの木馬すべてを防ぐことができるセキュリティソフトなど存在しない
「トロイの木馬は有料のセキュリティソフトなどをインストールすれば未然に防ぐことができる」といった旨の書き込みを見かけますが、甘すぎます。
セキュリティソフトの多くがトロイの木馬を駆除することができるのは事実でしょう。
しかし、それはすべてのトロイの木馬を駆除できるということではありません。
というのも、トロイの木馬というのはあくまでマルウェア(悪意のあるソフトウェア)の一分類であり、トロイの木馬と一口に言っても様々なものがあるのです。
それなのに「トロイの木馬を駆除できるソフトなら全部駆除できるはず」というのは、「野球のイチロー選手はストレートの球を打つことができるため、ストレートに対する打率は10割になるはず」というようなものです。全部防げるわけもありません。
作中では移行データに実行可能ファイルが入っているという明らかにおかしい状況を見過ごした上に、後になってそれを開こうとしてマジで実行するという最悪の手順でトロイの木馬が起動されましたが、トロイの木馬対策を市販のセキュリティソフトに丸投げは同じくらいひどいのでマジでやめましょう。
また、「ほとんどのセキュリティソフトはマルウェアの検知率が99%近いので、検知漏れはほとんどない」と思った方もいらっしゃるのではないでしょうか。
確かに多くのセキュリティソフトのマルウェア検知率が第三者機関の調査で100%に近い値を出しています。
しかし、多くの第三者機関のテストでは既存のマルウェアのサンプルを使って検知率を調査しています。
近年マルウェア開発のスピードは加速していることから、この手法を使って計測した検知率がどの程度あてになるのかは疑問です。
更に、今回の半沢直樹の件のように特定のシステムを狙った攻撃では、多くの場合、作成されるマルウェアはオーダーメイドです。先程も申し上げたとおり、オーダーメイドのマルウェアへの対処力は多くの第三者機関によるテストでは測ることができないものです。
また、オーダーメイドのマルウェアに対してはパターンマッチング(既存のマルウェアの検体と一致する部分があるかを判定する方法)は機能しないことが多く、 検知が難しくなってしまうのです。
余談ですが、最近では「PCに追加のセキュリティソフトは入れないほうがいい」と主張する専門家も少なくありません。
というのも、最近ではOS(基本ソフトウェアのこと。コンピュータを動かすのに必要。PCではWindowsやmacOS、ChromeOS、Linuxなど、スマートフォンではiOSやAndroidが有名。)標準のセキュリティが優秀である他、セキュリティソフトそのものに存在する脆弱性を逆用して攻撃されてしまうこともあるためです。
このあたりは本当に専門家でも意見が分かれるところではあるので、どちらがいいかは一概には言えません。
ただ、有名かついいお値段するのにマジでほとんど働かず、それどころかかえってPCを危険に晒すセキュリティソフトは実在するため、信頼のおける専門家の知り合いに聞くか、そういった知り合いがいないならWindows DefenderなどOS標準のものを使うのがいいかもしれません。
日本のセキュリティは思ったよりガバガバ
「セキュリティが求められる金融系の会社なのに離席時にロックしない、USB刺し放題、総務部長が半沢部長のパスワードを知っている、挙げ句の果てにカードキーや生体認証による入室制限がされていない…こんなの日本の大手ではありえない!」
あります。
信じたくないのはわかるのですが、あります。
流石に社名晒したりはできないのですが、すごい大手でセキュリティが大事な会社なのに、「ドアロックの電気代がもったいない」という斜め上の理由でドアロックを無効にしていた会社を見たことがあります。
ドアロックそのものを外さないのは、もちろん外部監査とかがくるときだけ電源を入れるためですね。
他にも直接見たわけではないのですが、同じ業界の人から似たような大手の事例をたまに聞くので、こんな会社は一社二社ではないようです。
上に挙げた他の要素についても、詳細は伏せますが全部実在するようです。
あと、情報漏えいなどのリスクが外部の人や機関に見つかった場合、海外だと「対策までの猶予は○○日、それまでに対策ができていなくても有無を言わさず公開する」というのが一般的な国もあるのですが、日本だと第三者機関は対策ができるまで待ってくれるのが一般的なので、悪いことを考える企業が対策せずに隠れてしまい、セキュリティがいつまでたっても改善されないことがあるという問題もあります。
(当たり前ですが、ほとんどの企業はそんなひどいことしないからね!)
自衛のためには悪いことする会社のサービスは避けていきましょう。
あとセキュリティについて手を抜くと、最後にはこないだのセ○ンペイみたいに痛い目見ることが多いので、「よそがやってるならうちの会社も手を抜こう!」なんて間違っても思わないでくださいね!
最後に:なんだかんだツッコミも大事
さて、ツッコミに対してつっこんでみましたが、私は別にドラマにつっこむことに文句を言いたいわけではありません。
情報セキュリティは個々の意識が重要な側面があり、一人ひとりが知らないと改善しないことです。
そのためにはまず一人でも多くの方に関心をもっていただくことが大事だと思います。
そう考えると、多少拙くてもドラマ等でセキュリティを題材としていただけることはありがたいことだと思います。
セキュリティ的な視点から見ればツッコミどころ満載とはいえ、そこに目をつぶれば物語としてはとてもおもしろかったと思います。
一方で、「現実と創作は違う」というツッコミについてもいいことだと思います。
というのも、こういうツッコミをみて、本当はどうなんだろうと調べてくれる方がいらっしゃれば、そこからセキュリティについて興味をもってくれるかもしれないからです。
こうして少しでもセキュリティの輪が広がっていけば嬉しいです。
今回のドラマをきっかけにセキュリティに興味を持たれた方は、IPAのWebサイトには楽しいコンテンツもたくさんあるので、ぜひ調べてみてね!
関連記事
追記
ツッコミにツッコミを入れたこの記事にツッコミをいただいたので、typoを修正しました。(Windows Difender→Windows Defender)
