2026年5月2日、日経電子版のXアカウントに流れてきた以下の投稿について、ちょっとだけ解説してみたいと思います。
時代遅れのセキュリティー神話「信じないように」、専門家が…
日進月歩のセキュリティ対策
意外と知られていないのですが、知識として覚えておきたいセキュリティ対策って、日々変わっています。
そんな大袈裟な!って思われるかもしれませんが、私が放送局で情報システム担当をしていた時代とは「ほぼ真逆」に変わっていると言っても過言ではありませんし、正直な所、今でも日々動向をチェックしていないと古い知識を広めてしまうことになりかねないので情報収集を欠かせません。
一例を挙げると…
当時は「パスワードは頭で覚えろ」と言っていましたし、それが常識になっていました。
今は「パスワードは頭で覚えるな」です。パスワード管理ツールが一般的になったので、機械で出来ることは機械に任せろという事で、そういう方向に転換しています。
記事の中で列挙された神話について
では、実際に記事中に記載された「神話」とされる項目について見てみます。
公衆Wi-Fiを避ける
私が「そんな考えは古い」と言い始めたのは記録に残っているので言うと2014年9月9日の北海道新聞の記事になります。それを元にネットで動画配信をしたのが2日後の2014年9月11日の「暗号化された無線LANって安全なの?」になります。ここで話した内容は現状でもほぼ変わらない内容になりますが、一部の専門家は大昔の考えに未だに固執している方もいらっしゃいます。
え?そんな昔から?って思われるかもしれませんが、そんなもんなんですよ。情報セキュリティの世界は。
QRコードをスキャンしない
私自身は「QRコードを無闇にスキャンするな」派ではあります。これについては一時対策がされていなかった時期のQR決済で「送られてきた2つのQRコードを読み取った途端にチャージから送金まで行ってしまう」という詐欺手法もありました。しかしながら、少々レアなパターンなのかな?というのと、速やかにQRコード決済会社の側で対策がされたので、注意喚起には及ばないものの、そういう事例があったという事は知っておいて良いのかなとは思います。
また、フィッシングサイトに飛ばされる事例もあるもののパスワード管理ツールを使っていれば飛んだ先で被害に遭うことはないため問題なしとも考えています。ただ、そもそもQRコードは人間が直接読めるものではないため、無闇に読み取らないのが吉であることには変わらないので、自分としての考えは変えておりません。ここら辺は、国にもよる部分はあるので、意見が分かれるのは仕方ないと考えています。
公共のUSB充電ポートを使わない
これは機器側で警告が出るので自分としては「気にしていない」という事になりますが、同時に、そもそもモバイルバッテリを持ち歩いたり、忘れたときもレンタルしていれば何らかの攻撃があるにしても避けられるので、そういう方向に変えていくのも一つの手だとは思います。最近はパソコンも省電力化が進んで、一部のモバイルバッテリからも充電できるようになってきているので、モバイルバッテリを介在させて公共のUSB充電ポートを使えば問題ないのでは?とも思っています。
BluetoothとNFCをオフにする
こちらはOSレベルでの対策が進んでいて、他者からの接続時には承認を求めてくるようになっているので気にしなくても良いかと思います。ただ、OS等を常に最新の状態にしておくことは必要ですし、自分がアクションを起こしたわけではないのに承認を求められたら安易に承認しないことは非常に重要です。
Cookieを定期的にクリアする
未だにこれをいう人を見かけるのですが、本物のサイトが用意している「環境が変わらない限りはログイン状態を維持し続ける機能」を無効化してしまうので、かえって危険だと考えています。結局、都度ログアウトされてしまうような事を行うとフィッシングに対しての耐性が急激に下がるので、フィッシング詐欺に騙されてしまうリスクを高めてしまうだけなのです。要するに「余計なことをするな」って事ですね。わざわざリスクを高める必要はありませんので。
パスワードを定期的に変更する
これも相当以前から言われていることなのですが、定期的変更はパスワードを脆弱にするだけなんですよ。実際、放送局の情シス時代から定期的変更をさせようと全く思わなかった者からすると、大手通信事業者の仕事をしていたときに定期的変更を強制されていて驚きましたし、実際、現場では「最後の一文字を数字にして順番に変えていく」という運用が蔓延っていましたから。公衆Wi-Fiの項でも書いた動画配信では2013年12月19日に「パスワード定期変更厨にダメ出し!」というタイトルで取り上げております。
これも、え?そんな昔から?って思われるかもしれませんが、現場でちゃんと運用していれば気が付くことなんですよね。
教科書通りの対応は往々にして…
もちろん、教科書通りの対応を学ぶことは非常に大切です。ある意味、基本中の基本になるので「どういう理由で」という部分も含めて勉強しておくのは必須と言っても良いでしょう。でも、実際に情報システム担当者として現場にいると「実務的には教科書通りではダメだ」っていう事に気付くんです。理由は簡単で「セキュリティ的には人間の存在が一番の脆弱性」だからなのです。専門家でも意見が分かれるというのは、そういう部分なのです。「教科書通りにやるべき。実務を加味するなんて邪道」っていう方もいらっしゃいますし、私のように「教科書通りでは限界がある。人間の存在は無視できない」っていう方もいらっしゃいます。どちらも正しいと言えるでしょう。実際、私が持っている情報処理安全確保支援士の登録更新のための学習って教科書通りの事しかやらないですし。だから実務経験がないと前者の考えになるし。実務経験があると後者の考えになるんですよね。
ただ、コンサルティングって実務を軽視しては現場の皆さんが不幸になる話しか出来ないので、実務は非常に大切だったりします。
無料相談実施しております
Zoomによるオンラインでの相談のみですし、対象は法人のみですが、随時受け付けております。この記事について詳しい話を聞きたいという場合にも、是非とも御相談くださいませ。
このページの右下にある「仕事の相談・依頼」からどうぞ。
またYouTubeにもセキュリティに関するライブ配信のアーカイブを残していますので、御視聴頂ければと思います。マイベストプロ北海道の私のページにあるYouTubeアイコンからチャンネルに飛べば「情報セキュリティウェビナー」というリストがありますので、そこに28本ほど動画を残しております。
