ジャミーカ・グリーン・アーロン、Auth0 CISO
早速本題に入りましょう。セキュリティ専門家として、私たちは世界中でサイバー攻撃の急増を目の当たりにしています。特にランサムウェアはあらゆる業界を直撃しています。まさか自分たちに起こるとは思ってもみなかった事態ですが、多大な費用と時間を必要としています。さらに、ロシアがウクライナに対して仕掛けている攻撃的なサイバー戦争は、既に広範なデジタル資産に波及しており、セキュリティ専門家間の連携が不可欠な状況となっています。
協力が必要なだけでなく、私たち全員が、消費者が直面する危険について消費者をよりよく教育するという責任を担うために、より多くのことを行う必要があります。
では、これは実際どのように見えるのでしょうか?
コラボレーションには時間がかかる
最近の出来事は、業界とネットワーク内での連携の必要性を改めて浮き彫りにしました。これまでも、そして今こそ、自衛に徹し、自社のセキュリティ体制だけを気にするべき時ではありません。私は他社を競争相手とは考えていません。犯罪者こそが、私たち全員にとっての競争相手なのです。
コラボレーションによるビジネスへの影響を心配されている方もいらっしゃるかもしれませんが、ご心配なく。結局のところ、消費者が利用するサービスを選択できることが重要です。こうした競争は、より良い製品を開発し、野心を持ち続けるための原動力となり、最終的には誰にとっても良い結果をもたらします。
コラボレーションにおいては、保有するデータを皆の利益のためにどのように共有できるかを考え始めましょう。Auth0は、認証プロセスを通じて試みられるサイバー攻撃の規模を把握できるという強みを持っています。当社のソフトウェアは毎週何百万件ものクレデンシャルスタッフィング攻撃に対処しています。昨年、私たちは初の「セキュアIDの現状」レポートを発表し、お客様に対するサイバー攻撃を試みる者の規模、手口、構成に関する社内データを可能な限り公開しました。これは、透明性を高め、消費者の信頼を築くチャンスです。
より大規模なレポートの作成に加え、セキュリティコミュニティと継続的に情報を共有する他の方法も検討しましょう。定期的なブログ、ネットワーキングイベント、ポッドキャストなどは、対話を継続する上で非常に有効な手段です。
もう一つの重要な要素は、テクノロジーをできるだけ多くの人に届けることです。特に、非営利団体や、費用負担が厳しい可能性のある他のセクターに広く普及させることが重要です。できるだけ安価に提供し、全員のセキュリティ体制を可能な限り強化することが重要です。これは、全員のセキュリティを向上させるというだけでなく、正しい行動でもあります。セキュリティ専門家として、これを実行するのは私たちの責任です。
私たちは多くのことに責任を負っています
責任について言えば、私たち全員がもっと取り組むべきことは、消費者への教育です。企業が消費者教育の責任を放棄するのは正しくありません。10ページにも及ぶ退屈なプライバシーに関する文書を読ませるだけ、あるいはある日突然アプリがMFAを強制的に導入したからといって、すぐに安心して使い始めるようなことは避けるべきです。
銀行を例に挙げましょう。消費者は常にSMS詐欺の標的となり、多くの人が金銭を失っています。銀行は消費者への啓蒙活動を行う責任があります。サイバーセキュリティ月間キャンペーンの一環として年に一度行うだけでなく、消費者に注意すべき脅威に関するメールや書面を積極的かつ継続的に送信する必要があります。これは価値のある投資であり、重大な侵害が発生した場合のコストと比較すれば、ほんのわずかな金額に過ぎません。
では、どうすれば消費者にアプローチできるのでしょうか?
彼らの現状を理解し、既成概念にとらわれずに考える必要があります。製品の宣伝だけでなく、消費者がセキュリティのベストプラクティスを広く理解できるよう啓発活動にも投資する必要があります。これは誰にとっても有益なので、製品を購入してくれる人に届いているかどうかだけを考えるのではなく、草の根レベルで取り組む必要があります。現状では、セキュリティ専門家や組織の大多数が草の根レベルでの取り組みに苦戦しています。
重要なのは、多様な人口統計や性格を持つ人々が存在し、それぞれ異なる方法で教育を受ける必要があることを認識することです。コミュニティのリーダーと話し合い、他者を教育するための最良の方法について、あなた自身が学べるような外部の意見を取り入れましょう。
結局のところ、その教育に投資するのは私たちの責任です。そうしないと、将来的に自分たちにとって事態がさらに困難になるだけではありません。
しかし、テクノロジーを構築する方法はどうでしょうか?
責任は教育で終わるのではなく、私たちが投資し構築するセキュリティ技術にまで及ぶのです。この点に関しては、私たちが取り組むべきことはまだたくさんあります。
例えば、生体認証を例に挙げましょう。認証に関しては非常に優れたセキュリティ対策ですが、まだすべての人に有効というわけではありません。私は顔認証は黒人の顔をうまく認識できないため、使用していません。これは持続可能なものではなく、テクノロジーは包括的で、大衆に受け入れられるものでなければなりません。
消費者が安全な行動を実践しやすくするテクノロジーを、容易に利用できるようにすることも必要です。パスワードマネージャーは誰もが持つべきものの好例であり、より安価で使いやすくするほど良いでしょう。Auth0は、消費者の認証情報が漏洩した際にプラットフォームが自動的に識別し、警告を発することを容易にする「Credential Guard」というテクノロジーも開発しました。これはセキュリティ対策に簡単に組み込むことができ、消費者が何もしなくても大きな効果を発揮します。つまり、摩擦を軽減するという点において、セキュリティの聖杯と言えるでしょう。
自分を箱に閉じ込めないで
セキュリティ専門家として、自社製品と顧客のことばかり考えているとしたら、失敗するでしょう。今私たちに必要なのは、協力体制と、誰もが安心してセキュリティを利用できるようにするために、私たち全員が責任を負い、進んで受け入れる姿勢です。
