「脆弱だな～！」で話題のセキュリティ芸人が力説！　"最大の脆弱性"「人」に立ち向かうためのソリューションとは？

サイバー攻撃による脅威は増すばかりだ。ランサムウェアにより被害は依然として増え続け、攻撃の踏み台として中小企業への攻撃も急増している。サプライチェーン攻撃や地政学的リスクに起因する攻撃など、新たな脅威も相次いでいる。それらへの"打ち手"について、セキュリティ芸人のアスースン・オンライン氏と日本HPセキュリティエバンジェリストの木下和紀エドワルド氏が意見交換の場を持った。そこで語られた最大の脆弱性と対応のための方策とは？

（左）日本HP セキュリティエバンジェリスト 木下和紀エドワルド氏（同社 ワークフォースソリューション事業本部 所属）、（右）セキュリティ芸人 アスースン・オンライン氏

"笑い"をフックにセキュリティへの関心を高める！

――お笑い界で唯一の「セキュリティ芸人」であるアスースン・オンラインさんは、脆弱性に関する"お笑いネタ"をライブや技術系イベント、YouTube、Xなど多様なメディアで発信し、IT業界を中心に独自の人気を獲得しています。こうした活動のきっかけは何だったのでしょう。

アスースン： 学生時代に参加したセキュリティ人材育成プログラム「SecHack365」で思いついた、セキュリティ啓発コンテンツの制作アイデアが始まりです。ITエンジニア志望の私はセキュリティ事故の多くが、誤操作やパスワードのずさんな管理など人に起因することを知っていました。いくらセキュリティを技術的に高めても、この状況では元も子もなく、打開のためにはITリテラシーの幅広い底上げが不可欠です。その点で、私自身もお笑い好きだったこともあり、「お笑い×セキュリティ」のネタで笑ってもらうことでセキュリティを身近に感じ、広く関心を持ってもらえると考えたのです。

　以来、ネタを作り続け、今はゲーム会社のエンジニアとの二足のわらじで活動しています。「〇〇芸人」のような他ジャンルを掛け合わせた芸風の芸人さんは数多くいらっしゃいますが、「セキュリティ芸人は誰もいない！」と思って始めました（笑）。芸人として今、目指しているのは、脆弱なことに対して誰もが「脆弱だな～！」とツッコミできるようになってもらうことです。そこから、一般の方々のセキュリティ意識を向上させていきたいですね。オフィスなどでパスワードと思われる付箋が貼られているのを見たら見逃さずに「脆弱だな～！」とつっこんで、セキュリティに目を向けるようになってくれると嬉しいです。

木下： 私は日本HPのセキュリティエバンジェリストとして、ITリスクをお客様に俯瞰的に示し、被害発生を少しでも抑止できるようお手伝いしています。そのためにはお客様のセキュリティ意識の向上が欠かせず、その支援の点でアスースンさんの活動と少なからず重なるところがあります。

思わぬ理由で生じる、人由来の"脆弱性"

木下： ネタ作りは大変そうですが、どうやって作っているんですか。

アスースン： 元ネタは、日常の中での気づきがほとんどです。床屋でいまだにWindows XPが使われていたり、病院でパスワードが付箋に書かれて貼られていたりなど。脆弱なものを見つけたら、とにかくスマホでメモをして、時間を見つけてフリップネタやコントなどのかたちに取りまとめるわけです。よくある喫茶店シチュエーションのコントをセキュリティ寄りに構成したものが「脆弱カフェ」というネタです。

　周りのセキュリティ仲間との雑談から生まれることもよくあります。彼らはITに詳しい人ばかりで、「脆弱さを競う大会というネタを作りたいが、一番脆弱なのはなんだと思う」と相談したところ、「そりゃ人でしょ」とバッサリと断言され、「確かに！」と大いに盛り上がりました。結果として生まれたのが私の代表ネタの「脆弱-1グランプリ」になります。動画を見ていただければ感じることですが、やっぱり一番の脆弱性は人だな、と（笑）。

木下： お客様の相談を通じ、我々も人が脆弱性になる例をいくつも目にしています。パスワード共有や、パスワードを書いた付箋をモニターに貼り付けるといったことも、いまだ広く行われています。

　IT業界は一般的にセキュリティ対策がしっかりしており、リテラシーも高いので錯覚しがちですが、他業界は必ずしもそうではありません。ITリテラシー向上の継続的な支援がセキュリティ対策を進めるうえで何より大切な理由ですね。

人の脆弱性を"仕組み"でカバー

アスースン： IPAが毎年発表する「10大脅威」もネタ作りのために定期的にチェックしています。10位の「不注意による情報漏洩等」は、まさにセキュリティ芸人として被害抑止で頑張らないといけないものです。ちなみに、報告書には対策も具体的に示されており、その内容に「フフッ」とくることもしばしばです。「パスワードは他人に教えない」など当たり前のことですが、書いてある以上、なかなか減らないんだろうなと裏読みしてしまいます。

木下： 実際に悩ましい部分も多いです。例えばサーバーのパスワード管理ですが、手っ取り早いのがパスワード付きExcelでの管理です。しかし、これだとExcelのパスワード1つで、全サーバーへのアクセスを許しかねません。

　何とかするにはユーザーやサーバーの権限、ワンタイムパスワードなどを組み合わせた複雑な仕組みが必要となります。ただ、整備には手間とコストがそれだけかさみ、必要性を認識しつつも対応がなかなか進まないのが実態です。

アスースン： あと1つ、9位の「ビジネスメール詐欺」も気になります。自社の偉い人を装うハッカーからWeb会議の参加を促すメールが届き、ディープフェイクの偽CFOから送金指示を受けたことでの詐欺事件が事例として挙げられていました。不審に思い、その場で確認の質問をすると偽CFOに叱られたそうです。ここまでくるとリテラシーが高くても見抜くのは難しいでしょう。

木下： AIの技術革新は急で、詐欺かどうかを見分けるのは確かに難しくなるでしょう。ただ一方で、現状の被害の大半はアスースンさんが説明された通り、操作ミスなど人に起因しているのが実態です。

　その対応に向け、USBメモリの使用制限や一定長以上のパスワードの設定といった最低限のルールを定めたうえで、ルール違反がある場合には管理者が担当者に改善を促すなど、人のミスを何らかの仕組みによってカバーできる環境を整備すべきです。この程度ならWindowsのグループポリシー機能やMDMツールで実現でき、既存の仕組みを使うのでコストも要しません。

　複数台のPCやスマホなど、業務で使用するデバイスは増え続け、リスクもそれだけ高まっています。その中にあって、基本的なところを気にするだけでも、事故発生のリスクを大きく抑えられるわけですから。

PCの電源が入っていなくてもデータをリモート消去

木下： 当社でも、その支援に向け、HP独自のPC用MDMサービス「HP Protect and Trace with Wolf Connect」を提供しています。その一番の特徴は、一般的なMDMによる端末管理機能のみならず、PCの電源が落ちていてもPC内のデータを消去可能で強力なリモートワイプ機能を標準機能としている点です。

　リモートワイプ機能はPCの盗難／紛失時の対策として、MDMツールで広く提供されています。ただし、それらはPCの電源が入っている間しか利用できません。対してHP製PCはPC保護のための物理的に独立したチップ「HP Endpoint Security Controller（ESC）」を搭載しています。ESCはバッテリーがある限り常時通電しており、通信用モデムとも接続されています。この構成により、PCの電源が切れていても、LTE Cat-M通信によるサービス側からの指示でデータを常時、消去可能なわけです。データ消去以外にPCのロックや、現在地の探索機能も利用できます。

　もう1つ、このサービス向けのLTE通信網を当社は世界約80カ国で展開しており、海外での紛失時にも同様の処理が行えるのも強みです。通信料はサービス料金に含まれ、別途発生することもありません。

アスースン： データの重要性は高く、私が勤めるゲーム会社でも飲み会などにPCを携行することは厳禁ですが、このサービスがあればたとえ紛失しても即座に対応できるんですね！安全だな～。ただし、紛失に気づいたときにきちんと対応しないといけませんね。

木下： おっしゃる通り、紛失を管理者に迅速に連絡できるよう、その手順などを事前に調整しておくべきです。

　一方で、脅威による情報漏洩という意味では、当社の調査によると、脅威の侵入経路の約8割をエンドポイントが占めます。逆に言えば、脅威侵入を防ぐにはエンドポイントの保護が最も効果的で、そのために当社が用意しているエンドポイント保護サービス「HP Wolf Pro Security（WPS）」が有効になります。

攻撃の被害を仮想空間内に限定して無効化

木下： アスースンさんから話があったように、サイバー攻撃は今後、AIなども活用した、人が攻撃と判断できないかたちに凶悪化すると当社では見ています。

　それらの防御におけるWPSの強みが、通常のアンチウイルス機能と併せて提供する、仮想技術を活用したSure Clickという隔離機能です。近年の攻撃を一例で説明すると、攻撃用に用意されたリンクをユーザーがクリックし、一般的なブラウザが立ち上がったことをトリガーに、脆弱性を悪用した攻撃が行われます。しかし、WPSを導入したPCでは、仮想的にPCから隔離されたブラウザが立ち上がり、閉じた環境内でのみ稼働します。つまり、攻撃の被害を仮想空間内に閉じ込め、ブラウザを閉じることで攻撃を無かったことにできるのです。まさしく、「Sure Click（安全なクリック）」というわけです。

アスースン： （実際の画面を見ながら）動作も軽快で使い勝手もよさそうです。

木下： 普段使いのブラウザとしても活用いただけますし、仮想空間内で作業したOfficeファイルの編集・保存などにも対応しています。WPSの技術の多くを当社が特許で押さえており、類似のソフトウェアは他社では困難でしょう。PC用MDMソリューションのHP Protect and Trace with Wolf Connectを利用できるのはHP製PCだけですが、WPSはPCのメーカーを問わないため、より広くご利用いただけます。

　なお、HPではユーザーのPCの利用体験の最適化を支援する管理サービス「HP Workforce Experience Platform（WXP）」も提供しています。WXPはいわば、ユーザーのPC利用時の体験価値を可視化する仕組みです。PCやメモリの使用率、アプリやVPN通信のパフォーマンス、自宅Wi-Fiや回線の品質、発生したブルースクリーンの不具合理由など、管理者による把握を実現しており、そこで明らかになった課題を踏まえたセキュリティやコンプライアンス強化、ユーザーサポートのための能動的なアクションとともに、ユーザーごとの最適なPC配備によるコスト最適化を支援します。

アスースン： HPのソリューションによりエンドポイントのセキュリティを確実に高められることが理解できました。ただ、セキュリティ芸人として言わねばならないのは、人の脆弱性は依然、残されているということです。そうした中で私のネタを通じて、パスワードを書いた付箋といった目についた脆弱性を社内で指摘しあってもらうことで、少しでも多くの人にセキュリティに関心を持ってもらえれば嬉しいですね。

木下： おっしゃる通り、人の脆弱性はこれからも存在し続けます。また、対応すべき技術的リスクも広範です。その中での着実な対応に向け、我々のPCやサービスが対応負荷の軽減に少しでもお役に立てれば光栄です。