クラウド・セキュリティをテーマとした2日目の基調講演では、トーテックアメニティ トーテックサイバーセキュリティ研究所所長の藤原礼征氏が「脱PPAPで考え直すセキュリティの常識/非常識」をテーマに講演した。


　藤原氏は、講演の冒頭で添付ファイルを暗号化ZIPで送ってパスワードを送る「PPAP」が国内の多くの組織や企業で採用されてきたが、セキュリティ対策として大した意味がないと指摘する。最大の問題点は「“セキュリティしぐさ”によって、本来のセキュリティ対策が阻害され、心理的な安心感から技術的な安全策が講じられなくなることだ」という。

　サイバー攻撃の侵入経路の90％はメールからの攻撃であるため、そこを抑えることが重要だ。いかに添付ファイルを安全に運用できるかを考えた時、PPAPは送る側のリスクを受け取る側に転嫁するもので、ファイル共有を添付ファイルに頼る時点で負けだという。解決策として、「ファイル共有はさっさとクラウドに移行しましょう」と語る。ファイル共有はクラウドとセキュリティのド直球の問題で、それを片付ける必要があるためだ。

　クラウドの安全性は高まっているが、最大の懸念点は利用者のパスワード管理問題だ。不正アクセスによる被害の多くはユーザーIDとパスワードの漏えいが原因となっているため、パスワードは暗号化して保管するのが鉄則。また、安易なパスワードを使わない、十分に長く複雑なパスワードを使う、同じパスワードを使い回さないことが重要な対策になる。「安全な（十分に複雑で使い回していない）パスワードを大切に使うことが、これからの常識になる」と藤原氏は強調した。

　次いで、指摘したのはソフトウェアが経年劣化するという点だ。未知の脆弱性を突くような攻撃が巧妙化しており、年々、対抗するセキュリティの技術も向上しているので、既存のソフトは陳腐化していく。だが、ソフトウェアをアップデートすれば安全かといえばそうではなく、ルータなどIoT機器の危殆化リスクも存在している。特に、テレワークやDXの推進が問題を深刻にしている。その対策として、自宅で使用しているルータなどのIoT機器を定期的に買い直すことを推奨。企業にもその費用負担を検討してほしいと訴えた。

　最後に取り上げたのが、セキュリティポリシーの継続的な見直し。ポリシーの強化で「使えなくするセキュリティはセキュリティではない」とし、大切なのは、安全（Security）に使える（Usability）ようにすることで、バランスが重要だと語った。