トピックス 2021.04.16 インターネットセキュリティとハインリッヒの法則

顧客管理システムとして高機能なことで知られ、多くの大手企業で使用されているSalesforce製品。

担当者の不在や交代があっても、その顧客に関する情報を共有することができ、今や顧客対応に欠かせないシステムとなっています。

ところが、ユーザー側で行うことになっているアクセス権限の設定によって第三者から参照可能になるケースが多くあったことが明らかになりました。

内閣府の発表から数日を待たず、同システムを利用している日本の有名企業から情報漏洩の可能性について発表が相次いでなされることとなりました。

情報セキュリティに関わらず、労災や交通事故など大きな事故の背景には、たくさんの小さな「予兆」が発生しているという法則が知られています。これを「ハインリッヒの法則」と呼びます。

この記事では、大きなセキュリティ事故の発生を予防するために、小さな予兆を発見して対策を立てていく必要性について考えていきましょう。

ハインリッヒの法則とは、1つの大きな事故の背後には29の小さな事故があり、300の異常事態「ヒヤリ・ハット」があるというもの。

この法則を導き出したのはアメリカの損害保険会社で技術・調査に携わっていたハーバート・ウィリアム・ハインリッヒ氏です。

1つの大きな事故の背景には29の小さな事故と300もの異常事態があるという「1：29：300の法則」から言えることとは、小さな事故が原因となり、それを改めないことによって、やがて大きな災害が発生しているということです。

災害が起こるその背景に「安全ではない状態」があるわけで、これをなくせば事故は発生しないと言えます。

こうした考え方は、その後日本でも労働安全教育や交通安全教育に応用されており、今日でも事故や災害の防止に役立てられています。

インターネットに接続する際、セキュリティ対策が重要であることは言うまでもありません。

これら情報通信網やソフトウェア、あるいは通信そのものは自然発生していることではなくて、すべて人為的に行われていることです。

セキュリティに関連した事故というのは、すべて「人為的な不安全状態」が引き起こしていると考えれば、これに対する対策は必須となるでしょう。

匿名性の高いインターネットであるからこそ、便利である反面、犯罪も起こりやすいと言えるのであって、そのこと自体が「不安全状態」であると言えます。

インターネット自体が不安全であることを理由にネット接続自体を辞めてしまうことはもはやできません。

このリスクにどのように立ち向かっていくのかという点が永遠の課題となるでしょう。

この辺りが、労働災害や交通事故の考え方と似ていると言えないでしょうか。

危険な作業や車を運転することにはリスクがあるが、どのように向き合っていくかを考えることが我々に課せられた課題というわけです。

このように、インターネットが不可欠となっている現代ではセキュリティ対策は必須ですが、実際のところどのように運用されているのでしょうか。

2019年度情報セキュリティの脅威に対する意識調査報告書によると、パソコン利用者の情報セキュリティに関する認知や理解は、決して低くはありませんでした。

意識調査報告書によると、パソコン利用者の多くが情報セキュリティの脅威を身近に感じていることが分かっており、以下のような被害を受けたと報告されています。

● フィッシング詐欺：実在の企業や組織を騙って、個人情報やパスワードなどの情報を不正に入手しようとする行為（88.8％）
● ワンクリック詐欺：Webサイトや電子メールに記載されたURLを一度クリックしただけで、一方的にサービスへの入会などの契約成立を宣言され、多額の料金の支払いを求められる行為（85.0％）
● 不審なメールを受信したことがある（34.1％）

ところが、パソコン利用者のうち複数のサイトやサービスなどのIDとパスワードの組み合わせを6個以上持っていると答えた人の割合は4割程度です。

他人に推測されにくいパスワードを設定している人は75.1％と高い割合であるものの、パスワードの使いまわしをしていないという人は50.2％にとどまっていました。

つまり、セキュリティ上の脅威があること自体はよく知られていながら、それに備えている人は少ないのです。

さらに、パソコン利用者のうち脆弱性対策の必要性について理解をしている人は6割弱にとどまり、なんらかのかたちで脆弱性対策をしている人は42.4％と半数に及んでいません。

このように、セキュリティ対策の必要性が認識されながらも意外と対策は取られていないことがアンケート調査の結果でも分かっています。

アンケート調査の結果で見たように、インターネットを利用する人のおおよそ半数は、セキュリティ対策が十分とは言えない状況にあります。

このうち、複数のアカウントでパスワードを使いまわさない、あるいは長いパスワードを設定するなどの対策を取っていない理由のうち最も多かったのが、「対策を実施するのが面倒だから」というものでした。

情報機器を利用するすべての人がインターネットの技術的な仕組みについて熟知しているわけではなく、専門用語が出てきた際に「知らない用語が多い」（53.0％）「内容が難しい」（50.1％）と答えています。

こうした人間の「心の隙」こそ最大のセキュリティホールと言えるのかもしれません。

ここでハインリッヒの法則をもう一度思い出してみましょう。

1つの大きな事故の背景に29の小さな事故、その背後に300の「ヒヤリ・ハット」があるというものでした。

労働災害や交通事故なら小さな事故やヒヤリ・ハットがわかりやすいと思うのですが、情報セキュリティに関してはどうでしょう。

情報機器を使っていて起こるヒヤリ・ハットといえば、

● 普通のダイレクトメールと思ったがよく見ると覚えのない発信元からのメールだった。
● 家族や同僚にパスワードを推測されてしまったことがある。
● セキュリティ上重要なOSのアップデートを行っていなかった。
● 漫然とUSBメモリに重要なデータをコピーして持ち歩き無くしそうになった。
● パスワードもつけずに漏洩してはまずい情報を電子メールに添付して送っている。
● パスワードを管理不十分。ほかのシステムでもでも同じパスワードを使いまわしている。
● 自分の端末内に何ら考えることなく共有フォルダを設けて他の人にアクセスさせている。
● 共有端末で何度もパスワードを聞かれるのが面倒なので、端末の前に書いて貼っている。

などが挙げられます。

情報セキュリティのヒヤリ・ハットと労災や交通事故と大きく違うところは、本人がヒヤリもハットもしていないところです。

かねてから情報セキュリティに関して「面倒なので怠っていた」、「わからない・情報不足」という状況が「心の隙」を生み、犯罪者たちもそうした心の隙を持った人たちにターゲットを絞って攻撃してくるのです。

これらのことに、一つでも心当たりがあれば、次のようなことに気を付けて改善することをお勧めします。

● 怪しいメールを見分け、もしそのようなメールが来たら開かない。
● パスワードは推測されにくく安全性の高いものにする。
● システムごとに違うパスワードを設定する。
● USBメモリはデータを持ち運び終わったら中身を削除すること。
● 電子メールにファイルを添付するときはパスワードを付けること。
● LAN内で共有フォルダを作る際はシステム管理者の指示に従う。
● 共有端末でパスワードをメモして貼るなどのことは絶対に避ける。

18世紀半ばから19世紀にかけての産業革命以降、人間は機械文明を急速に発展させてきました。機械文明は電子計算機（コンピューター）を生み、コンピュータの発展は、情報革命を引き起こしました。その結果が今日のインターネット社会であるともいえるでしょう。

しかし考えてみますと、これまで人間が発明して文明の発展に寄与してきた機械の類はすべて危険性を裏に持っていたのではないでしょうか。

機械文明の発展の裏では、数えきれないほどの事故が発生し多くの人が犠牲になってきたと思います。こうした事故の数々を分析した中からハインリッヒの法則は導き出されたはずなのです。

インターネットもその便利さの裏側には、個人情報の漏洩や経済的な損失などネット犯罪によって人の人生を狂わせかねない危険性がひそんでいます。

19世紀から21世紀の今日まで、人々はその英知を結集させながらリスクをコントロールしつつ世界を発展させてきました。

自動車の危険運転が無くならないのと同様、危ないとわかっていても、安全に対する備えをおろそかにするのが人間です。

情報機器を便利に使いこなすには、同時に発生するリスクのコントロールが必要です。

人間にはどうしても「心の隙」が発生するもの。それに対する対策をできうる限り取っていきながら情報社会を乗り切っていきましょう。

【関連リンク】

Salesforce の製品の設定不備による意図しない情報が 外部から参照される可能性について（NISC）
https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf

イオンでも不正アクセス、セールスフォース製品で（日本経済新聞）
https://www.nikkei.com/article/DGXZQOFK280XJ0Y1A120C2000000/

ハインリッヒの法則（厚生労働省）
https://anzeninfo.mhlw.go.jp/yougo/yougo24_1.html

「2019年度情報セキュリティに対する意識調査」報告書について（情報処理推進機構）
https://www.ipa.go.jp/security/economics/ishikichousa2019.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock