必読だけど無料の「セキュリティ教本」、この3冊（2018年版）：セキュリティ強化塾（1/3 ページ）

4月、多くの学生が新社会人として活動を開始したことだろう。セキュリティの最低限の知識は急いで身に付けておきたい。

[キーマンズネット]

　4月になり、多くの学生が新社会人として活動を開始したことだろう。また、人事異動の季節でもあり、新たな職場に配属された社会人も多い。右も左も分からない状況かもしれないが、情報セキュリティの最低限の知識は急いで身に付けておきたい。そこで今回は、「これだけは読んでおきたい」とオススメできる無料のセキュリティ教本を3つ選んだ。

基本中の基本となる1冊目「情報セキュリティ10大脅威 2018」

　まず、目を通しておくべきなのは情報処理推進機構（IPA）が毎年3月に公開する「情報セキュリティ10大脅威」だ。最新版を読むことで、セキュリティ面で気を付けなければならない項目の大枠を把握できる。イラストや図表を用い、セキュリティ初心者でも分かりやすい内容となっている。もちろん、中級者以上であってもセキュリティ知識の棚卸しとして役に立つ。

　「情報セキュリティ10大脅威 2018」は、80ページのPDFだ。情報セキュリティの専門家を中心とした「10大脅威選考会」によって、実際に2017年に発生したセキュリティ事故や攻撃の脅威度をランク付けしている。

図1　情報セキュリティ10大脅威 2018年版（出典：IPA）

　なぜ、最新版を読まなければならないのか。それは、サイバー攻撃の手法や環境が日々変わるものだからだ。

　迷惑メールを例に挙げよう。10年前であれば、その名前が示す通り、不特定多数にばらまかれる迷惑なメールだった。添付された悪意のある実行ファイルをクリックしなければマルウェアに感染する可能性も低かった。それをクリックしたとしても「ウイルス対策ソフト」がそこそこの精度をもってブロックに成功した。万が一、マルウェアに感染してしまったとしても、PCを初期化することで対応できた。

　だが、2018年は違う。10大脅威の1位にもある通り、迷惑メールは企業を狙う「標的型攻撃」の1つの手段にもなった。攻撃者はターゲットとなる企業を狙い撃ちし、社内ネットワークや人事などの情報を収集した上で、従業員の心理的な弱点もフル活用して攻撃を成功させようとする。その結果、被害に遭う企業はなかなか減らない。

　もう1つ、10大脅威を1冊目としてお勧めしたい理由がある。それは、企業などの「組織」だけでなく「個人」を狙ったサイバー脅威についても網羅しているからだ。新社会人であっても会社を出れば1人の人間だ。プライベートで使うPCやスマートフォンを持っているだろうし、自宅にはインターネットにつながるスマート家電もあるだろう。

　2018年版では、恒例の10大脅威の解説に入る前に、冒頭の10ページを「IoT機器（情報家電）編」に割いている。それだけインターネットにつながる機器が家庭に普及したということであり、それを狙う攻撃が増えたということでもある。坂本龍馬がまとめた「船中八策」になぞらえた「情報セキュリティ船中八策ーIoT機器（情報家電）編ー」は、サイバーセキュリティ対策の「基本中の基本」の最たるものとして有益だ。