サイバーセキュリティに関するアドバイスの中には、昔から言われているものがあります。例えば、頻繁にパスワードを変更することや、公共のWi-Fiを避けることなどです。しかし、多くの専門家は、そうした知識の多くが神話に根ざしていると指摘しています。
月曜日、これらの根強い誤解に対抗するためのイニシアチブが立ち上げられました。こうした誤解が根強く残ることが、人々の安全を守る上で実際には有害であるという考えに基づいています。
ボブ・ロード氏は、Yahooや民主党全国委員会の元サイバーセキュリティ責任者であり、サイバーセキュリティ・インフラストラクチャー庁(CISA)のアドバイザーも務めました。彼は、こうしたサイバーセキュリティの迷信に対抗するため、「ハッキング」と「フォークロア(民間伝承)」を組み合わせたhacklore.orgを立ち上げました。
神話は常に存在し、時を経て「苦労して得た知恵」として受け継がれてきました、と同サイトは指摘しています。「かつては自分の身を守るためにお守りを身につけていました」とロード氏はCyberScoopに語りました。
しかし、セキュリティの実務者やテクノロジーを使う人々には、無限のリソースがあるわけではないと彼は述べています。
「私たちの目標は、一般の人々や小規模な組織が、本当にデータやデバイスを守るためのシンプルで事実に基づいたステップ――ソフトウェアの最新化、強力なパスワードやパスキーの使用、多要素認証の有効化、ソーシャルエンジニアリングの認識――に集中できるよう支援することです」と同サイトは説明しています。「恐怖ではなく事実に置き換えることで、デジタル安全のアドバイスをより正確で実行可能、かつ効果的なものにできます。」
このイニシアチブの一環として、ロード氏は80人以上のサイバーセキュリティ専門家に呼びかけ、実際に効果のある実践的なサイバーセキュリティガイダンスへの転換を求める公開書簡に署名してもらいました。署名者には、OktaやMicrosoftなどの大手企業や組織のサイバー責任者、サイバーセキュリティや学術分野の専門家、そしてCISA時代の元上司であるジェン・イースタリー氏も含まれています。
彼らが「やめるべき」とするのは、QRコードを絶対にスキャンしない、公共のUSBポートでデバイスを充電しない、定期的にクッキーを削除する、といったアドバイスです。「推奨する」のは、多要素認証やパスワードマネージャーの利用、アプリやデバイスの最新化です。
この「ハックロア」を一箇所に集約し、誰でも読んだり他の人と共有したりできるようにするのが狙いです。また、この書簡はソフトウェア提供者にも向けられており、「セキュア・バイ・デザイン」や「セキュア・バイ・デフォルト」といった、ソフトウェアのセキュリティ向上を目指すCISA時代にロード氏が取り組んだ2つのイニシアチブを推奨しています。(ロード氏は現在、Institute for Security and Technologyに所属していますが、hacklore.orgは個人プロジェクトです。)
ロード氏は、このプロジェクトが今後どこへ向かうのかはまだ分からないとしつつも、この「簡単ではない」現象に一石を投じられることを期待しています。「1年後にまた聞いてください」と彼は語りました。
翻訳元: https://cyberscoop.com/hacklore-org-cybersecurity-advice-bob-lord-security-myths/
