サイバーセキュリティ英語格言集

サイバーセキュリティに関するさまざまな英語記事を読んでいると、格言のような、示唆に富んだ言い回しをよく見かけます。有識者の口からは自然に含蓄のある言葉が出てくるのか、あるいは、上手いこと言おうと虎視眈々と狙っている方が多いのか知りませんが、うーん、なるほどぉと思わず唸ってしまうような一文に出会うことも珍しくありません。サイバーセキュリティの重要さやIT環境の現状を理解するためには、無駄に言葉をずらずら並べるるよりも、たった一文で一刀両断したほうが効果的なようです。そこで今回は、この場を借りて、サイバーセキュリティ英語格言集を紹介したいと思います。

発言者は、必ずしも有名人ではなかったり、重複していたり（実はこの人より先にこの人が言ったなど、諸説あったり）するので、出典は省略させていただきます。

では、ネットで拾ったサイバーセキュリティ格言を個々に考察してみましょう。まずは超有名なこの一文から。

It takes 20 years to build a reputation and few minutes of cyber-incident to ruin it.（名声を積み上げるには20年かかるが、サイバーインシデントは数分でそれを破壊する）

企業が社会的に一定の評判や信用を築き上げるのには20年かかるが、ひとたびサイバー攻撃に遭えば、それが一瞬で崩れ去ってしまう。だから、企業活動においてサイバーセキュリティはものすごーく重要だよ（20年の努力に匹敵するぐらい重要だよ）という格言です。肝に銘じましょう。

Amateurs hack systems; professionals hack people.（素人はシステムをハッキングするが、プロは人をハッキングする。）

サイバー攻撃を仕掛けるハッカーはシステムの脆弱性を狙っていると思われがちですが（それは事実なのですが）、近年は、ソーシャルエンジニアリングで人を騙して、その人の所属先の企業システムに侵入するパターンが増えています。単純な例はフィッシングメールですが、最近では生成AIを活用した高度な手口も増えています。この格言はそれを「プロの仕事✨」と称しています。同僚からのメールだし、内容も辻褄があっているので、フィッシングのはずはない！というメールが実はフィッシングかもしれない世知辛い世の中になったので気をつけましょう。

There are two types of companies: those who have been hacked, and those who don’t yet know they have been hacked.（企業には2種類しかない。ハッキングされた企業と、されているけど気づいていない企業。）

「企業にはサイバー攻撃被害に遭った企業と、これから遭う企業の2種類しかない」みたいな表現はかつてよく使われたと思います。もはや、その時代は過ぎて、今や、サイバー攻撃の被害に遭っていない（と思っている）企業は、実は遭っているけど気づいていないだけ、それぐらいサイバー攻撃は蔓延しているという表現です。

As the world is increasingly interconnected, everyone shares the responsibility of securing cyberspace.（世界はますます相互接続を深めている。よって、すべての人はサイバースペースのセキュリティに責任を負っている。）

まあそういうことです。契約先のその契約先の、さらにその下請け会社の一従業員がハッキングされたら、親会社の巨大システムが全部ダウンした、なんて可能性もゼロじゃないです。

Passwords are like underwear: don’t let people see it, change it very often, and you shouldn’t share it with strangers.（パスワードは下着のようなもの。人に見せるな、まめに取り換えろ、他人とシェアするな。）

パスワードとかけまして、そのこころは、というなぞかけみたいなユーモア格言です。セキュリティポリシーが厳格な場合、家族にも見せちゃだめだし、ましてや、パンツを履いていない（パスワード設定していない）のはもってのほかです。いろいろと応用が利きそうな格言ですね。「安心してください、パスワード設定しています」というセリフがふと浮かんでしまいました。

Security is not a one-time event. It’s an ongoing process.（セキュリティは一度きりの作業ではなく、継続的なプロセス。）

たとえば、このアンチウィルスソフトウェアをインストールしたから大丈夫、ということはなく、定期的なアップデートが必要だし、スキャンのスケジュールなども定期的に見なおす必要があります。この格言では、「一度ではなく、継続的に」というところも重要ですが、「イベントではなく、プロセスだ」というところも肝です。セキュリティは、システム任せではなく、人間が定期的に確認作業を行う「プロセス」が重要です。

Overprivileged user accounts are the low hanging fruit attackers are looking for, and they will always take the path of least resistance.（権限過多のユーザーアカウントは手の届くところにぶら下がっているフルーツのようなもので、サイバー攻撃の絶好の標的。ハッカーはいつでもいちばん通りやすい侵入経路を狙っている。）

各ユーザーアカウントに割り当てる権限は必要最小限にとどめましょう、というのがセキュリティ管理の原則です。必要以上に割り当てると、ハッカーの狙い目が増えるし、モニタリングも難しくなります。普段アクセスしないシステムにアクセス権を持っているユーザーは、滅多に使わないシステムのことは関知しないし、そこでなんらかの異常があっても気づきません。誰も知らないうちに情報漏洩が進行する、なんて事態も起きやすくなってしまいます。低いところにぶら下がっているフルーツのように、どうぞ狙ってくださいとハッカーに言っているようなものなので絶対にやめましょう。

No technology that’s connected to the internet is unhackable.（インターネットに接続されているテクノロジーに、ハッキングできないものはない。）

インターネットにつながっているということは、それ自体で危険なことなのだから、しっかり保護しましょう、ということです。最新ハイテクシステムだから大丈夫、ということはない、と言っています。

Phishing is a major problem because there really is no patch for human stupidity.（フィッシングは重大な問題だ。なぜなら、バカにつける薬はないので。）

ひどい言いようですが、真意は「バカ」を強調しているではなく、「人間の愚かさ」の普遍性を指摘しています。人間は皆、完ぺきではないので、「人間の愚かさ」に付け込んだ犯罪は100%撲滅は無理という観点から、フィッシングの完全防止は不可能なので深刻な問題だ、と言っています。「プロのハッカーが狙うのはシステムではなく人だ」という、前出の格言と同様の主旨で、セキュリティにいちばん重要なのは、人が実践するセキュリティプロセスの徹底であり、そのための教育が不可欠ということです。

The only way to maintain privacy on the internet is to not be on the internet.（プライバシーを維持する唯一の方法は、インターネットにアクセスしないこと。）

「ネットにつながっているものは、すべて危険」という主旨の格言が前出ですが、これも同じことを訴えています。数年前、日本のサイバーセキュリティ担当大臣がUSBを知らず、パソコンもほとんど使ったことがないことが世間に知れて、「大臣がそれで大丈夫なのか？」と話題になりました。そのときに「それって逆にセキュリティ最強じゃん！」と、冗談めかした指摘もありました。最強のセキュリティはインターネットに一切接続しないこと、の実践者という意味で。

The wonderful thing about the Internet is that you’re connected to everyone else. The terrible thing about the Internet is that you’re connected to everyone else.（インターネットの素晴らしい点は、あらゆる人とつながっていること。最悪な点は、あらゆる人とつながっていること。）

要するに、人間は怖いということです。社会から断絶して生きることはできないので（たとえ引きこもっても）サイバーセキュリティは重要、というメッセージですね（ちょっと違うか..）

Hackers are the immune system for the Information Age.（ハッカーは情報化時代の免疫システム。）

これは、これまでのとは毛色が違って、ちょっと解りにくいですね。免疫システムとは、正確には、人間の持つ病気に対する抵抗力のことではなくて、抗原があって抗体が作られる相互作用のことです。人間には外部からの侵入物に対する防御システムがあって、実際に侵入されると、最初は攻撃を許すけど、それを学習して抗体を作り、次の攻撃は跳ね返す。侵入側はその防御システムの穴を狙う。防御側は穴を狙われたら、またそこを塞ぐ。免疫システムとはその繰り返しです。そのイタチごっこをサイバーセキュリティに置き換えたのです。いや、イタチごっこって言っちゃだめですね。サイバー攻撃を受けながらセキュリティをさらに強固にしていくマクロの視点です。ミクロの視点では、被害に遭って大損害の企業もあるのですが、社会全体としては、ハッカーが次々と弱点を指摘してくれるので、トータルではセキュリティが強化されていきます。ミクロレベルでは（各企業や個人としては）とにかくアップデートをまめにして、社会全体のセキュリティ強化に乗り遅れないようにしましょう。

Never trust, always verify.（決して信用するな、必ず確認しろ。）

Don’t think, feel! みたいで、汎用性の高い一般的な標語ですね。要するに、人を見たら泥棒と思え、です。たとえば、昔からよく知っている友人からのメールでも、添付ファイルを無暗にクリックしてはいけません。送り主が誰であろうと、必ず確認しましょう。

There’s no silver bullet with cybersecurity; a layered defense is the only viable option.（サイバーセキュリティに特効薬はない。有効なのは多重防御のみ。）

サイバーセキュリティを一発で万全にしてくれる夢のようなソリューションは存在しません。セキュリティ体制を地道に積み重ねていくしかありません。多重防御とは、モニタリングやスキャニング、アラートなど、システム的なことだけでなく、社員教育なども含め、各種セキュリティプロセスを手を抜かずに徹底することです。あるサイバー攻撃に対して、この防御層は素通りされても、あの防御層がブロックする、とか、他の攻撃では、こちらの防御層が有効とか、層が厚ければ、結局すべての攻撃を跳ね返せる可能性が高まります。

Cybersecurity Is Like An Onion. There are layers, and at some point you start to cry.（サイバーセキュリティとはタマネギのようなもの。何重にもなっていて、どこかで泣くことになる。）

 上の格言をさっそく否定してしまっていますが、半分冗談です。半分は本当で、タマネギのような多重構造の防御体制が必要なことは前述のとおりですが、どこかの防御層は必ず破られてしまうほど、サイバー攻撃は怖いという戒めでもあります。

 Someone cracked my password. Now I need to rename my puppy.（パスワードがばれてしまったから、飼い犬の名前を変えないと。）

ペットの犬の名前をパスワードに使っている人が多いという（安易なパスワードを選ぶなという意味も込めた）冗談です。後半がNow I need to change my birthday.だったら、もっと厳しいですね。犬の名前は、変えようと思えば変えられるので…

Where did hackers go. They ransomware.（ハッカーはどこへ行った？どこか走っている。）

ランサムウェアの駄洒落です。くだらない駄洒落だけど、ハッカーの多くが近年はランサムウェアに特に力を入れているのは事実なので、なまじ駄洒落だけではありません。

A good programmer is someone who always looks both ways before crossing a one-way street.（良いプログラマーは、一方通行の道を渡るときも両側を確認する。）

良いプログラマーはあらゆるリスクを想定して細心の注意を払ってシステム開発をする、という意味で、良いプログラマーは「石橋を叩いて渡る」と同義です。でも、一方通行で片側からしか車が来ないはずのところを反対側も確認するという比喩は、普通ならサイバー攻撃に絶対侵入されないはずの経路でも念のために塞いでおくという、よりシステム開発に即した比喩です。ある意味、「石橋を叩いて渡る」よりも示唆に富んでいます。サイバーセキュリティを強固にするためには、開発段階において、想定外を想定しましょう。あ、なんかこれ、ちょっと格言っぽいですね。

For cyber security, expect the unexpected.（サイバーセキュリティでは、想定外想定しよう！）

今、勝手に作りました。説明は省きます。

Time is what determines security. With enough time, nothing is unhackable.（セキュリティは時間次第。時間さえかければ、ハッキングできないものはない。）

「インターネットにつながれたシステムはすべて危険」という主旨の格言はいくつか出てきましたが、これは一歩踏み込んで、時間軸に言及しています。時間の余裕を与えてしまったら、すべてのシステムは安全じゃない、つまり、ハッカーに余裕を与えるな！ということです。あえて単純すぎる例を挙げれば、パスワードは複雑であればあるほど、攻撃者が解読するには時間がかかるので、セキュリティは高いことになります。しかし、どんなに複雑でも、ものすごく時間をかければ、いつかは解読されてしまうので、100%のセキュリティはあり得ません。それと同じことが、あらゆるツールやセキュリティプロセスに言えて、多重構造のセキュリティ、定期的な検証、アップデートが重要です。要は、サイバーセキュリティには不断の努力が欠かせないということです。あ、また、格言出ました！

Cybersecurity is a continuous effort.（サイバーセキュリティは不断の努力！）

関連トピックス

• サイバーセキュリティにはお金がかかる、は本当か？
• Webセミナー録画とプレゼンテーション『高まるテレワーク需要をセキュアに実現！ホットなVDIソリューションをご紹介』：2020/3/10 開催
• バックアップランサムウェア保護ソリューションのBlocky for Veeamの最新版 3.5をリリース
• SIEM統合とバックアップによるセキュリティの拡張へ
• サイバーセキュリティフレームワークと 3-2-1-1-0 バックアップルール ー VeeamON 2021でも焦点になるランサムウェア対策 ー
• 豊富なアクセス制御でBYODのセキュリティリスクを解決 [Accops]
• HyTrust KeyControl 5.3 HSMとの連携強化
• VMware Hypervisorのセキュリティ – USBコントローラに関する重大な脆弱性
• レジリエンスとは ― サイバーレジリエンスの重要性について
• Veeam ONE v12.3の4つの新機能