古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

日本でなぜ理想的なセキュリティ対策ができないのか?

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/01/25
日本でなぜ理想的なセキュリティ対策ができないのか?: 本当のセキュリティ対策の理想と現実 © ITmedia エンタープライズ 提供 本当のセキュリティ対策の理想と現実

 物事の理想と現実の隔たりを語る際に、よく「××の理想と現実」などと表現する。先に何らかの「理想」があり、その理想に比べて「現実」がどれほど離れているのかを述べるためだ。しかし、この連載の題名は「日本型セキュリティの現実と理想」であり、「理想」ではなく「現実」が先にある。その点を不思議に感じた読者もいたのではないだろうか。

 これには理由がある。セキュリティ対策とは、サイバー攻撃などの脅威があって、初めて必要になるからだ。攻撃されなければ、そもそも防御は必要ない。セキュリティ対策の理想とは、脅威が存在しないということである。しかしその理想は、いくら願っても実現しないだろう。サイバー攻撃や内部不正といった脅威は、人間の欲が引き起こすものだからだ。極論すれば、脅威のない世界が実現するとしたら、全ての人間が無欲になるしかないだろう。

 またセキュリティを語る際に、人間は誰も悪いことをしないという意味で「性善説」という言葉が使われるが、このような使い方は誤用だ。本来は、性善説だろうと、性悪説だろうと、「結局人間は悪事を働いてしまう」という前提は変わらない。説明のアプローチが異なるだけで、どちらも人は正しい道徳を身につける必要があると述べている。つまり、「(誤用の)性善説」に立ったセキュリティ対策というのは、人間が存在する限り成立しないのだ。

 だから、人間が人間である限り、誰もが悪事(攻撃)に及ぶ可能性があるという前提に立てば、上述したセキュリティの理想というものは存在し得ない。そのため、連載の第1回は「セキュリティインシデントが繰り返される理由」という内容から始めた。まずは、セキュリティ対策の現実を読者の皆さんに理解してほしかったからだ。

 しかし結局は、人間が幾度となく戦いを繰り返してきた世界の歴史が示すように、サイバー攻撃とセキュリティ対策の関係に終わりが来ることはない。情報セキュリティの本質とは、「永遠に続くいたちごっこ」なのである。

●セキュリティ対策の「本当の理想」とは?

 この本質は、サイバー攻撃の被害者やセキュリティ対策に従事する人々にとって、非常に悲しい現実だ。人間の欲が攻撃などの脅威をもたらすという前提をまず理解し、「脅威のない世界」などと都合のいいセキュリティ対策の理想が存在しない現実を受け入れる必要がある。

 それでも手間とコストをかけて、何らかの具体的なセキュリティ対策を実施するのだから、一定のゴールを定めざるを得ない。実際の落としどころという意味なら、そのゴールがセキュリティ対策の「本当の理想」と言うことになるだろう。筆者はそのゴールを「攻撃者の動向を理解した上で的確に対応し、攻撃者が最終的な目的を達成する前に、防御側が確実に止めること」だと考える。

 しかし、現実的な落としどころとしての「本当の理想」ですら、なかなかうまくいかない。仮に、セキュリティ対策が的確に実施され、「本当の理想」が実現されたとしても、さらに悲しい別の現実が存在する。それは、「攻撃されたことでセキュリティ担当者が非難される」という状況が散見される現実だ。

 現在のサイバー攻撃は、昔のようにファイアウォールなどの対策で組織内部のシステムやネットワークへ一歩も入れさせない「境界防御」による思想が通用せず、外部からの侵入をゼロにすることは不可能だ。その状況で仮に一部の侵入を許しても、被害を最小限に抑えられたなら充分な成果であり、その成果を得るために尽力したセキュリティ担当者は称賛されてよいはずである。

 だが、先に述べた前提も現実も受け入れず、あり得ないセキュリティの理想を抱き続ける人は、「多くの対策コストをかけたのに100%防げなかった」とみなし、減点材料にしてしまうことがある。経営者や管理者がセキュリティ対策への理解に乏しい場合には、「対策にコストを費やしたのだから、何も起きなくて当然」と考え、セキュリティ担当者を非難してしまうのだ。

 つまり、現在の状況はセキュリティ担当者が目指す「本当の理想」からも程遠いものにならざるを得ない。さらに、「本当の理想」を実現して被害をゼロにしたとしても、それらの状況を理解しない第三者からすると、それは平常であったということに過ぎない。このように、どちらに転んだとしても、どこまでもセキュリティ担当者は報われない存在なのだ。

●情報セキュリティはなぜ被害者も非難されるのか?

 情報セキュリティの事件や事故では、攻撃や不正の被害者といえる組織の幹部が、マスコミの前で謝罪することが珍しくない。これは情報セキュリティ特有のものだろう。窃盗や誘拐、殺人の被害に遭ったら、悪いのは加害者で、被害者は同情されても非難されることは滅多にない。被害者側に過失があったとしても、それはそれとして、やはり「罪を犯した方が悪い」という常識的な世論が形成される。

 しかし、情報漏えいの場合は被害者が非難される。謝罪と損賠賠償はもちろん、再発防止のために莫大なコストを費やさなければならない場合も多い。それらの対応が適切になされたとしても、企業のブランド価値や顧客数といった有形・無形のさまざまなものが消失し、その回復は簡単にはいかない。

 特に漏えいした情報が個人情報だった場合は、個人情報保護法に基づいて漏えいの事実を公表しなければならないし、法律に沿った処罰や「Pマーク」取り消しなどの処分を受けることもある。企業や組織に同情の余地があったとしても、彼らは利益を生むために個人から大切な情報を預かっている立場であり、適切に管理できていないことで、より多くの人々が不利益を被るのであれば、多少の批判を受けるのは致し方ないだろう。

 ただ、SNSなどの書き込みや報道の中には目に余るバッシングも多く、特に公的機関などの情報漏えいに対しては厳しい。とはいえ、セキュリティ対策に完璧なゴールが存在しない以上、度を越えたバッシングは考え物だ。公的機関の場合、セキュリティ対策費用は国民の税金などから出ているのだ。やり過ぎの非難は、回りまわって国民の不利益につながってしまう。

●個人情報とは異なる機密情報の漏えい

 漏えいしたのが個人情報ではなく機密情報だった場合には、公開の義務はない。基本的に機密情報の保護は、その企業や組織の責任において行うべきものであり、損(被害)をするのはその企業や組織だけなので、罰則などのおとがめはないということなのだろう。

 機密情報の漏えいは、企業や組織の価値が大きく損なわれることはいうまでもないが、その被害の全容を把握することは難しい。そもそも公開しなくてもよいということは、漏えいした事実も秘密になるということであり、国防機密など公的機関が関係する事件報道や時には数千億円にもなる民事訴訟がある場合でしか、一般に知られることはない。

 さらに、企業や組織が気付かないうちに漏えいしている機密情報は判明したもの以上に数多くあるはずだ。公にならないケースと当事者が気付かないケースによって、日本各地で甚大な被害が多発している可能性は高い。とはいえ、機密情報の漏えいを公表したことで、攻撃者がその情報の価値をあらためて認識してしまう場合もあり、法律などで公開を義務付けるといった単純な話にはならない。

 なお、何かと騒がれる個人情報ではあるが、実はそれを売りさばいたところで攻撃者が大儲けできるわけではない。その情報が直接利益につながるものではないので、単価が安いからだ。2014年に発生した内部不正による膨大な個人情報の漏えい事件では、数千万件の個人情報を窃取した犯人が手にした見返りは200万円にも満たなかったという。

 そして、そもそも企業や組織が管理している情報の中で、個人情報の重要度はそれほど高くはないのだ。医療など重度のプライバシー情報を除いて、一般企業などが所有している住所やメールアドレスなどの個人情報が窃取されても、その影響はリストの売却による電話やダイレクトメールが送られてくるぐらいだろう。このように攻撃側やそれらを売買する人々にとって、個人情報は高度な攻撃を仕掛けてまでほしいものではないだろう。

 それに対して、機密情報の漏えいの場合、その影響は深刻である。国防機密なら国民の生命や財産に関わるし、経営や事業の機密情報なら将来を含めた利益を逸失することになるのはいうまでもない。

●セキュリティ対策の本質となるもの

 繰り返すが、企業・組織自体や技術立国としての日本の国益と将来性を考えても、機密情報の漏えいは深刻である。しかし、日本における情報の保護は個人情報に偏重しており、非常に危険な状況だろう。

 個人情報偏重の理由は、先述の罰則とメディアやSNSなどでの非難――つまりは、「怒られるから」という単純な動機にたどり着いてしまう。また、目に見えないサイバー攻撃は複雑で怖いという感覚から、当事者が真剣に向き合いたくないという心理も働くのだろう。しかし、これではセキュリティ対策に本来求められるリスク管理ができていないと白状しているようなものだ。

 本来セキュリティ対策をするには、その企業や組織にとって大事な情報やその所在を理解していなければならない。そして、失われたり盗られたりした場合に何が起こるかを認識していなければ、対策にどのくらいのコストや人的リソースを割り当てるかも決められない。それらをせず、個人情報保護法を理由に個人情報だけしか守らない企業や組織は、質量ともに増大し続ける脅威が渦巻く経営環境の中で、生き残っていくことは難しいだろう。

 つまり、セキュリティ対策はリスク管理の考え方をベースにしなければならないのだ。要は「何を守るべきか」「守れなかったらどうなるのか」ということをしっかりと認識することが重要だ。それができれば、セキュリティ対策の手法や方法論などの内容を詰めるだけとなり、優先順位をつけ、適切に行うことができるだろう。個別のセキュリティ対策製品をどうするかなどの方法論よりも、この意思決定こそがセキュリティを高める上で重要だ。

●セキュリティ対策の「理想」とは

 この連載では、どんなに高性能のセキュリティ対策製品であっても、それを導入するだけでは大した効果が期待できない状況になっていると述べた。さらに、セキュリティ対策を効果的なものとするには、セキュリティ人材が必要になることも述べた。

 筆者は、守る側だけではなく、実は攻撃者側も同じような状況だろうと考えている。ハッキングなどの高度な攻撃ができる技術を持った人間の絶対数は少ないからだ。育成するにもそれなりのコストや時間がかかる。攻撃者は犯罪者であり、それに時間をかけることは発覚や逮捕につながりやすい。できるだけ早く利益を上げたいと考えるのであれば、のんびりと撃者技術を教育するという余裕はないはずだ。

 攻撃の実行にそれほど高度な技術を必要としないランサムウェアの流行や、放置されている既知の脆弱性を狙う攻撃が多く発生していることは、その傍証にはなるだろう。また、攻撃者が組織的に活動する――つまり効率的に大規模な攻撃を行うなら、高度な技術者を集めるより、「エクスプロイトキット」と呼ばれるツールを利用した定型作業をこなせる人間を集めた方がいい。このようなことは、企業や組織の経営や労務管理などにおける基本的な考え方とも一致する。

 攻撃側におけるこの推測が正しいとすると、攻撃者が多くの技術やコストを費やして、強固なセキュリティ対策がなされている場所をわざわざ攻撃するとは考えにくい。より脆弱な部分を狙うことで、効率よく儲ける方法を考えるはずだ。そうなると、今度はこれまでサイバー攻撃をあまり受けることがなかった一般の利用者が巻き込まれる可能性やリスクが非常に高まるし、実際に高まりつつある。「バラマキ型」と呼ばれる、まるで爆撃機のじゅうたん爆撃のような無差別攻撃が既に発生している状況だからだ。

 このような状況では、「トップガン」と呼ばれるようなハイスペックのセキュリティ人材がいくらいても、対策は追いつかないだろう。それよりも、インターネットやITシステムを利用する利用者一人ひとりのセキュリティ意識を高める方が、より効果的だ。

これは脆弱な部分を優先して対策するという当たり前のことと基本的に同じであり、利用者が一定レベルのセキュリティ知識を身につけられれば、攻撃者側はそれだけ苦労するという理屈だ。苦労するということは、それだけサイバー攻撃が割に合わないビジネスとなるということを意味する。今後もサイバー攻撃が完全に止むことはないだろうが、筆者は一般の利用者のレベルアップがなされれば、攻撃に対する一定の抑止効果を生み、サイバー攻撃の絶対数が減少するだろうと考えている。

 つまり、筆者にとってのセキュリティ対策の理想とは、「利用者がセキュリティ技術者に守られる存在ではなく、自らを守れる存在になること」だ。これは利用者が難解なセキュリティの技術を知るべきだといっているわけではない。もちろん、利用者全員が「トップガン」ならベストだが、それを実現する魔法の杖は存在しない。利用者が自分に起こり得る脅威として、現在のサイバー攻撃やセキュリティ対策のトレンド、危険度合い、最低限の防御方法を認識していることが大切だ。それだけでも、フィッシング詐欺や標的型攻撃メールなどの攻撃を回避できる確率は高まるだろう。

 ただ、利用者が情報セキュリティを実践するためには、あまり身近ではないシステムの仕組みに関する知識が必要であり、その仕組みは特殊で複雑なことから、実践を難しいものにしている。そのため、この連載では「進撃の巨人」や「機動戦士ガンダム」「ポケモンGO」などに例えた説明を織り交ぜることで、少しでも情報セキュリティに関する利用者の抵抗感を解消したいと考えた。

 日本は他国からの侵略をほとんど受けたことがないこともあって、個人はもちろん、組織ごとにリスクを管理する文化は育ちにくい。そのため、ITシステム全般とともに情報セキュリティを専門家であるベンダーに依存する傾向が強い。政府や専門家の誰かが利用者を守ってくれるはず――これが日本型セキュリティの現実である。この現実を踏まえて利用者それぞれが当事者意識を持ち、自身で最低限の防御をできるようになることで、筆者の考えるセキュリティの理想に近づくだろう。

 このことを伝えるために、連載では1年8カ月もの時間と約16万字を費やした。どれだけの読者が情報セキュリティを身近に感じてくれたのかは分からないが、担当編集者によれば、非常に多くの人が目を通してくれていたとのことなので、そのうち何人かは感じ取ってくれたかもしれない。そして今回が連載40回という節目ということもあり、ここでいったん筆を置くことにする。

●編集部より

連載「日本型セキュリティの現実と理想」は今回で終了です。本連載のバックナンバーはこちらからお読みいただけます。

●武田一城(たけだ かずしろ) 株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

・TechTarget連載:今、理解しておきたい「学校IT化の現実」/失敗しない「学校IT製品」の選び方

・著書「内部不正対策 14の論点」(共著、JNSA/組織で働く人間が引き起こす不正・事項対応WG)

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon