コンピュータ・セキュリティは「再発防止」から「未然防止」へ向かうか

no extension

最近なかなか印象的な記事が出た。

コンピュータやネットワークのセキュリティは「ウイルス対策ソフトやファイアウォールを入れておけば安心」という時代ではなくなった。 というか情報の可搬性が増すにつれ, それを扱う人の問題になってきた。 日本でそれを象徴的に示したのが Winny (ここでは Share 等の Winny 系ファイル共有ツールも含む)およびそれを媒体とするウイルス(ここではワームやトロイの木馬等も含む)による情報漏洩騒ぎだ。 しかも某政治家や一部のセキュリティ専門家が「Winny を使わなきゃいい」みたいな(実際にそう言ったわけではないが,そう受け取られかねない)発言をするもんだから話が捩れる捩れる。 そして現在にいたってもその被害は収束する気配がない。 なんでこうなってしまったのか。

(これまで何度も書いたことだが)セキュリティはハザードではなくリスクで考えなければならない。 しかし人は「科学的評価リスク」ではなく「リスク不安」で行動する(「科学的評価リスク」や「リスク不安」などについては一年前の記事を参照)。 そして, ここが大切なのだが, コンピュータやネットワークのセキュリティ・リスクには「科学的評価リスク」が存在しない。 そこにあるリスクを定量的に表すことができないのである。 (2/24 追記: 全くないわけではない(忘れていたが)。例えば脆弱性情報に関しては CVSS による定量的な評価が可能。 もっともセキュリティの要件は脆弱性だけじゃないけどね)

一年前の記事で挙げた「リスク不安が増大する理由」のひとつに「非自発的にさらされている」という項目がある。 例えば喫煙リスクは(喫煙者にとっては)自発的な行為(と思い込んでるもの)なので, リスクが低めに見積もられる傾向があるそうだ。 Winny も同じ。 コンピュータ・ソフトウェアというものは殆どの場合は自発的にインストールして利用するものだ(まぁ「パソコン」を共有している場合は他人が勝手にインストールしちゃうこともあるだろうけど)。 つまり, そのユーザはインストールしたソフトをコントロールできていると思い込んでいるわけだ。 しかし今時の特にネットワークに繋がるソフトでソフト自体やその上で交わされる情報が完全にユーザにコントロールできるものなどほぼないと言っていいだろう。 別の言い方をするならユーザは(そのソフトから得られる)利便性と引き換えに自ら進んで情報のコントロールを手放している(つまりセキュリティ・リスクを増大させている)わけだ。

まぁこれが個人の話なら近年流行りの「自己責任」とやらで片付く話かもしれないが (実際にはここで言う「自己責任」なるものは『下流志向』で言う「自己決定フェティシズム」であり, 私から見れば嗜癖者の典型的行動パターン(コントロールの幻想)だ。 「嗜癖は中毒ではない。人は好きで嗜癖する」), 企業やその他の組織ではそういうわけにはいかない。

これまでセキュリティ専門家やセキュリティ対策企業が提供してきたものは, あるインシデントが発生した際の事後処理(インシデント・レスポンス)の方法である。 それはあくまでも「再発防止」という観点で構築されるものだ。 ウイルス対策ソフトやファイアウォールといったセキュリティ関連ツールも「再発防止」という観点で設計・運用される。 もちろん「再発防止」は大事なことだ。 しかし「再発防止」で防げるのはあくまでもハザードだけだ。 しかもなんでもかんでもハザードで片付けようとするから運用が捩れてくる。

Winny 騒動がもたらした教訓は, リスクを引き上げる主な要因になっているものは(上述したように)人の活動であり, それゆえに「完璧なセキュリティは不可能」だということだ。 そこでようやく最初に挙げた2つの記事にたどり着く。 この2つの記事が示しているものは, 製造業ではトヨタを筆頭に導入されつつある「未然防止」の考え方だ。

「未然防止」といっても, あるんだかないんだか分からないものを防止することはできない。 だから「未然防止」ではまず「あるんだかないんだか分からないもの」の輪郭をはっきりさせ見えるようにする。 セキュリティ対策の費用対効果, 「守れないルール」は何故守られないか, 等々。 そういったことを洗い出していく過程でインシデントの発生メカニズムを明らかにし, それを「未然防止」する業務プロセスを構築していくのである。

「セキュリティはプロセスである」とはよく言われることだが, これまでセキュリティ専門家もセキュリティ対策企業も本当の意味でセキュリティをプロセスとして捉えていなかった。 それは某政治家の「情報漏洩を防ぐ最も確実な対策は、PCでWinnyを使わないことです」なんてな発言に端的にあらわれている。 Winny を使う人はリスクを知らないで使っているのではなくリスクを引き受けることを「自己決定」しているのだから, 「Winny を使うな」という啓蒙活動に効果があるはずもないのだ。

まぁ(専門家はともかく)セキュリティ対策企業が今後どう変わっていくかは分からない。 おそらくツールやインシデント情報の提供だけではなく, もっと業務プロセスに踏み込んだコンサルタント的な内容にシフトしていくんだろうけど, 変な方向にずれていく可能性もありうる。 今年はそういった部分も注目かもしれない。

最後に毎度のことながら, この本を参考文献として挙げておく。

トヨタ式未然防止手法・GD3
吉村 達彦著
日科技連出版社 (2002.9)
通常2-3日以内に発送します。