筆者:佃 隆
先日、知人に「面白い」と紹介されかつ題名が興味をそそった書籍「情報セキュリティの敗北史~脆弱性はどこから来たのか~」を一読しました。
自分は以前から、これだけ色々な組織や国家がトラブル撲滅に注力しているのに、一向に発生が抑制されず、むしろ事件の発生や被害が増加しているのは何故かと不思議に思っていました。そういった気持ちから興味を持って一読したわけですが、色々な示唆に富む内容でこの書籍の内容や自分の考察をコラムにまとめて見ました。
書籍概要
1.登場する情報セキュリティに関係する主要イベント
□:稼働、○:防御側【調査・論文・対策標準】、●:攻撃側【個人、組織、国家】
1967年:□最初のTSSシステム稼働
(マルチユーザによるセキュリティ脆弱性の発端)
1969年:□最初のインターネット稼働
(TCP/IP主流⇒利便性を追求しセキュリティ未考慮)
1972年:○ウェアレポート提出
(セキュリティについて技術・政策両面からの最初の調査)
1972年:○アンダーソンレポート発表
(複雑性が脆弱性を生み当初からセキュリティ考慮が重要)
1975年:○論文「コンピュータシステムによる情報の保護」発表
(機密性,完全性,可用性の3要素)
1978年:●最初のスパムメール発生
(コンピュータ関連の宣伝目的のメール)
1988年:●最初のコンピュータウイルス発生
(ネットを通じコンピュータ間での感染)
1990年:□最初のウェブサーバ稼働
(HTTPによるサーバ/クライアント間の情報共有)
1990年:○論文「安全なインターネットゲートウェイの設計」発表
(ホスト型から境界型への転換点)
1999年:○論文「なぜジョニーは暗号化できないのか」発表
(ユーザインタフェースの重要性提示)
2001年:●大規模なインターネットワーム発生
(ニムダ⇒MS製品を標的ににした攻撃)
2009年:●大企業を標的にしたゼロディ攻撃発生
(オーロラ作戦⇒中国APT1による攻撃)
2014年:○NISTがCSFを公表
(リスクベースのセキュリティマネジメント)
2017年:●全世界が感染したワーム発生
(ワナクライ⇒ランサムウェアのゼロディ攻撃)
※新しい技術をその脆弱性を知りながら利便性を優先して利用してきた結果として、攻撃・防御の「イタチゴッコ」が繰り返されてきた歴史を俯瞰的に語っています。
2.現在の情報セキュリティ概観的な3つの状況
- データ漏洩
データ利用の爆発的な増大に伴い億人単位での情報漏洩頻発 - 国家のハッキング
国家レベル(米・中・露)で実施されるハッキング活動に個人や企業が十分に対応出来ていない - 認知的閉鎖
多数派の見解と矛盾する情報は信じないとする状況・風潮
※現状、上記の3つの状況から情報セキュリティの脆弱性抑制は、頑張ってはいるが十分な効果を発揮できていないと著者は評価しています。
3.著者による主張(仮説)
過去の歴史や事件(上記の1.主要イベント参照)が、現在の問題状況(解消されない脆弱性)をもたらしているとしています。
この状況は、経済学や社会科学で言うところの「経路依存性(ある瞬間に取り得る一連の選択肢は過去に行われた選択によって制限される)」に陥っているとし、この状況から抜け出すためには、問題の本質に対応するアプローチが必要であると主張しています。
4.情報セキュリティ脆弱性抑制の本質アプローチ
本質アプローチを実施するに当たって、情報セキュリティは数百年の歴史を持つ物理・科学・天文学に比べて、非常に若い分野(研究開始から50年程度)であることを考慮しなければならないとしています。
従って情報セキュリティ分野で脆弱性の抑制を実現するためには、焦らずに成長に伴う痛みの経験を今しばらく続ける覚悟をもった上で、俯瞰的かつ長期的な観点で過去の歴史を分析・評価・検討した結果導き出された、以下の4つのアプローチを提言しています。
- 複雑性への対応
「偶発的複雑性」へのアプローチでの改善が有効 - 集団的な取組み
失敗やニアミスに関する情報共有を更に進める。 - 攻撃と防御のバランス
保護・検知・対応のバランスを再調整する必要がある。 - 合理性の問い直し
人の合理的行動を前提の施策を実施するには合理性に対する正しい認識・理解が必要
5.まとめ
プロイセンの将軍であるクラウゼヴィッツの「戦争論」を引用し、情報セキュリティ分野においても歴史から「洞察を得て」、従来の「常識や思い込みを排除」し、行動を「俯瞰的視点から高度化」させることを目標にすべきとしています。
所感
情報セキュリティについて俯瞰的な視点で、発生から今に至るその歴史とそれに起因する課題を簡潔にまとめる一方で、身近な事例(パスワード問題など)を元に分析・評価することで、脆弱性が解消されない根本原因を導きだしています。
読者である自分としても、どんどん複雑性を増すことで「パスワードの強さ」を求めるセキュリティ対策に「辟易」として、つい同様なパスワードを安易に流用している心理を言い当てられたと感じ、根本原因に至る論理展開に同感しました。
脆弱性解消の具体策までは言及していない点は物足りなくもありますが、課題解決に向けた方向性は示しています。
「情報セキュリティの敗北史」というタイトルから、読み始める前はネガティブな内容かと少し心配していましたが、決してそういう内容ではなく読み終えてポジティブな気持ちになりました。それは本書が、歴史を振り返るという俯瞰的な視点での冷静な分析と改善に向けた方向性を示し、各読者に考察を促しているからと思われます。
そこで自分としても、脆弱性抑制の4つのアプローチについて考えてみました。
「脆弱性抑制」の4つのアプローチについて
1.複雑性への対応
本書では「偶発的複雑性」へアプローチすることでの改善が有効であるとして、ツールの中に判断要素を埋込むなどで「判断を減らす」方法や、二人で判断することでリスクを軽減する方法を提示しています。複数人対応によるリスク軽減は、自分も実際のプロジェクトでの成功体験があり、良い方法だと考えます。
2.集団的な取組み
本書には「失敗やニアミスに関する情報共有を更に進める」ことを提唱しており、特に産・学間での情報共有が有効であるとして「航空分野」での対応を良い例として取上げています。
読者としてこの「失敗」というキーワードから自分が長年関与してきた「失敗学」の考え方や方法の活用が有効ではないかと思い至りました。失敗に三現(現地・現物・現人)でアプローチして、「仮説を立てて実行し検証する」するという失敗学の概念を上手く活用すれば、情報の質を高め、関連組織(例:産業分野とアカデミア分野)間で情報を共有することが実現出来るのではないでしょうか。
また失敗学では、活用のためのツールや方法がいくつか示されています。最近出版された「DX失敗学」では、「失敗原因曼荼羅図」を活用してセキュリティ分野での失敗などについて原因分析や対応策検討を述べており、具体的な手法として実践してみたくなりました。
3.攻撃の防御のバランス
本書では、保護・検知・対応のバランスを再調整する必要があるとしていますが、従来の保護編重から脱却して、検知・保護視点も含めて対応するという最近の防御側の対策(セキュリティの「フレームワーク」や「標準」そしてリスクベースの「CSF」設定)は、「妙薬」として評価しているのは注目に値し、自分としても本書と同様に改善の方向性は正しいと考えます。
ただし成熟にはまだまだ課題があり時間がかかるとしています。この点についての具体策は本書では提示されていませんが、我々が実践の中で経験やノウハウを積み重ねていくことが求められていると考えます。
4.合理性への問い直し
本書では、セキュリティの脆弱性抑制で重要視される人的要素において、人が「合理的行動をとる」前提で各種の施策を取ってきていますが、過去の「合理性」の判断基準が正しかったのか、と疑義を提示しています。
従って今後、判断基準を定める上では、過去の歴史や他分野の知見に目を向ける必要があるとしていますが、実践していく具体的施策は書かれておらず、②のアプローチと組み合わせて失敗を繰り返しながら適宜基準を見直していくしかないのかも知れません。
| 参考 | 情報セキュリティの失敗史 | 著者:アンドリュー・スチュワート | 白揚社:2022年10月発行 |
| 新失敗学 | 著者:畑村洋太郎 | 講談社:2022年5月発行 | |
| DX失敗学 | 著者:佐伯徹 | 日経BP社:2023年10月発行 |
