ニュース
2004/04/07 01:35 更新


ビジネス上の問題が解決されなければセキュリティは向上しない、ブルース・シュナイアー氏講演

世界的な暗号学者として知られ、米CounterpaneのCTOを勤めるブルース・シュナイアー氏は講演で、セキュリティを高めるには「技術よりもビジネス上の問題に目を向けるべきだ」と主張した。

 「コンピュータセキュリティは敗北している」――世界的な暗号学者として知られ、米Counterpane Internet SecurityのCTOを勤めるブルース・シュナイアー氏が来日し、4月6日都内で講演した。敗北の原因は、技術の問題にあるわけではないと同氏は語る。「セキュリティを高めたければ、技術よりもビジネス上の問題に目を向けるべきだ」。

 現在、インターネットを利用するには、セキュリティが重要だと認知されるようになってきた。市場には多くのセキュリティ製品が出回り、活況を呈しているかにみえるが、その現状は「製品が役に立っていないように思える」とシュナイアー氏は言う。なぜなら、攻撃は年々悪化する一途にあるにからだ。しかも「製品は優れているにもかかわらず」。

ブルース・シュナイアー氏

同氏がCTOを勤めるCounterpane Internet Securityはインテック コミュニケーションズと提携し、国内でもマネージドセキュリティサービスを展開する。今回の講演はその発表と合わせて行われた。


 同氏によれば、セキュリティを高めるための問題は技術にあるのではない。最大の敵はそのためのコストにある。企業がセキュリティを確保するためのコストと、確保しないためのコストを比較して、セキュリティへの投資は見合わないと判断しているという。

 「会社の視点に立ってみれば、セキュリティは良い投資に見えない。セキュリティを向上するには、明らかに多くの投資を必要とするし、利便性も損ねる。そうすれば多くのユーザーが不満に思うだろう。反面、問題を起こせば、新聞に悪い報道をされるし一部の顧客からは不満がでるかもしれない。規制というプレッシャーもある。だが、このコストと効果のバランスが後者に振れるようになれらなければ、企業がセキュリティのために投資を行うはずがない」

 この理論はソフトウェアベンダーの動きにも当てはまる。「マイクロソフトがWindowsのセキュリティを高められない問題も技術的なところにはない。コストの問題、ビジネス上の問題でできないのだ」。企業がパッチを適用しない理由も、セキュリティリスクよりもパッチを当てる方がコスト高になるためだという。

CEOにはリスク管理のツールが必要

 「解決なければならないのはビジネス上の問題だ」。

 この課題を解決するため、シュナイアー氏は「まずはCEOの目をセキュリティに向けさせなければならない」と説く。そのための方法として同氏が挙げたのは、規制(Regulation)と責任(Liabilities)、競合(Competition)の3つ。中でも同氏が強く提案するのは「責任」だ。

 同氏の言う責任とは、説明責任を課すということ。企業のCEOに説明責任が課されるようになれば、ソフトウェアベンダーは製品の欠陥に対し責任を持たなければならなくなり、企業は顧客のデータの処理を誤ればそれに対する説明責任が生じてくるという考えだ。既に米国では、プライバシーの流出を起こせばCEOが訴追の対象になるといい、日本でも個人情報保護法の施行を目の前にしており、社会全体がその方向に動きつつある。

 具体的にこの「責任」がセキュリティの向上につながるステップをシュナイアー氏は4段階で考えている。第1段階は、前出の説明責任を「課す」ということ。ただ、複雑な問題に対する責任分担をどうするか、国をまたがるインターネットの性質上統一が難しいなどといった問題も指摘している。

 第2段階は責任の「割り当て」としている。この段階では、実社会同様、保険が強い影響力を持つようになるという。保険がセキュリティに関するコストを既知のコストに変え、セキュリティ市場を牽引するようになるというわけだ。「コンピュータセキュリティ保険は近いうちに火災保険と同じくらい一般的になる。CEOは保険を主要なリスク管理ツールとして利用しており、実社会のように保険会社がセキュリティ市場をドライブするようになる」とシュナイアー氏。

 第3段階は、この仕組みをリスク削減につなげるというもの。セキュリティビジネスは、企業ごとに要件の異なるカスタムソリューションとなる面が強い。そのため、企業にとってはコストがかさむし、リスクを定量化することは難しい。そこで活躍するのが、セキュリティのアウトソーシングだという。アウトソーシングがベストプラクティスを標準化し、リスクの定量化を可能にする。保険業界もそれを求めているという。

 シュナイアー氏が第4段階として語るのは、教育と訴追だ。「実社会でも教育だけでは犯罪はなくせない。だから規制を設け、合法的な社会の一員になろうとする。しかし、現在のインターネットというと、無法地帯だ」。同氏はその状態を戦国時代のようだと表現する。豊かな企業だけがセキュリティを高められ、それ以外の企業や個人はそうすることができないからだという。しかも、情報を盗もうとする攻撃者は、セキュリティ弱いところターゲットにする。そのためには、インターネットを法治社会にする必要があるし、なぜ法が必要なのかを教育する必要があるというのだ。

 「セキュリティは必要悪じゃない。最善の方法は、実社会と同じようにリスクを管理していくことだ」。シュナイアー氏はこのように述べた。

 同氏がCTOを勤めるCounterpane Internet Securityはインテック コミュニケーションズと提携し、国内でもマネージドセキュリティサービスを展開する。

関連リンク
▼Counterpane Internet Security
▼インテック コミュニケーションズ

[堀 哲也,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.