第40回 なぜ日本で理想的なセキュリティ対策が実現しないのか？：日本型セキュリティの現実と理想（1/5 ページ）

この連載を1年8カ月にわたってお届けしてきた。最終回は、主題である「日本型セキュリティの現実と理想」について言及しながら、日本のセキュリティ対策が理想的なものにならない理由と理想的なものにしていくための方向性を筆者なりに示してみたい。

[武田一城，ITmedia]

なぜ「日本型セキュリティの現実と理想」なのか

　物事の理想と現実の隔たりを語る際に、よく「××の理想と現実」などと表現する。先に何らかの「理想」があり、その理想に比べて「現実」がどれほど離れているのかを述べるためだ。しかし、この連載の題名は「日本型セキュリティの現実と理想」であり、「理想」ではなく「現実」が先にある。その点を不思議に感じた読者もいたのではないだろうか。

　これには理由がある。セキュリティ対策とは、サイバー攻撃などの脅威があって、初めて必要になるからだ。攻撃されなければ、そもそも防御は必要ない。セキュリティ対策の理想とは、脅威が存在しないということである。しかしその理想は、いくら願っても実現しないだろう。サイバー攻撃や内部不正といった脅威は、人間の欲が引き起こすものだからだ。極論すれば、脅威のない世界が実現するとしたら、全ての人間が無欲になるしかないだろう。

　またセキュリティを語る際に、人間は誰も悪いことをしないという意味で「性善説」という言葉が使われるが、このような使い方は誤用だ。本来は、性善説だろうと、性悪説だろうと、「結局人間は悪事を働いてしまう」という前提は変わらない。説明のアプローチが異なるだけで、どちらも人は正しい道徳を身につける必要があると述べている。つまり、「（誤用の）性善説」に立ったセキュリティ対策というのは、人間が存在する限り成立しないのだ。

　だから、人間が人間である限り、誰もが悪事（攻撃）に及ぶ可能性があるという前提に立てば、上述したセキュリティの理想というものは存在し得ない。そのため、連載の第1回は「セキュリティインシデントが繰り返される理由」という内容から始めた。まずは、セキュリティ対策の現実を読者の皆さんに理解してほしかったからだ。

　しかし結局は、人間が幾度となく戦いを繰り返してきた世界の歴史が示すように、サイバー攻撃とセキュリティ対策の関係に終わりが来ることはない。情報セキュリティの本質とは、「永遠に続くいたちごっこ」なのである。