| エンタープライズ:トピックス | 2002年5月29日更新 |
「最大の問題はユーザー」と指摘したシュナイアー氏
 |
|
|
|
同氏はセッションの中で,まず,インターネット上のセキュリティ状況が悪化していることに言及した。攻撃ツールが容易に入手できるようになり,また複雑さが増していることにより,セキュリティは低下しているという。
「従来のセキュリティは,脅威を回避するためのものと捉えられてきた。いわば黒白の問題だ。だが,ビジネスマインドはそうはいかない。単に回避するかしないかではなく,選択肢は大きく広がっている。灰色のシェードのようなものだ」(シュナイアー氏)
例えば現実世界の店舗では,万引きなどの犯罪に備えてタグやセンサーを付けたり,宝石のように高額な商品では保険を掛けたりといった対策をとっている。つまり,さまざまな条件を加味したうえで,セキュリティ対策がとられているわけだ。そして,「インターネット,サイバースペースも現実世界と同様だ」とシュナイアー氏は強調する。
「複雑さが増すにつれて,セキュリティは悪化していることは事実。脆弱性が不可避である,これも事実。そして,製品だけではセキュリティ対策は実現できない,これもまた事実。こうした現実のなかでは,保護,検出,対策と言う一連のプロセスこそセキュリティの基本になる」(シュナイアー氏)
だが,今提供されているセキュリティ対策や製品の多くは,脅威の回避や予防策がほとんど。この予防が失敗したとき――実際にはほとんどのケースで失敗しているのだが――に備えた検出や対応が必要だという。
その具体的な策として同氏が挙げたのが,モニタリングだ。それも,毎日のように新しい脆弱性が発見されている現在では,これらに対応できる専門家による,「マネージドセキュリティモニタリング」へのアウトソースが重要だといい,カウンターペインによる検出と対応の実例を幾つか紹介した。
同氏はまた,モニタリングにおいては,ファイアウォールやIDS(侵入検知システム)だけではなく,ネットワーク全体を見なければならないと指摘。また,攻撃相手が人間である以上,自動化してもセキュリティはうまくいかないとし,どうしても人間の介在が必要だと述べた。
「現実の世界と同じで,リスクがなくなることはありえない。ネットワークに接続すれば,いい人も悪い人も入ってくる。ここで安心できる環境を保つには,鎧や戦車,要塞に頼るのではなく,予防と検出,対策というセキュリティのプロセスをそろえることが重要だ」(シュナイアー氏)
ユーザーの意識が最大の問題
セッションに引き続いて行われた記者会見においても,同氏はたびたび,インターネットと現実世界に何ら変わるところはなく,「これだけで大丈夫」というような解決策も存在しないと強調。その上で,リカバリも含めた,深みのある防御が必要だと語った。
 |
| 「私の母もセキュリティのことは理解していない」とシュナイアー氏 |
それではと,「攻撃用のツールが容易に手に入る環境と,バグが存在するソフトウェアを提供するベンダー,パッチの適用を怠るユーザー。インターネットのセキュリティにとって,このうちどれが最大の脅威か?」という質問を投げかけると,「どれも重要な問題。だがしいて挙げれば,ユーザーが最大の問題ではないか」と言う。
「パッチを当てなかったり,やるべきことをしていなかったり,あるいは問題を軽んじていたりというユーザー自身が最大の問題。ウイルスひとつとっても,添付ファイルを削除しないでクリックして感染し,結果としてマシンをクラッシュさせるというように,ユーザー自身が問題を引き起こしている」(シュナイアー氏)
そして,セキュリティを自分自身の問題として捉えていないユーザーの意識を変えるには,「おそらく,教育しかないだろう」。
「私の母もそうで,インターネットのことやセキュリティのことを理解していない。これは大きな問題だ。解決策としては教育しかないだろうが,今の世代よりもむしろ,コンピュータとともに育つ若い世代を教育すべきだろう。これには20年くらいかかるかもしれない」(同氏)
関連リンク
[高橋睦美,ITmedia]
