デジタル社会における警戒の重要性：Opinion

ネットワークへの攻撃を100％防ぐことは不可能だ。われわれにできるのは、効果的に攻撃を検知し、速やかに対応することだが、それには連続的かつ即時性のある「警戒」が不可欠になる。

[Bruce Schneier，ITmedia]

　社会は犯罪を防ぐことはできない。社会にできることといえば基本的に、事後に犯罪を検知することだけだ。しかし人々が警戒を怠らなければ、進行中の犯罪を検知し、それに対応することができる。運が良ければ、犯罪者を現行犯で逮捕できるかもしれない。

　コンピュータネットワークでも事情は同じだ。ネットワークへの攻撃を防ぐことはできない。暗号化、ファイアウォール、認証メカニズムといった予防技術を配備することは可能だが、これらは完璧と言うには程遠いというのが実状だ。攻撃者はソフトウェアの欠陥に付け込んだり、予防技術を迂回する手段を考え出したり、ソーシャルエンジニアという手法を使って予防技術をすり抜けたりする。セキュリティを維持する唯一の方策は、検知と対応という手段を活用することである。

　筆者は4年以上前に、この種のセキュリティを全世界のネットワークに提供するためにCounterpane Internet Securityを設立した。その後、「Managed Security Monitoring」は重要なITセキュリティサービスへと成長した。Counterpaneを利用する顧客企業の大多数は、自社のIT部門だけでは検知・対応体制を実現できないという。その理由は、警戒が容易でないという点に尽きる。

　警戒とは連続性を意味する。検知と対応を効果的なものにするには、毎日24時間体制で臨む必要がある。警備会社は24時間の警護サービスを提供している。セキュリティアラームの監視会社が週末に休んだりはしない。デジタル世界でも同じことだ。「ハッキングの試みはすべて、祝祭日を除く月曜日から金曜日の午前9時から午後5時の時間帯のみに限定するようお願いします」というスプラッシュ画面をネットワークコネクションに貼り付けても意味がない。攻撃者には彼らのスケジュールがあるのだ。

　攻撃は都合の悪いときにやってくることが多い。犯罪的なハッキングは大学の学期のパターンに対応しているようだ。銀行のATMやクレジットカードなどに関連した商業詐欺は、人々が普段以上にお金を必要とするクリスマスシーズンに増加する傾向にある。頭の良い犯罪者は、会社の業務が週末の休みに入る金曜日の夕方、あるいは祭日が重なる週末にネットワークを攻撃する。

　警戒は即時性も意味する。セキュリティのあらゆる面において、タイムリー性は絶対条件とも言える。攻撃が発生してから1週間後あるいは1時間後に検知するよりも、現在進行中の攻撃を検知する方がはるかに効果的だ。来月ではなく今、システムをアップグレードして脆弱性に対応する方がずっといい。対応が遅れるのは、何も対応しないのと同じという場合もある。

　警戒は準備をも意味する。検知・対応チームは、攻撃発生時に何をすべきかを心得ていなければならない。企業が新型ワームに襲われたり組織的攻撃を受けたりすると、システムを復旧するのに何日もかかることがある。プロセスが自動化され、例外が減少すると、人々は対応の方法を忘れてしまう。Managed Security Monitoringサービスは、定期的に攻撃が発生し、常に対応訓練をしている場合に有効だ。

　1社だけでは、このような警戒体制を実現することはできない。Managed Security Monitoring（MSM）サービスではそれが可能だ。

　24時間体制の各シートには、訓練されたセキュリティアナリストが6人必要とされる。組織的攻撃に対処するには、6人のアナリストが注意を払う必要があるからだ。1社だけでは、これらのアナリストが必要とされる数少ない事態に備えて彼ら全員を雇っておく余裕はない。MSMサービスでは、必要なときにこれらの人々を配備することができる。MSMサービスでは、新しいセキュリティ対策を積極的にテストする、新しい侵入ツールを分析する、ハッキング手法や製品の脆弱性に関する最新情報を把握するといったことも可能だ。さらにMSMサービスでは、1社のネットワークだけでなく、広範なインターネットの状況を見渡すことができる。

　CounterpaneのMSMサービスの特徴は、ネットワークの境界部だけでなくインフラ全体を監視するという点にある。Counterpaneは、300以上のデータソースおよびカスタムアプリケーションのデータを監視している。競合他社の場合、多いところでもその数は30に過ぎない。Counterpaneのサービスはインストールも簡単で、エージェントを必要としない。また、監視対象のネットワークにおいてインテリジェントフィルタリングと短期的相関関係の分析を実施するため、パフォーマンスに影響を与えることなく高いセキュリティを提供することができる。

　IT以外の分野では、セキュリティをアウトソーシングするのが普通だ。警備員を直接雇う企業は極めて少なく、どの企業も警備会社を利用している。銀行は、装甲車を保有する専門業者に現金輸送業務を委託している。また企業各社は、業務慣行の安全性をチェックするために外部の監査役を雇っている。コンピュータとネットワークのセキュリティの場合も同じだ。それは複雑で重要で厄介なものであり、警戒が必要とされる。この警戒を提供できるのは、Managed Security Monitoringサービスのプロバイダーだけである。

　Counterpaneは、世界各国の広範な業界（財務、医療、ハイテク製造業、ローテク製造業、航空、政府関連）で実績を示してきた。インテック コミュニケーションズとの提携を通じて、セキュリティに関するCounterpaneのノウハウを日本にも提供する予定だ。

筆者のブルース・シュナイアー氏は、MSMサービスを提供するCounterpane Internet SecurityのCTO。近著に「Beyond Fear: Thinking Sensibly About Security in an Uncertain World」がある。同氏のマンスリーレターはhttp://www.schneier.com/crypto-gram.htmlよりサブスクライブ可能。