セキュリティ業界、失った信頼はどう回復すべきか？

「Network Security Forum 2004」の基調講演において、NAISTの門林雄基氏は、セキュリティ業界の失われつつある信頼を回復する方法について語った。

[高橋睦美，ITmedia]

　「セキュリティ業界は既に、社会からの信頼を失いつつある」――10月30日に行われた「Network Security Forum 2004」の基調講演において、奈良先端科学技術大学院大学情報科学研究科 助教授の門林雄基氏は、セキュリティ市場の現状をこのように厳しく指摘した。

　今望まれているのは、妥当な程度に安く、簡単で、安全なセキュリティ技術である。こうして書くと至極当たり前のことだが、サプライサイド（＝ベンダーサイド）が市場を支配している現状では、その当たり前のことがなかなか実現されないという。

　たとえば、同じ技術を用いた似たような製品が、さまざまな思惑から異なるマーケティングメッセージを付けて売り込まれる。あるいは、『この製品さえあれば大丈夫』というような甘い言葉がささやかれる。こうして「情報過多に陥った結果、消費者はどっちを向いたらいいのかが分からず、混乱が見られる」（門林氏）。

　同氏がさまざまな業界の人と話を交わしたところ、今のセキュリティ業界は、IT以外の産業から見れば、まるで『セキュリティに投資しないと、後からこれだけ支払わなければなりませんよ』と脅迫しているように見える危険性があるという。この結果、実際にはそうではないにしても、セキュリティ業界は社会からの信頼を失いつつあるというわけだ。

　その信頼を回復するには、IT以外の業界の人にも分かりやすいメッセージを、技術者が責任を持って伝えていく必要がある。さらに言えば、利益追求型の戦略だけに終わるのではなく、非営利の活動にも取り組む必要があるのではないか――門林氏はこのように呼びかけた。

未来の3つのシナリオ

　門林氏は、アイザック・アシモフの『ファウンデーション』ではないが、今後のセキュリティ業界の行く末を、ためしに3通り描いてみせた。

　1つ目の「ベスト」のシナリオでは、「サイバースペースがリアルの世界よりも安全になり、安全じゃないプログラムを書くほうが難しいような状態になる。若い世代はバッファオーバーフローを知らず『それって何？』という具合」というもの。できすぎの感もあるが、この世界が実現する可能性は5％程度という。

　2つ目の「モデスト」シナリオは、文字通り、もうちょっと控えめな世界だ。それでも「サイバースペースは実世界と同じくらいのセキュリティで、セキュアプログラミングも標準的手法になる。わずかな金額でセキュリティ教育が提供され、セキュリティ市場は一極集中ではなく多極集中型を取る。政府の関与も少ない」（同氏）というもの。こちらのシナリオが現実のものとなる可能性は、15％だ。

　そして、最も実現可能性が高いのが「ワースト」シナリオである。「サイバースペースのほうが現実よりも危険で、やみ産業がサイバーの世界に移住してくる」ような状態になってしまうというものだ。

　そこではセキュリティ教育は限定的だし、市場は単一ベンダーによる独占状態に陥る。政府側が多額の投資を行って関与しても成果はでず、セキュアなIT投資に対する恩恵を蒙ることができるのはひとにぎりの人々に限られてしまう――という暗澹たる予想図だ。しかし「8割がたはこうなってしまうのではないか」と門林氏は予測する。

はやり言葉に流されるな

　それにつけても問題なのは、多くの人々がセキュリティ製品の開発に真摯に取り組み、一生懸命販売を行い、さらにはセキュリティ教育まで展開しているにもかかわらず、業界がワーストシナリオの方向に向かってしまっている点だ。そんなシナリオを現実のものとしないためには、何が必要なのか。門林氏はいくつかの処方箋を挙げる。

　1つは、「業界全体が責任を持って情報を伝え、買い手側の混乱をなくすこと」（門林氏）。

　現状では、マーケティング側の思惑に流され、そのときどきの流行のキーワードを付けて製品が提供されるケースが多いが、それゆえに「ノイズが増え、『セキュリティはわけが分からない』と言われる。デマンドサイドの混乱は予想以上」（同氏）。

　「マーケティングサイドの圧力にどう抵抗するかを、真剣に考えてもらいたい」（門林氏）。ホットなキーワードに合わせて製品を売りさばくのでは技術者としての責任に欠ける。デマンドサイドに分かる言葉での対話手段を持ち、情報を伝えていく努力が必要ではないかという。

　2つ目は、価格の暴落を防ぎ、優れた製品を市場から退場させないために「クリアリングハウス方式」を用いることだ。業界ごとに第三者の目による評価を行い、その情報を共有することによって、優秀な技術や製品が価格競争に巻き込まれることなく生き残れるようにすべきという。ひいてはそれが、社会からの信頼につながるという。

　同時に、セキュリティを構成するコンポーネントをばらばらのまま取り扱うのではなく、複数のコンポーネントを組み合わせ、検証された「プロファイル」を定義することもポイントになるという。こうして適切な組み合わせをプロファイル化すれば、インテグレーションや運用、認定取得などに要するコストの削減につながる。

　いずれにしても重要なのは、「はやり言葉ではなく、IT以外の世界の人にも分かる、技術者自身の言葉で語りかけること」と門林氏。そのためにも、利益追求型の活動だけでなく、人やドキュメントへの投資をはじめとする非営利の活動にも取り組んでいってほしいという。

　門林氏は講演の中で、オンラインメディアをはじめとするメディアのセキュリティに関する報道姿勢にも苦言を呈している。「メディアは、ノイズをたてる前にもっと考えてほしい」（同氏）。IT業界以外の人、専門家以外の人に誤解を与えるような記事も見受けられるが、「まず考えてからものを言ってほしい」（同氏）。実に耳に痛い話で、恥じ入るしかない。