ニュース
» 2007年11月14日 07時30分 公開

Black Hat Japan 2007 Briefings Report:「技術者は技術の向こうにある社会情勢にも目を向けよ」、奈良先端大山口教授 (1/3)

去る10月23日から26日の4日間、国際セキュリティカンファレンス「Black Hat Japan 2007」が開催。基調講演では、奈良先端科学技術大の山口教授が情報セキュリティにおける技術の大切さを訴えた。

[岡田靖,ITmedia]

 「セキュリティはヒトの問題? いいえ、やはり技術でしょう」。2004年に内閣官房情報セキュリティセンター 情報セキュリティ補佐官に任命された奈良先端科学技術大学院大学 情報科学研究科の山口英教授は、10月25日の「Black Hat Japan 2007」基調講演冒頭でこう切り出した。

 「情報セキュリティ管理のための新しい技術」と題した講演で、山口氏はセキュリティ技術の大切さを強調する。

 「国策に深くかかわるようになって、セキュリティ技術の重要さを改めて思うようになった。しばしば、コンサルタントたちは『技術には限界があり、最後はヒトの問題となる。だから、マネジメントをしっかりさせることがセキュリティの上で重要』といった言い方をする。どうも最近、情報セキュリティの分野では技術面以外の話題が多くなりすぎている嫌いがある。しかし、やはり情報セキュリティで最も重要なのは技術じゃないかと思う」

画像 奈良先端科学技術大学院大学の山口英教授

どの企業でもシステムが止まると「痛い」

 山口氏は、「情報システムが社会基盤化してきている」という表現で、社会おける情報システムの重要性を説明した。ビジネスの現場ではオフィスはもちろん、フィールドにもITが深くかかわるようになってくる。

 「宅配便のお兄さんの腰に付いているガジェット、例えばGPSを使った配達先のナビゲーション、不在配達票の印刷など、ここ数年で大幅に増えてきた。また、製造現場でも作業員をITで支援するシステムが広く導入され、品質や生産性が飛躍的に向上しているし、もちろんオフィスではPCを机に置いて仕事をしている。紙を使い続けているのはお役所くらいではないか」

 こうして、あらゆる業務がコンピュータ上に作り込まれているのが現状だ。つまり、「システムがビジネスそのものになっている」(山口氏)のであり、そうしたシステムが相互につながって社会基盤を構成しているという

 「結果、どこの企業でもシステムが止まると痛いことになる。われわれが気付かぬうちに『止まると痛い』システムばかりになっている」(同氏)

画像 「ビジネスそのもの」となったシステムが回避せねばならない数々のリスク

 どの分野においても、止まらない、強じんなシステムが求められるようになってきた。情報漏えいなどセキュリティ上のリスクもさることながら、運用上のリスクも高まっており、情報システム部門の役割は非常に重要なものとなっている。しかし、ここ10年ほどは情報システム部門のアウトソース化が進められており、情報システム部門の活動は厳しい状況に置かれているのが実状だ。

「人間はだらしなくて、ろくでもなくて、いいかげんなもの」

 セキュリティや運用のリスクを減らすためには、情報資産の適正管理によってリスクを把握し、それぞれに対策を講じて継続的にリスクを減らしていく活動が欠かせない。その活動の上では、3つの要素が必要になる。

画像 リスクを減らしていくための3つの要素

 「まずは技術。トラブル対応時には、どこまで技術面でカバーできるのか。ここでは、事業継続まで含めた広い視野で、技術のあり方について考えなければならない。そして社会システムとの適合。法制度まで含めた社会システムに、どうやって対応していくのか。その関係を調整するのがマネジメント。単一要素にのみ頼ることはできない。こういう文脈の中で技術が語られるようになってきた。技術の側に立っている人々も、そろそろ知るべきだろう」と山口氏は言う。

 情報セキュリティでいえば、リスク評価を行い、そのリスクに対して戦略計画を立案し、ビジネスプロセスに組み込んで、定着させるために研修や訓練を行うという流れがある。システム上の対策を講じて完了、というわけではない。

 「例えば、バックアップからのリストアを考えてみれば、後半のプロセス化とトレーニングが重要であることが分かる。いくら適切にバックアップを取っていても、リストア作業が確実に行えるかどうか分からない。日ごろやっていないことは、いざというときにできないものだから」(山口氏)

 山口氏は、トラブル対応手順に準じた行動を日常的なルーティンに入れておくことが重要だとする。もちろん、きちんと時間的リソースを確保しておかねばならないが、そのルーティンこそが重要というのではない。「日常的なルーティンとなったトラブル対応手順をサポートする技術ができてくることで、システムは強くなっていく」のだ。

 またトレーニングに関しても、“ヒト偏重”は望ましくないと山口氏は指摘する。

 「例えば、情報をライフサイクルで管理するために、情報が発生した段階で格付けをするように言われても、実際のユーザーがきちんとできるだろうか。わたしは最近、そういうところを人間に頼らず、RBAC(ロールベース・アクセスコントロール)に入れてプロパティマネジメントしておくべきだと考えている」

 情報が発生した段階では、将来的にどのように活用されるかを決めかねるシチュエーションもあるだろう。人によって判断の分かれる作業を人手に任せていては、どこかで穴が空いてしまうのではないだろうか。「そこは、テクノロジーで何とかしなくてはいけない部分だ。だいたい人間というものは、だらしなくて、ろくでもなくて、いいかげんなもの。日ごろからセキュリティを強く意識している人なんて、ほんの一握りしかいないのだから」(山口氏)。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -