セキュリティ対策をしているにもかかわらず、標的型攻撃による情報漏えいなどのインシデントが後を絶たないのはなぜか――。業界通の筆者が、その理由を歴史からひも解く渾身の新連載。
セキュリティ対策をいくら実施しても、セキュリティインシデントは繰り返される。もちろん未来永劫、完璧に防御することはできないが、なぜこのようなことが繰り返されるのだろうか。答えは意外に簡単だ。攻撃者側のスキルやノウハウが日々向上しているにもかかわらず、防御側は相変わらず10年も前の防御思想のままなのだ。情報技術は、まだまだ非常に早いスピードで進化している。このままではだだ漏れのセキュリティ対策により、日本は世界から信頼を失い、また重要で有益な情報を盗まれ続け、どんどん力を失っていくしかない。
本連載は、現在のような状況がどうして発生してしまったかについて、それほど長くはないここ十数年の情報セキュリティの歴史とともに分かりやすいたとえ話などを交えて解説していく。技術的なバックボーンがない方にも理解していただけるようセキュリティ対策の現状とでき得る対策をひも解いてみたい。
2015年6月1日、サイバー攻撃により日本年金機構から125万件の個人情報が外部へ流出したことが発表された。この事件で懇意にさせていただいている先生方やセキュリティ業界の著名人の方々がニュース番組などに多数出演している。
ここ数年だけを見ても、2011年の三菱重工への標的型攻撃による防衛機密情報漏えい事件を皮切りに、ヤフーのID漏えい、ベネッセの内部不正、今回の日本年金機構の事件など、毎年のように大きな事件が発生している。そして、今後もサイバー攻撃などによるセキュリティインシデントは止まることはないだろう。サイバー攻撃を仕掛けるハッカーはどんどんノウハウを蓄積しており、より効率的にITや情報セキュリティの専門家もだませるような、重要な情報を入手しやすい巧妙な攻撃手法をどんどん生み出している。実際、一定以上のレベルで対策をしていたとしても、非常に優秀な技術者とコスト、時間をかけた本格的な攻撃を完全に防御するのは至難の業といわれている。
現状は、それほどセキュリティに詳しくない人からすると“異世界の話”のように聞こえるだろう。そして、「いくら対策していても、なぜセキュリティ事件が繰り返されるのか?」と、率直な疑問を抱くだろう。ほとんどの人は、ニュース自体は知っていても、何が原因で何が起こっているのか理解することは難しい。
対策をするにも、起きた事件のケースでのみ防御できるごく表面的な対策を続けてきたというのが、セキュリティ市場の歴史と言っても過言ではない。例えるなら、何らかの事件が起こるたびに、ザルの数百もの穴のいくつかを都度ふさいでいるような状況だったのだ。
もちろん、かく言う私自身もセキュリティ製品ベンダーとして、そのような動きに乗じたことがある。しかし、この市場構造を理解していない者ではこのマーケットで生き残ることは難しい部分もあり、そのためにかえってセキュリティ対策が停滞してしまう可能性があるかもしれない。また、以前の環境ではそれで十分に対策として機能していた時期もあったが、現状では、その弊害が目に余る状況となっている。
セキュリティ業界のマーケティングに携わる者として、早急にこのような火事場泥棒のようなマーケット構造を是正しなければ、ハッカーのみに都合の良い世の中になってしまうと強い危機感を抱いている。
Copyright © ITmedia, Inc. All Rights Reserved.