情報セキュリティ分野は、攻撃手法がどんどん巧妙になっている。これにより被害は年々増加しているということを裏付けるデータは多い。しかし、これは目に見える被害だけだ。公表もされず気づかれてもいない目に見えない被害こそ問題だ。私たちが把握できている被害などはごく一部で、まさに海面には全体を見せない氷山の一角でしかないのかもしれない。
しかも、現在の情報セキュリティ分野の被害が、前項の交通事故死亡者数のグラフにある1970年のような状況であり、今がピークというのであればまだよい。残念なことに、これからさらに被害が広がっていく可能性の方が高いと思われる。
筆者がセキュリティ分野の有識者やトップレベルの技術者から聞いている話では、攻撃側はどんどんとノウハウを溜め込み、より優位に最小の作業やリスクで、最大の効果を挙げられるようになっている。しかし、このような攻撃者に対して、私たちのような防御側はずいぶん昔の防御思想や対策のままのようだ。現在も攻撃と防御の差がどんどん拡大している。重要な国家機密や世界レベルの技術情報、その他のさまざまな重要情報がどんどん漏えいし、情報が漏えいしていることにすら気づかないという最悪の事態になっているのかもしれない。
しかし、日本にはまだ可能性がある。例として説明した交通事故死亡者の推移だ。残念ながら被害者がゼロになったわけではないが、過去最悪の時期に比べて4分の1未満に減少できたのだ。つまり日本には、時間をかけて技術革新と安全性を両立させた実績が、別の分野ながらすでにあったのだ。
筆者は、一定レベルで「交通安全」を実現したように、「情報の安全」も実現できると考えている。もちろん法整備や高度な技術の開発、それらの普及などやらなくてはならないことは目白押しだ。特に公的機関や企業、個人それぞれの層で、身の丈に合ったセキュリティ対策や意識向上が不可欠である。
我々の世代やそれ以上の若い世代、それより上の世代も、子どもの頃から交通安全に対する教育を受け、法整備(道路交通法など)としてシートベルトの義務化や飲酒運転の厳罰化、取り締まり強化などが行われてきた。自動車メーカーも全方位エアバックや衝突安全回避機能などの安全技術を確立させ、この3つの柱(教育・法整備・技術革新)で交通安全を実現したのである。
これらを情報セキュリティに置き換えると「セキュリティ教育と人材育成」「(ハッカーなどを取り締まる)法律の整備」「ベンダーによる対策技術向上」の3つの柱になる。
このように日本は、大きな3つの柱で情報の安全を守るセキュリティを高めていけるはずだ。情報セキュリティは目に見えず、対策の手法や技術も交通安全とは異なるが、「安全にする方法が分からない」状況から、被害を数分の一にして、(以前に比べて)安全にしていくプロセスやそのロジックの構造は同様である。交通安全ではさまざまな試行錯誤を繰り返して年間1万人以上の人間の命を救ったように、産官学その他の知恵を結集して日本のセキュリティを高めていかなくてはならないのである。
次回からやっと本題に移る。セキュリティの歴史をひも解く最初として筆者が「セキュリティの草創期」と位置づけている2000年頃の話や当時の対策トレンドなどを説明する。
1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。
Copyright © ITmedia, Inc. All Rights Reserved.