第40回 なぜ日本で理想的なセキュリティ対策が実現しないのか？：日本型セキュリティの現実と理想（2/5 ページ）

[武田一城，ITmedia]

セキュリティ対策の「本当の理想」とは？

　この本質は、サイバー攻撃の被害者やセキュリティ対策に従事する人々にとって、非常に悲しい現実だ。人間の欲が攻撃などの脅威をもたらすという前提をまず理解し、「脅威のない世界」などと都合のいいセキュリティ対策の理想が存在しない現実を受け入れる必要がある。

　それでも手間とコストをかけて、何らかの具体的なセキュリティ対策を実施するのだから、一定のゴールを定めざるを得ない。実際の落としどころという意味なら、そのゴールがセキュリティ対策の「本当の理想」と言うことになるだろう。筆者はそのゴールを「攻撃者の動向を理解した上で的確に対応し、攻撃者が最終的な目的を達成する前に、防御側が確実に止めること」だと考える。

　しかし、現実的な落としどころとしての「本当の理想」ですら、なかなかうまくいかない。仮に、セキュリティ対策が的確に実施され、「本当の理想」が実現されたとしても、さらに悲しい別の現実が存在する。それは、「攻撃されたことでセキュリティ担当者が非難される」という状況が散見される現実だ。

　現在のサイバー攻撃は、昔のようにファイアウォールなどの対策で組織内部のシステムやネットワークへ一歩も入れさせない「境界防御」による思想が通用せず、外部からの侵入をゼロにすることは不可能だ。その状況で仮に一部の侵入を許しても、被害を最小限に抑えられたなら充分な成果であり、その成果を得るために尽力したセキュリティ担当者は称賛されてよいはずである。

　だが、先に述べた前提も現実も受け入れず、あり得ないセキュリティの理想を抱き続ける人は、「多くの対策コストをかけたのに100％防げなかった」とみなし、減点材料にしてしまうことがある。経営者や管理者がセキュリティ対策への理解に乏しい場合には、「対策にコストを費やしたのだから、何も起きなくて当然」と考え、セキュリティ担当者を非難してしまうのだ。

本当のセキュリティ対策の理想と現実

　つまり、現在の状況はセキュリティ担当者が目指す「本当の理想」からも程遠いものにならざるを得ない。さらに、「本当の理想」を実現して被害をゼロにしたとしても、それらの状況を理解しない第三者からすると、それは平常であったということに過ぎない。このように、どちらに転んだとしても、どこまでもセキュリティ担当者は報われない存在なのだ。