第40回 なぜ日本で理想的なセキュリティ対策が実現しないのか?:日本型セキュリティの現実と理想(5/5 ページ)
セキュリティ対策の「理想」とは
この連載では、どんなに高性能のセキュリティ対策製品であっても、それを導入するだけでは大した効果が期待できない状況になっていると述べた。さらに、セキュリティ対策を効果的なものとするには、セキュリティ人材が必要になることも述べた。
筆者は、守る側だけではなく、実は攻撃者側も同じような状況だろうと考えている。ハッキングなどの高度な攻撃ができる技術を持った人間の絶対数は少ないからだ。育成するにもそれなりのコストや時間がかかる。攻撃者は犯罪者であり、それに時間をかけることは発覚や逮捕につながりやすい。できるだけ早く利益を上げたいと考えるのであれば、のんびりと撃者技術を教育するという余裕はないはずだ。
攻撃の実行にそれほど高度な技術を必要としないランサムウェアの流行や、放置されている既知の脆弱性を狙う攻撃が多く発生していることは、その傍証にはなるだろう。また、攻撃者が組織的に活動する――つまり効率的に大規模な攻撃を行うなら、高度な技術者を集めるより、「エクスプロイトキット」と呼ばれるツールを利用した定型作業をこなせる人間を集めた方がいい。このようなことは、企業や組織の経営や労務管理などにおける基本的な考え方とも一致する。
攻撃側におけるこの推測が正しいとすると、攻撃者が多くの技術やコストを費やして、強固なセキュリティ対策がなされている場所をわざわざ攻撃するとは考えにくい。より脆弱な部分を狙うことで、効率よく儲ける方法を考えるはずだ。そうなると、今度はこれまでサイバー攻撃をあまり受けることがなかった一般の利用者が巻き込まれる可能性やリスクが非常に高まるし、実際に高まりつつある。「バラマキ型」と呼ばれる、まるで爆撃機のじゅうたん爆撃のような無差別攻撃が既に発生している状況だからだ。
このような状況では、「トップガン」と呼ばれるようなハイスペックのセキュリティ人材がいくらいても、対策は追いつかないだろう。それよりも、インターネットやITシステムを利用する利用者一人ひとりのセキュリティ意識を高める方が、より効果的だ。
これは脆弱な部分を優先して対策するという当たり前のことと基本的に同じであり、利用者が一定レベルのセキュリティ知識を身につけられれば、攻撃者側はそれだけ苦労するという理屈だ。苦労するということは、それだけサイバー攻撃が割に合わないビジネスとなるということを意味する。今後もサイバー攻撃が完全に止むことはないだろうが、筆者は一般の利用者のレベルアップがなされれば、攻撃に対する一定の抑止効果を生み、サイバー攻撃の絶対数が減少するだろうと考えている。
つまり、筆者にとってのセキュリティ対策の理想とは、「利用者がセキュリティ技術者に守られる存在ではなく、自らを守れる存在になること」だ。これは利用者が難解なセキュリティの技術を知るべきだといっているわけではない。もちろん、利用者全員が「トップガン」ならベストだが、それを実現する魔法の杖は存在しない。利用者が自分に起こり得る脅威として、現在のサイバー攻撃やセキュリティ対策のトレンド、危険度合い、最低限の防御方法を認識していることが大切だ。それだけでも、フィッシング詐欺や標的型攻撃メールなどの攻撃を回避できる確率は高まるだろう。
ただ、利用者が情報セキュリティを実践するためには、あまり身近ではないシステムの仕組みに関する知識が必要であり、その仕組みは特殊で複雑なことから、実践を難しいものにしている。そのため、この連載では「進撃の巨人」や「機動戦士ガンダム」「ポケモンGO」などに例えた説明を織り交ぜることで、少しでも情報セキュリティに関する利用者の抵抗感を解消したいと考えた。
日本は他国からの侵略をほとんど受けたことがないこともあって、個人はもちろん、組織ごとにリスクを管理する文化は育ちにくい。そのため、ITシステム全般とともに情報セキュリティを専門家であるベンダーに依存する傾向が強い。政府や専門家の誰かが利用者を守ってくれるはず――これが日本型セキュリティの現実である。この現実を踏まえて利用者それぞれが当事者意識を持ち、自身で最低限の防御をできるようになることで、筆者の考えるセキュリティの理想に近づくだろう。
このことを伝えるために、連載では1年8カ月もの時間と約16万字を費やした。どれだけの読者が情報セキュリティを身近に感じてくれたのかは分からないが、担当編集者によれば、非常に多くの人が目を通してくれていたとのことなので、そのうち何人かは感じ取ってくれたかもしれない。そして今回が連載40回という節目ということもあり、ここでいったん筆を置くことにする。
武田一城(たけだ かずしろ) 株式会社日立ソリューションズ
1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。
- TechTarget連載:今、理解しておきたい「学校IT化の現実」/失敗しない「学校IT製品」の選び方
- 著書「内部不正対策 14の論点」(共著、JNSA/組織で働く人間が引き起こす不正・事項対応WG)
関連記事
第39回 サイバー攻撃で変革を迫られた日本のIT業界事情
サイバー攻撃の巧妙化によって、従来のコンピュータメーカーや通信キャリア、SIerなどの情報システムベンダーではセキュリティ対策が難しくなってしまった。IT業界はセキュリティ人材やセキュリティ企業そのものを取り込む構造変革を進めているが、この業界の生き残り戦略とは何だろうか。
第13回 個人情報偏重の日本の漏えい対策、“機密”視点で考えるには?
前回はドラマでも人気の「下町ロケット」を題材に、日本の一般企業で機密情報の厳密な管理は行われていないことやその理由を考察してみた。今回は企業が機密情報の定義や管理をどうすべきかについて述べていく。
第3回 「進撃の巨人」で理解する多層防御
標的型攻撃で必要性が叫ばれる「多層防御」。しかし、日本ではあまり浸透しない。その理由を「進撃の巨人」の世界から探ってみたい。
【新連載】セキュリティインシデントが繰り返される理由
セキュリティ対策をしているにもかかわらず、標的型攻撃による情報漏えいなどのインシデントが後を絶たないのはなぜか――。業界通の筆者が、その理由を歴史からひも解く渾身の新連載。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。