テロの恐怖で論理性を失ったセキュリティ対策の危険

この記事は『ダイヤモンドＬＯＯＰ（ループ）』（2004年5月号）に掲載された「破壊的創造のマネジメント」から「テロの恐怖で論理性を失ったセキュリティ対策の危険」を抜粋したものです。ＬＯＯＰは2004年5月号(2004年4月8日発売)をもって休刊いたしました。

ブルース・シュナイアー　カウンターペイン・インターネット・セキュリティ　創業者兼CTO

Q　セキュリティの考え方について説いた近著『Beyond Fear（恐怖を超えて）』で、あなたは国土安全保障問題について盛んに論じていますが、サイバー・セキュリティと現実のテロ対策との間にはどのような関係があるのでしょうか

A　サイバー・セキュリティのなかには、現実世界に参考になる論理がたくさんあります。たとえばセキュリティを相互に関連したプロセスが同時進行する「システム」としてとらえることです。システムが機能しないのはどういったときか、システムの副次的影響は何かなど、コンピュータの世界では当り前のことが、現実の世界では見過ごされている。テロリズムに対抗する場合は、すべての航空機に鍵をかけたりショッピングモールに出入りするテロリストを全員つかまえようとしても不可能なわけですから、システマティックなアプローチが必要になる。

Q　セキュリティはトレードオフで考えるべきだというあなたの考えを現実世界にも適用すべきだ、と。

A　そうです。イラク戦争に1200億ドルもの費用がかかったと知って、本当に安全になったのか疑問に感じるならば、何が最良の使い方かを問うべきなのです。われわれはセキュリティの消費者なのですから。金をかけただけの値打ちがあったのかを問わなくてはいけない。

Q　すると、どういったアプローチがいいのでしょうか。

A　私はセキュリティ対策を分析する5段階の方法を考えました。

1. その対策が解決する問題は何か。
2. どの程度解決されるのか。
3. それによって新たに生まれる問題は何か。
4. どんな経済的そして社会的犠牲が必要か。
5. このすべてを考慮したうえで、犠牲に見合うだけの価値があるか。

　セキュリティに関する議論はとかく感情的になりがちですが、段階的に検証することによって、関係者の認識がどこで食い違うのかを論理的に比較できる。たとえば機長に銃を持たせるべきかを感情的に言い争う代わりに、リスク、コスト、便宜性などをはっきりさせ、トレードオフが何なのかを理性的に判断できる。米国では2001年9月11日に起きた同時多発テロが感情的な事件だったため、その後の政策も効果を検証せずに、感情に基づいて定められた。セキュリティにとってはばかげた時代になったのです。

Q　それを「セキュリティ劇場」と名付けていますね。

A　今やどこでもIDカード（身分証明書）を要求されますが、そこにはアイデンティティは安全性につながるという神話がある。だが実際にはそうでないうえ、多くの情報を追跡されて自由を奪われるという犠牲まで払っている。コストも安くない。大金を払って安物を買うのと同じです。もっと効果的なやり方があるのではないか。本ではそれを指摘して、正しい議論のきっかけをつくりたかった。

Q　政府関係者はあなたの主張を理解していますか。

A　とんでもない。米国のセキュリティ政策は、国民を怖がらせておくことによって成り立っている。共和党も民主党も同様です。イラクに派兵すべきか否かについての国民の議論は、日本のほうがずっと興味深いものだった。

サイバー・テロリズムはメディアが作り上げた幻想

Q　あなたは、サイバー攻撃が物理的なものからシンタクス（統語論）的なものへ、さらにセマンティック（意味論）的なものへと変化を遂げているといっていますね。

A　初期のサイバー攻撃は、ちょうどビルのドアを壊して強盗が押し入るように、コンピュータネットワークへ侵入して情報を盗んでいた。その後、頭のいい奴がコマンド（指令）のコードを書き換えて、間違った動作をコンピュータに起こさせるというシンタクス的な攻撃に変わった。そして現在増えているのは、知り合いになりすましたり興味を引くような件名をつけて騙す手合いです。経理部からだと言って「パスワードは何ですか」と聞き出すようなものです。相手の弱みに付け込んだこのやり方は、じつは防ぐのが最も難しい。コード上はどこにも穴がないわけですから。

　問題は、セキュリティ技術がいつも1世代古い敵を相手にしていることです。10年前なら、コンピュータを一つの部屋にまとめて鍵をかけておけばよかった。だが、今やコンピュータのありかは関係ない。ファイアウォールやIDS（不正侵入検知システム）を売るのは、そのためです。セマンティック的なアタックの対処法はいまだ不明のままです。人間への攻撃ですから、方法はないかもしれない。

Q　サイバー・リテラシーが向上すれば解決しませんか。

A　必ずしもそうではない。完全にサイバー・リテラートになることは不可能ですし、リテラシーを向上させることがパラノイアになって他人の助けはいっさい借りないといったことになるのなら、問題自体より解決のほうが悪質になってしまう。そんなトレードオフはよくない。

　ソ連のような全体主義国家なら犯罪も少なかったかもしれないが、介入的なセキュリティ政策がないからこそ、米国はオープンなイノベーションが起こる国でいられた。私は、社会の安全性より個人の自由に重きが置かれたほうが理想の社会だと信じています。

Q　しかし今、テロの危険は現実的に高まっていませんか。

A　そうは思いません。過去約100年のテロ攻撃を調べましたが、現在特に危険度が増している兆候はない。もちろん同時多発テロはそれ一つで巨大な事件でしたが、それで世界が完全に変わったわけではない。

Q　あなたは、サイバー・テロリズムも存在しないといっていますね。

A　サイバー・テロは、メディアが作り上げた神話です。テロリズムというのは、人間が吹き飛んだり、飛行機がビルに衝突するといったことです。テロはローテクなのです。電子メールが使えなくなればイライラしても、それはテロではない。あらゆるものがテロだと考えるのは世界を安っぽくしてしまうでしょう。

Q　ご自身のセキュリティ会社カウンターペインでは、サイバー攻撃の変化にどう対処していますか。

A　サイバー攻撃が高速化したため、セキュリティ対策も高速になった。以前ならアンチウイルスのソフトを数ヵ月ごとにアップデートすればよかったのですが、現在のウイルスは数分で世界を駆けめぐる。カウンターペインは、リスクの高速化に対応してリアルタイムのモニタリング、探知、対処というアプローチを謳っています。リアルタイムで反応できなければセキュリティはないも同然です。セキュリティは今やダイナミックなものになった。断続的にモニタリングすることは、ワームのような伝染性のウイルスにも、ハッカー攻撃に対しても有効なんです。

Q　具体的には何をモニターする？

A　コンピュータのセキュリティシステムは、日々何百万行ものアラート（警報）を出しますが、カウンターペインはこれをリアルタイムでスクリーニングします。そこに攻撃の足跡が隠れているからです。顧客のネットワーク側には「セントリー」というデバイスを統合し、これが基本的なモニタリングをします。

　アラートの99％はセキュリティ上問題ないものですが、セントリーがスクリーンできなかったものは、米国に2ヵ所、日本にも1ヵ所設けられているセキュアー・センター・オペレーション（SCO）へ送られます。SOCには「ソクラテス」というコンピュータがあり、これが複数のイベントを分析してその結果を人間の専門家に知らせる。最終的な判断を下すのはその専門家です。つまり、モニタリングは人間とプロセスと技術との組合せで行なっている。たいていの会社はモノを売るだけですが、実際には、注意を払っていなければ効果はない。

Q　そうした手法を用いることでどのような成果があがりましたか。

A　ある会社で、FTPサイトへのログイン失敗のアラートが繰返し出ていた。調べていくと、同じ会社のメキシコ支社の社員が人事のデータベースに侵入しようとしているのがわかった。社員によるハッキングは、ファイアウォールやIDSの内側で起こるので、われわれのような方法でモニタリングしていない限り見つけられません。

アイルランドのイモ飢饉に見るモノカルチャーの危険性

Q　コンピュータは今後も安全にはならないが、コンピューティングはもっと安全になるといっていますね。

A　われわれは難攻不落の要塞を築くのではなく、プロセスとしてのセキュリティを実現する。コンピュータ自体を完全な要塞にすることは不可能です。マイクロソフトが新しいOSを出すたびに複雑さが増して安全性は低下しているくらいです。だからセキュリティはプロセスとして実現するしかない。そして、モニターするという方法はこれからもずっと有効なはずです。

Q　マイクロソフトによる市場独占によって、危険性は高まっていると考えるべきでしょうか。

A　モノカルチャーはいつも、伝染病による全滅の危険性を孕んでいる。アイルランドのイモ飢饉と同じです。同一種のジャガイモばかり栽培していたために、寄生虫がはびこって全滅した。これもトレードオフで、独占による恩恵がセキュリティ上のリスクを上回ると考えたいところですが、実際にはそうではない。

　セキュリティは技術者にとってもわかりにくい繊細な課題です。セキュリティ対策の大半は、実際の安全性とは無関係のところで決定されている。同時多発テロ以降の航空会社のやり方は、飛ぶのを怖がっている客を取り戻すためのセキュリティ劇場でしかありません。本当に有効なのは何かを理解すれば、テロへの過剰防衛反応を抑えられる。加えて、皆が自分にとってのアジェンダは何かを知ることです。結局のところ、セキュリティとはトレードオフも含めて個人が自分の目的は何かを理解して、個人の責任のもとに決定すべき問題なんですから。