ブルース・シュナイアー氏「セキュリティと向き合うにはリスク管理が必要」

 インテックコミュニケーションズは4月6日、東京国際フォーラムにおいて「セキュリティ新サービス発表会セミナー〜安心へのチャレンジ」と題したイベントを開催した。Counterpane Internet SecurityのCEOであるブルース・シュナイアー氏が「不正アクセスにどう対処するか?」というテーマで講演を行った。

 シュナイアー氏は、共通鍵暗号アルゴリズムである「Twofish」と「Blowfish」の発案者としても知られる。Twofishは、DESに代わる強力な暗号アルゴリズム開発を目指す米国商務省標準局(NIST)が進めたAESプロジェクトで次世代暗号アルゴリズムの最終候補として高い評価を受けた。

Counterpane Internet SecurityのCEO ブルース・シュナイアー氏

 セキュリティはインターネットの基本用件のひとつになっている。インターネット上の行動のほとんどはセキュリティを要求する。シュナイアー氏は「セキュリティの限界がインターネットの限界のひとつになっている」と分析する。「攻撃はオンラインビジネスをより危険なものにする」とも語る。攻撃によって、ビジネスに必要なコストが増大するだけでなく、企業がオンライン上のビジネスをためらう原因にもなる。

 シュナイアー氏は、「コンピュータのセキュリティは失敗に終わっている」と断言する。「セキュリティ製品そのものは高品質なものが多いのに、なぜ状況は悪化する一方なのか」と疑問を呈する。たしかにバッファオーバーフローといった問題は数十年前から存在するし、コンピュータウイルスやワームも10年以上前から活動している。

 なぜ、古い問題が依然として解決されず、インターネットのセキュリティは年々悪化していくのだろうか。この問いに対してシュナイアー氏は、「インターネットの複雑性こそがセキュリティの敵である」と回答する。同氏は「複雑性が増大するにつれて、安全性は劣化していく。セキュリティ製品の品質が向上しているにもかかわらず安全でないのは、セキュリティ製品が複雑性の増大に追いついていかないからだ」と分析する。

 「セキュリティの問題は、技術的な側面ではなく人的な側面に存在する」とシュナイアー氏は語る。企業がセキュリティに対して十分な投資を行わない理由は、セキュリティの強化によって機能性を下げたり、従業員や顧客をいらいらさせたりすることになるからだ。企業は、必要最低限のセキュリティ対策しかしたがらないという。

 また、ソフトウェアベンダーにとっても、セキュリティ面を強化するうえで障害となるものがある。「障害は技術的な問題ではない。むしろビジネス上の問題だ。例えば、製品の開発過程を速くする必要があるし、開発コストを下げる必要がある」とシュナイアー氏はコメントする。

 セキュリティパッチの適用についてもコストが問題になってくる。シュナイアー氏は「大規模ネットワークを有する大企業になればなるほど、コストが高くなることを嫌って、パッチを適用せずに様子をみている」と指摘する。

 このような状態に対処するためには、「コスト対効果の方程式を変更する必要がある」とシュナイアー氏は語る。問題は、技術的な要因ではなくビジネス的な要因に起因する。そのためには、「まずCEOの目をセキュリティに向けさせる必要がある」と同氏は言う。例えば、法律を厳格化したり、会社が痛みを負うような損害を引き合いに出して対策法を転換させたりする必要がある。

 シュナイアー氏は、セキュリティに対する4つのステップがあるという。1つ目は、責任を明確にすることだ。「何かセキュリティ上の問題が発生した場合、誰も責任を取らない現状が問題だ。多くの企業は、問題の原因は外部にあるとして責任を果たそうとしない」と語る。

 2つ目には、複数のグループで責任を共有する保険が必要だ。「保険はCEOにとって基本的なリスクマネジメントツールとなる」とシュナイアー氏は指摘する。「保険業界が欲するものは、標準化されたリスクモデルと標準化された対処法で、これらの保険がセキュリティ市場を牽引していくだろう」と同氏は語る。

 3つ目には、リスクを軽減する仕組みが挙げられる。責任の世界では「ベストプラクティス」が重要視される。この「ベストプラクティス」を標準化するためには、セキュリティのアウトソーシングが必要だという。

 そして4つ目は教育だ。シュナイアー氏はインターネット世界を無法の世界だという。インターネットに接続されていれば、どこからでも攻撃をすることが可能だ。この結果、最もセキュリティの弱いところが攻撃される。シュナイアー氏は、「我々は、インターネットを法社会にしていく必要があり、そのためには教育が重要な部分を占める」と語る。

 最後にシュナイアー氏は、「インターネット上において、リスクが消えてなくなることは絶対にありえない。これは現実社会と同様だ。それゆえ、リスクを管理できるということは、より儲けられるというビジネスチャンスに直結していると考えるべきだ」とまとめた。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]