お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

CNET Japan ブログ

IPAの事件に寄せて:ネットワークセキュリティの限界仮説

2009/01/08 15:28
  • このエントリーをはてなブックマークに追加

プロフィール

渡辺聡

インターネット/IT分野で事業開発に携わる渡辺聡さんが、注目ニュースなどを題材に、そのニュースの背後にある本質的な変化とその先行きを、経済や社会との関わりの中で考えていきます。
ブログ管理

最近のエントリー

IPA関係者から、ファイル共有ソフト経由で情報漏えいがあったという出来事は業界関係者ならもう耳にしている出来事だろう。理事からもコメントで、「慙愧に堪えない」とコメントがあり監督庁である経済産業省からも防止への強い要望が示されるなど波紋が広がっている。
 
この事件、中身を見ていても確かに褒められたものではない。脇が甘かった等の批判が出るのは仕方のないところだろう。一定レベルの責任追及が発生するのは致し方が無いとこかもな、と思いつつ推移は一通り追っていたが、単純に悪者探しをしてせいせいするという類の話と理解するのはいかんのかもしれないという風にも考え始めている。
 
暗に問われているのは、ネットワークセキュリティの限界みたいなものではないだろうか。端的に、生データとして保存していたということが問題とするのはどうなのだろうか。
 
 

データセキュリティという課題

 
2年ほど前から、セキュリティ関連のテーマにあちこちで関わっている、テーマは多岐に渡るがコアイメージを端的にまとめると、

  • 暗号化を含めてデータそのもののセキュリティの必要性が高まっていないか
  • 認証やネットワーク系のアプローチとはどのような分担を考えればいいのか

といったところになる。
 
企業や役所など、ある組織体単位でのセキュリティを考える際に、やってることを乱暴に一言でまとめてしまうと、「ネットワークを閉じてしまう」ということになる。認証やアクセス権設定、ファイアウォールなどは、要すれば無関係な人が入ってこないように、余計なデータにタッチして余計な事件を引き起こさないように、という発想の延長線上にある。PCの持ち出しを禁止というのもざっくりとは延長線上で理解できる。つまり、裏返すと漏れたらどうしようもない。
 
しかし、個々人の作業環境を完全にコントロールしない限りはちょっとした穴や手違い、ミスは起きるものである。すべてをマシンのように完璧に、というのは人員調整でホワイトカラー業務の負担が高まってたり予算削減で作業環境が必ずしも技術的には万全ではないという条件を考えるとあまり現実味の無い期待とも言え、確率論的にある一定件数の事故は起きるだろうというのは普通に考えられる展開となる。
 
例えば、このあたりの環境管理を半ば強制的に行おうというのがシンクライアントに期待されている役割となる。ここは業務要件と投資負担、融通性がクリア出来ると解のひとつに確かになりうる。
 
このあたりを一応分かった上で、最近関係者と話をしているのは、究極のところ幾らネットワーク的に守っても生データがある限りはなにかの弾みでトラブルが起きるんじゃないかというところである。
 
改めて確認するまでもなく、モバイル端末を含んだインターネットの利用者、利用場面はまだ増えており、日常生活の隅々までデジタル化してしまったという人も少なくない。単純に考えて、よろしくない事象の発生機会、発生しうる場面は増えていると推計できる。また、漏洩事件が増えているような印象を受けるのは社会的注目が集まっていることもあろうが、やはりこまごまとトラブルが積み重なっているという傾向を示しているだろう。
 
以上から、シンプルな解決アプローチとして、「なるべく生データとして保有しない」というアプローチ発想が出てくる。技術的には、分割、暗号化系の技術をコアとし、周辺にネットワークやアクセス権管理などの既存技術を組み合わせていくような流れとなる。このアプローチだと、法解釈がどうかは若干応用課題となるのだが、技術的には漏れても大丈夫となる。なぜなら漏れたデータは第三者では読み取れないからである。
 
冒頭の話に戻ると、IPAけしからんと言って軽いカタルシスを得るのは簡単だが、本筋はそうじゃなくて、そろそろ新しい課題対応アプローチというのを本腰入れてやらないとまずいのでは?というトリガーメッセージみたいなものじゃなかろうか。年の初めの事件を見つつそう思うわけである。
 
 

ビックピクチャーと課題整理の必要性

 
とはいえ、当然だが、セキュリティの全体像を踏まえつつ体系改善アイデアを考えるといった作業が単純に一人の手であるいは一社の手で出来る訳はなく、業界各所のさまざまな方々と議論を進め、仕事として検討業務を進めている。
 
同様に、連鎖して出てくる携帯がPC化しつつあると視野にいれなきゃいけないのか、とかクラウドといった利用提案が増えつつあるところ、どう距離感を考えるのが良いか、などセキュリティという切り口でも何をアジェンダとし、どこまでを優先事項としてフォローするかが既に難しい。ついでに、業界変革期にもどうも差し掛かってしまってる様子である。
 
などという構図にどう向き合うのがいいかと検討していたのだが、然るべきメンバーで集まって、何を重要事項とするか、という議論をしてしまうのが早いように思える。ダボス会議というと大上段に構えすぎであるが比ゆとしてはあのようなイメージ。
 
情報通信産業を中心とした未解決課題の整理会議。次これが来る、とか業界問題はこれだとかいうのとはまた少し違うスタンスで、世の中が必要としている未解決事項とは何かを整理してみるミーティング。そういうレベルから攻めてみたいと思っている。
 
関係各所のみなさまには、またちょっと(おそらく内々に)、各所ご相談差し上げることになるかと思いますので、お付き合いくださいましたら。

イベントごとと言えば、本年度もアルファブロガーアワードが開催されています。当Blogも2006年にリスト入りしております。 投票期間中ですので、参加したいという方は是非こちらから

ついさっき自分のBlogのアーカイブを見て2004年から書いているというのを振り返っていたのですが、本アワードも5回目の開催です。忘年会議などと合わせ、すっかり定番化した雰囲気があります。

※このエントリは CNET Japan ブロガーにより投稿されたものです。朝日インタラクティブ および CNET Japan 編集部の見解・意向を示すものではありません。
運営事務局に問題を報告

最新ブログエントリー