門林 雄基氏によるコラム、【サイバーセキュリティが損なわれる原因を理解する(1)】を公開

「サイバーセキュリティが損なわれる原因とは」
　前回のコラムリンクではサイバーセキュリティが世界共通の課題であり、皆さんの会社のオンラインでの商売の安心、安全にかかわる大事なキーワードだということをご紹介しました。安心、安全を具体的に考えるうえで、それが損なわれる原因を具体的に考えていくことはとても大切です。

　安心、安全が損なわれる、つまりサイバーセキュリティが損なわれる原因とはどういったものでしょうか。今回から数回程度の連載として、サイバーセキュリティが損なわれる原因について、あらためて解説してみたいと思います。


「サイバーセキュリティを損なわないために」
　サイバーセキュリティの安全性について考えるうえでは、まずサイバーセキュリティを分解して考える必要があります。サイバーセキュリティとは前回のコラムで触れたようにサイバースペースの安心、安全のことであり、サイバースペースはそれを構成するコンピュータ、ネットワーク、そしてそれを利用する人間がつながって、相互に情報をやりとりすることで出来ています。つまりサイバーセキュリティを損なわないためには、コンピュータ、ネットワーク、そしてそれを利用する利用者それぞれの安心、安全について、またそれらの相互作用における安心、安全について考える必要があります。

　コンピュータやネットワークの安全性について考えるとき、脆弱性、つまりソフトウェアなりハードウェアの脆さ、について考えることが一般的です。ソフトウェアについては、理想的には、脆弱性が全くない状態、つまり、どんなでたらめな入力を与えてもソフトウェアが正しく機能する状態、が望ましいのですが、いろいろな理由からソフトウェアの脆弱性は増え続けています。なおソフトウェア脆弱性に加えて、「設定の脆弱性」「プロトコル脆弱性」「ハードウェア脆弱性」そして「人間の脆弱性」があることを前回のコラムでも触れましたが、これらについてはcrash.academy のオンライン学習コンテンツで解説しています。このコラムでも、機会をみて解説することにしましょう。


「やっかいなソフトウェア脆弱性」
　ソフトウェア脆弱性は、とても厄介です。まず間違いを認めて、ミスがおきた箇所を修正して、テストもやり直して、納品した顧客にお詫びして、アップデートするタイミングについて協議して、等々、頭の痛い問題が山積です。そのため、ソフトウェア開発の現場での甘い誘惑は「なかったことにする」です。「誰も気づきやしないよ」「２０万行もあるソースコードの１行だけでしょ」「外部から指摘されたら、そのとき考える」「インターネットにつながったシステムでは使わない前提だから大丈夫」「そんな不正な入力はめったに起きない」「そんな悪意のある入力をする奴が悪い」。。甘い誘惑を正当化する理由は、プライドの高い、頭のいいプログラマならいくらでも思いつきます。

　では、ソフトウェアを使う立場である残り大半の人たちは、どうすればいいでしょうか。ソフトウェア脆弱性の有無を検査することはもちろん必要です。これについては巷に情報が溢れているのでここでは詳しく触れません。いちばん厄介なのは、セキュリティ専門家が「これはソフトウェア脆弱性だ」と言っているのに、製造元が「いえ、これは仕様です」と言い張る場合でしょう。ソフトウェアの製造元としては「仕様です」と言わないと製品そのものの作り直しになって、膨大なコストがかかってしまう。セキュリティ専門家はコストなどおかまいなしに、現実に問題が起きているのだから「脆弱性だ」と指摘している。この場合、ソフトウェアやクラウドサービスなどを活用する立場としてはどう考えればいいでしょうか。


・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご覧ください。
リンク


【門林 雄基氏のコラム】
・第1回：サイバーセキュリティに求められるバランス感覚リンク