今日は情報セキュリティの日。
さて、これが最初に書くネタになるが、あまり技術論を書くような場所でもないように思うし、これを見てくれる方がどういうものを望んでいらっしゃるかも分からない。よく分からないので、あれこれあまり考えないことにした。
今日は「情報セキュリティの日」だそうだ。どちらかというと去年の方が話題になっていたような感じもするが、今年もそれなりに話題にはなっているようである。私にとって今日は「社長の誕生日」でもあるが、いわゆる「情報セキュリティ」というもの自体を漠然と考えるきっかけを与えてくれる日でもある。
ちなみに、みなさんは「2000年問題」を覚えているだろうか。
グレゴリオ暦で2000年になると、コンピュータが1900年と2000年の区別がつかなくなり、様々な誤作動を引き起こす可能性がある、という問題が、当時は世界中で社会現象とも言えるほどの話題となっていた。
また、政府関連のサイトが改竄され、政府のIT立国宣言についてセキュリティの確保が最大の課題としてを挙げられたり、不正アクセスの禁止をはじめとした法制度の整備が始まったりと、この年は「セキュリティ元年」と位置付けられる。
あれから10年。
先日この手の話題を話していた時、ある人が「取りあえず、みんな「鍵」はかけるようになったよね」的なことを言っていた。当時、ネットワーク内に「鍵」をかける習慣どころか鍵そのものがほとんどなかった頃から考えれば、状況はずいぶんと変わったように思う。ネットワークそのものも多様化・複雑化しているが、それぞれに対応した鍵が作られているばかりでなく、それら鍵の種類も豊富になった。今や単純なセキュリティツールから多層防御と言われるような複雑で堅牢なものまで、様々な「鍵」が用意されている。加えて法整備も徐々に進みつつあり、また今日「情報セキュリティの日」のように社会に広く意識付けするような動きも公に実施されるようになってきた。
しかし、それらの「鍵」がきちんと的確に設置されているかといえば、残念ながらそうとは言い切れないように個人的には感じる。
この話を「家」で例えるなら、セキュリティホールにあたるであろう外部に繋がる「穴」は多数存在する。玄関や勝手口、ベランダへ通じる大きな窓などから、排水口や換気口など小さい穴もたくさんある。また鍵の種類も色々で、カードキーや生体認証、ディンプルキーなどから、ターンキーやシャッター、かん抜き、そして単なるフタのように単純なものもある。
まさか玄関にただドアを付けただけで他の鍵をかけない、という人は特別な事情でもない限りまずいないだろう。逆に、排水口や換気口のような場所にわざわざ生体認証キーやカードキーを設置する人もあまりいないと思う。穴の大きさや役割はどうなのか、言い換えれば侵入者として想定されるのが人間なのか、それとも虫などの類なのか、そして鍵の必要性と日常の利便性のバランスはどうか、といったような判断は「家」で考えれば比較的自然と頭に浮かぶのではないだろうか。
これと同じことがネットワークセキュリティにも言える。言えるのだが、これがあまりピンと来ない人は多いのではないだろうか。だがこうした「どこに何が必要なのか」といった点を踏まえずに、例えば全てに一律な「鍵」をかけるような対策を実施したとすると、その場所によってセキュリティレベルの過不足が生じる可能性が否定できない。またあまりに過剰なセキュリティレベルを均一にかけてしまうと本来ITが担うべき利便性が大きく損なわれ、業務効率が低下する可能性もある。例えて言うなら玄関も勝手口も全ての窓も部屋のドアも風呂場もトイレも全部を同じ1つの鍵で開け閉めする家や、トイレの排水口にまで暗証番号+生体認証キーを設置するような鍵のかけ方をした家は、あまり住みやすい家とは言えないだろうという話だ。
内部・外部を問わず、悪意のある者が欲するのは基本的に「カネになる情報やツール」だろう。従ってターゲットとなり得る「優先的に守るべきモノ」とそのそれぞれの価値、そしてその所在といった部分については各組織にとって比較的切り分けしやすいように思う。この先の10年は、そうした各組織内の状況を踏まえた「過不足のない適切なセキュリティ」が普及していく時期なのかな、ということを考えた。
今後も技術革新は進み、攻撃手法もそれにあわせて多種多様に進化し、また思わぬ落とし穴もどんどん生まれていくだろう。当然それぞれのリスクに応じた「鍵」の進化は常になされ続けなくてはならない。そしてそれだけでなく、あらゆるネットワークが「息苦しさのない安全性」を確保し、誰もがいつも安心して気軽に利用できるようになる、そういう方向に進んでいけるよう、我々は力を尽くさなきゃいけないな、と改めて思った。