「サイバー・スペースは現実社会と同じだ。攻撃からの防御だけを目的としたセキュリティ機器でセキュリティを確保することはできない。セキュリティは防御,検出および対応によって実現する“プロセス”なのである。そしてそのためには専門家の助けが必要だ」――。5月29日に開催された,セキュリティに関するカンファレンスおよび展示会である「RSA Conference 2002 Japan」において,Bruce Schneier氏はこのように講演した(写真)。
同氏はセキュリティ・ベンダー米Counterpane Internet Security の創業者およびCTO である。「Blowfish」や「Twofish」といった暗号アルゴリズムの発案者や“Applied Cryptography”や“Secrets&Lies”の著者としても知られている。
同氏は講演およびプレスカンファレンスにおいて,インターネット(サイバー・スペース)におけるセキュリティは,現実社会のそれと同じであること,セキュリティはプロセスで考えなくてはいけないこと,セキュリティの確保には専門家によるモニタリングが不可欠であることなどを,比喩(ひゆ)を豊富に用いて解説した。同氏の発言要旨は以下の通り。
セキュリティは二者択一ではない
「リスクを避けられるか,避けられないか」――の二者択一でセキュリティは論じられることが多い。この考え方はコンピュータ・エンジニアの思考にはマッチするようだ。例えば,暗号を考えた場合,確かにこの二者択一は成り立つ。暗号は「解読されるか,解読されないか」のどちらかである。
しかし,実際のセキュリティは,二者択一ではなくさまざまなオプションがありうる。つまり,「黒」「白」のいずれでもなく,「灰色」なのだ。対策に必要なコストと生じる損失をはかりにかけて,場合によってはリスクを受け入れることもありうる。
現実社会で考えれば分かりやすい。雑貨店では万引きのリスクをある程度受け入れている。対策のためのコストよりも,万引きによる損失のほうが小さいからだ。それに対して,宝石店では商品をカギ付きのケースに収め,客に見せる際には店員が手に持って見せる。盗難に備えて,コストをかけて保険に入り,リスクを転化させることもありうる。つまり,「何を売っているのか」,「どこに店があるのか」などによって,リスクを回避するために採るオプションが異なってくる。
サイバー・スペースでも同じだ。リスクによって発生しうる損失と,リスクを回避するために必要なコストをはかりにかけて,適切なコストをセキュリティのために費やす必要がある。
セキュリティはプロセス,「防御」だけでは防げない
セキュリティは「防御(予防)」,「検出(検知)」,「対応(対策)」から成る段階的なプロセスである。しかし,現在のセキュリティ製品は,防御だけを目的としている。例えば,「このファイアウオールを使えば,攻撃からあなたを守ります」といったスローガンが横行している。こういったスローガンは疑わしい。100%保護できることはありえないにもかかわらず,検出や対策については何も言っていないからだ。防御だけでは,セキュリティは万全ではない。
これも現実社会に照らし合わせると分かりやすい。例えば「金庫」。防御のための代表的な製品だが,これだけでは盗難を防ぐことはできない。どんなに頑丈な金庫でもいつかは開けられてしまう。米国では金庫に「30TL」や「60TLTR」といった格付けがされている。前者は工具で開けようとすると30分かかる,後者は工具とトーチ(バーナー)で60分かかるという意味だ。つまり,金庫は泥棒が克服すべき障壁であり,金庫のユーザーにとっては時間稼ぎに過ぎない。金庫を購入することで,その時間を買っているのである。
どんなに高価な金庫を購入しても,破られていることを警報装置が警備会社に知らせて,警備員が現場に来なければ意味はない。逆に,検出と対策がしっかりしていれば,防御は必要ない場合さえある。お金を盗まれそうになったら,すぐに警備員や警察が現場に現れることができれば,金庫を購入する必要はないのだ。
サイバー・スペースでも同じである。防御が失敗した場合の検出と対応策が必要だ。これは,どんなに高価なセキュリティ製品を購入しても実現できない。
専門家によるモニタリングが不可欠
現実社会で行われている検出と対応をサイバー・スペースに持ち込むには,人間,それも専門家の力が必要だ。
まず,検出のためには24時間365日ネットワークをモニタリングする必要がある。さらに,モニタリングする人間には専門知識はもちろんのこと,順応性が求められる。というのも,インターネットには毎週新たな攻撃が出現するからだ。倉庫に設置された警報装置とは異なり,検出すべき兆候が増えていく。それを的確に検出する必要がある。
例えば,朝起きると,ある製品のセキュリティ・ホールを誰かが発見しているとする。すると新たな攻撃方法が出現することになる。そのセキュリティ・ホールにより,昨日まではセキュアだったネットワークが一気に危険なものとなってしまうのだ。こういった事態にも柔軟に対応するには,人間によるモニタリングしかない。
といっても自分たちで行うことは難しい。24時間365日モニタリングするには,1つの席に6人を雇わなくてはならないからだ。さらに,モニタリングできるスキルを得るためには,トレーニングが必要だ。また,モニタリングの仕事には波がある。「4週間何もなかったが,5週目にインシデントが発生して,そのときだけ検出や対応に追われる」といったことが十分ありうる。
そのため,自前でモニタリング要員を用意することは現実的ではない。アウトソーシングするしかないだろう。現実社会でも,専門家にアウトソーシングすることは当然のように行われている。警察や医者がよい例だ。より低コストで,より優れたサービスを受けるには,アウトソーシングすることが得策である。つまり,外部のモニタリング・サービスを利用するのだ。
セキュリティの確保にはコストがかかる
モニタリング・サービスを受けるには,もちろんコストがかかる。しかし,支払う必要があるコストなのだ。なぜなら,インターネットはセキュアではないからだ。
インターネットのセキュリティは,現実社会の治安と同じように考えることができる。治安が悪い国で自分の身の安全を確保するためには,例えばボディ・ガードを雇う必要がある。安全をお金で買うのだ。お金を払えない場合には,治安の悪さを甘んじて受け入れるしかない。サイバー・スペースでも同様である。セキュアではないインターネットにおいて,セキュリティを確保するためには,相応のコストを負担する必要があるのだ。
もちろん,インターネット全体のセキュリティが向上すれば,コストを負担しなくても済む。治安のよい国ではボディ・ガードを雇う必要がないのと同じことである。
とにかく,インターネットはセキュアではないこと,リスクは決してなくならないことを,現実として受け入れなくてはいけない。「いつになったらクラッキングを防止できるようになるんだ?」と聞かれることがある。それには「人類が誕生してからこれだけ年月が経っているのに,殺人は防止できませんよね」と答えている。そう,殺人が防止できないように,クラッキングも決して防止できないのだ。
とはいえ,それでも私たちは一応安心して生活している。それは,安全を保つためのプロセスである「防御」「検出」「対応」が,治安がしっかりした国には備わっていることを知っているからだ。そして,どういった場所あるいは行動が危険かを本能で感じ取ることができるからだ。
サイバー・スペースも現実社会と同じである。ただし,インターネットではセキュリティを保つためのプロセスは用意されていないし,一般の人が危険を感じとることもむずかしい。インターネットでセキュリティを確保するには,専門知識を持った人間の介在が不可欠なのだ。装置などが自動的に確保することはできない。人間の知性,想像的な思考が必要なのだ。攻撃しているのも人間なのだから。
