最も効果的なセキュリティ対策の一つが「障壁(a barrier)」である。家屋の壁は外部の危険から我々を守ってくれる。要塞は軍事基地を防御する。そして,日本を取り囲む海が,日本を海外の危険から守ってくれる。

 残念ながら,インターネットでは海は障壁にならない。インターネットの基本的な特徴の一つは,あらゆるコンピュータが相互にやり取りできることだ。距離は関係なく,国境も影響しない。インターネットを使えば,同じ町内でやり取りするのと変わらない手軽さで地球の裏側にデータを送れる。インターネットでは,地球全体が隣人になる。

 インターネットのこうした特徴は,ネットワーク・セキュリティと密接に絡んでくる。というのも,インターネット上のリスクが急激に増大しているからだ。インターネットのリスクを見積もる場合には,現実世界の隣人が持つ動機,能力,倫理に基づいてリスクを見積もることはできない。インターネットでは地球全体が隣人になり,リスクは世界的な規模になるので,見積もりも世界規模で行う必要がある。

 現実世界の例として,横浜の倉庫に押し入る恐れのある犯罪者のリストを考えてみよう。このリストには,横浜近郊に住んでいるか,横浜まで出向く手間をかけても見返りが得られる人物しか記載されていない。北海道や欧州,アフリカ,米国の泥棒は記載されていない。横浜の倉庫にとって,これらの泥棒の心配をする必要はない。しかしインターネットでは,世界中の泥棒を考慮しなければならない。インターネットでは,潜在的な攻撃者の数は現実世界の攻撃者数に比べてはるかに多いので,リスクも比較にならないほど大きくなる。

 さらに,認識不足がリスクをさらに高めている。インターネット上では相手との距離が極めて近いのに,そのことに対する認識が欠如している。インターネットでは,あらゆる人物が隣人である。日本企業は,中国のハッカーや東欧の組織犯罪グループ,中東のテロ集団のすぐ隣で企業活動をしているのだ。インターネットでは,こうした潜在的な悪人のすべてが,すべての日本企業の隣人になる。

 日本企業のなかには,「国内だけでビジネスをしているのだから,海外から攻撃を受けるようなことはない」と考えて,安心感を得ようとする会社もあるだろう。あいにくこの考えは間違っている。インターネット上の攻撃の多くは,「機会があれば攻撃する(attack of opportunity)」というものだからだ。攻撃者にはさまざまなタイプがいる。「システム障害を起こすことが主目的の異常な倫理観を持つ十代のハッカー」「クレジット・カード番号の奪取や金銭詐欺を狙っている犯罪者」「企業ネットワークに侵入して金銭を要求する脅迫者」――。あるいはもっと悪い連中もいる。いずれのタイプであっても,多くの場合,攻撃相手を選り好みしない。どの企業のネットワークでも攻撃対象になるのだ。また,クレジット・カード番号を保存したデータベースだけが狙われるわけでもない。クレジット・カード番号用データベースもターゲットの一つに過ぎない。つまり,特定の企業やシステムが狙われるのではなく,インターネット・セキュリティに手を抜いている企業が狙われるのである。そしてそうした企業は,攻撃者に実際に狙われることで,次第に自分が被害者になっていることに気付く。

 米国には次のようなジョークがある。熊に追われている二人組の話だ。一方が「もう駄目だ。熊より速く走れない」と言うと,もう一方は「熊より速く走る必要なんてないさ」と答える。「俺がお前より速ければいいんだ」

 日本は,世界中の自由主義国,民主主義国,資本主義国,豊かな国々に後れを取るわけにはいかない。自分たちを守ってきた海にはもう頼れないのだ。日本企業が「自分たちはインターネット・ワールドの一部になっている」「攻撃をやりそうな連中が全員すぐ隣にいる」「攻撃者に対抗しようとネットワーク・セキュリティに磨きをかけている世界中の企業と競っている」――ということに気付くのが早ければ早いほど,この情報化時代でより高い競争力を得られるだろう。

Copyright (c) 2004 by Bruce Schneier.

 Bruce Schneier氏米Counterpane Internet SecurityのCTO(最高技術責任者)であるとともに,「Beyond Fear: Thinking Sensibly About Security in an Uncertain World」の著者でもある。

◆本稿は,Bruce Schneier氏の書き下ろしエッセイ「In Cyberspace, Japan is Not an Island」を,Schneier氏の許可を得て邦訳したものです。原文はこちらで読みいただけます。同氏が毎月発行している「Crypto-Gram Newsletter」の日本語訳は「Crypto-Gram日本語訳」のページからお読みいただけます。(編集部)