なんとなく綴ってみた

アクセスカウンタ

zoom RSS セキュリティを「必要悪」にした犯人は業界自身ではないか?・・・目線が面白い

<<   作成日時 : 2016/11/02 10:49   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

ASCIIが「CODE BLUE 2016」の基調講演でカルステン・ノール氏が講演した内容について、端的に書いている。とても面白い記事だが・・・これは、あくまで先端セキュリティ導入のすすめという点で見た時の発想だろう。
http://ascii.jp/elem/000/001/260/1260611/

たとえば、Windows2000は脆弱性対応が既に行われていないため、”危険”である。しかし、ネットにつないだから即時でウィルスに感染するわけではない。感染するには、何らかのエクスプロイトコードをWebブラウザーなどで開き実行するか?または自分でウィルスの入ったメールなどを開かなければいけない。
これは、ウィルス対策ソフトが防御しない限り、対応のしようがないため、多くの人はやらない。だから危険だと分かるものだ。この手の脆弱性問題はLOVELETTERの後に、IIS関連の脆弱性を介して大感染を広めたCodeRed頃から盛んに通知され始めたが、それ故に保守が終わるとネット上につなぐ端末としては、危険性が高く使えなくなる。それが過剰に伝わるようになったのは、Androidの問題からだろう。


では、AndroidのStagefrightはどうだろうか?これはSMS(ショートメッセージサービス)などでの感染が最も危険とされている。そのため、Hangoutなどのショートメールの自動受信を避けるなど対策を施すことで、感染を未然に防げると言われるが、手動で受信しても感染はする。OS側に対策を施さない限りは対応策は無い。Androidの場合は、特に国内において2012年以前〜2014年頃までの製品を中心に、アップデート情報が梨の礫だったことが問題だった。
だから、最近はOSのビルドアップも通信キャリアが積極的に行いつつあり、改善されたが、過去のイメージがあるため、どうしても嫌がるユーザーがいるわけだ。特に日本は酷い状況にある。
これを、これから変えていくという考え方で見ると、日本は当該の記事にあるiPhoneの話はたいていの人が知っているが、一方で、Androidは脆弱性だけが一人歩きし、対策情報はさほど出ないため悪く見る人が多い。

その流れを変えない限りは難しいだろう。今後は、キャリアもiPhone販売中心から徐々に離れつつあるため、変わっていくと思われるが・・・。時間が必要だ。

これは、セキュリティ技術者だけが出来ることではなく、情報媒体が、セキュリティ脆弱性に対して、何をすれば安全性を確保できるか?どこが危険だったかを書くことが求められるわけで、一度セキュリティ脆弱性の情報を書いたなら、その書いた責任として、発生→経過(対策)→結果を伝えねばならないということになりそうだ。


後は、コストロスとトレードオフの関係が書かれている。要は、100人に1人が感染する病気を恐れるか?また、その病気の治療費が10万円かかることを予想して、毎年何万もの対策に費用を投じるか?それとも100人に1人だったらと受け流して(対策をしないわけではないが、コストを抑えて)、もっと自由に先に進み他社より先に、技術を生み出し大きな利益で相殺するか?というのもだ。日本のやり方とは違って、成長するという発想を持った人の考え方である。低成長が続いてきた日本では、ちょっとこの挑戦はすぐには難しい面ではあるが、言っていることは正しい。

すぐに出来るかどうかはまた別であろう。特に、個人情報保護意識とコンプライアンス意識等が強い日本では、対策管理者に掛かる責任も大きく、部署や個人に対する圧力も強い会社もある。そう考えると、日本は対策に厳しい守りを求めるのは、必然であろう。これを、考えるには社会の意識がポジティブに変わらないといけない。

また、セキュリティ管理者は、VPNや生体認証と組み合われたシングルサインオンなどへの取り組みなど、利用者の立場に立った新たな試みを広めていく姿勢も大事になると思われる。ここが実は、このカンファの要点なのだが・・・ここでは最後の締めということもあり、違う視点を重視しさほど語っていないのだろう。

<セキュリティ価値は時代・社会によっても違う>

業界自身が、セキュリティを求めるのは、その業界が儲けるためのテクニックだったからだろう。当然、セキュリティを扱う人々も、それがビジネスの重要な役割になると訴えなければ仕事はやってこない。そこからすべては始まったのである。ただ、近年は危険性だけを切り取りすぎて、人々を脅している面は確かにあるのだろうと思う。

被害総額が何億ドルや何十万〜千万人の情報漏洩というニュースは年にいくつか流れるが、世界でインターネットに繋がっている企業の数は、その数百倍ある。即ち、全体から見て漏れている量は実は少ないわけだ。だから企業や個人は過度に意識しすぎてもいけないことなのだと思われる。

ただ、日本では個人情報取扱事業者に対する個人情報保護の義務もあるため、簡単にはいかないのも現実だ。国によって守らなければいけない法制上の範囲も違う。そこをどのようにとらえるかも、併せて考えねばならない。

セキュリティを必要悪にしたのは、業界自身というのは面白い秀逸だと思うが、それだけではないと私は見る。たとえば、20年前に我々はダイレクトメール(はがき、封書)をたくさん郵便受けに受け取っていた人も多いはずだ。あのときは、たくさんの名簿が市場に流れていたと言われる。だから、5000人(件)以上の個人情報を取り扱う事業者に対して、個人の情報を守るという法律が出来た。そして、それは人数枠を撤廃し今では企業の責務となっている。

これが、始まってから国内では個人情報を意識する人は段違いに増えていった。

といった具合に、世の中の変化、人々の保護意識といった面からも、徐々に変わってきたところもあると思われる。何せ、90年代にはビデオの私的ダビング(頒布は当時も禁止だった)など、違法でも何でも無かったといった話もあるように、00年代にはDVDのリッピングはグレーであって黒ではなかったように・・・。時々によって世が守りたい(守らせたい)と思うルールも変わってきた。これは、攻撃者が当初は自分の力の誇示だったものから、情報を取れば儲かるという変化にも繋がったのかも知れない。そういう目線でも見ることは出来る。

この変化は世界中でネットセキュリティを高める法律や制度が広がる中で、生まれたアングラ産業へと成長した。


ちなみに、使う側にしてみれば、リスクが高いから厳しいセキュリティを科すとするが、その対策が強く運用に無理を強いるなら嫌がるのは当然だ。何故、USBメモリーも使えないのだと言うのは、当たり前のことである。では何故あなたの組織がそうなるのか?はセキュリティ管理者だけで考えても、同じ帰結に至ることが多い。必要だから、対策するのだと。

私が知る限りで言えば、今の日本の情報セキュリティの大半は、個人情報保護法が施行される前と後で大きく変わったと思っている。それまでは、決してここまで厳しくはなかったからだ。それは、良い意味では自分の大事な情報が漏れずに悪者に情報が流れるのを防ぎ大きな成果を出している。一方で、それが漏れたら許されないという強い意識も生み、それが起きたら漏らしたものの対策不足だったと言ってしまうようにもなった。そして、その矛先は、数名の管理者などに向くケースも日本は多く、その責任を取って命を絶つ人もいる。

本当は組織全体で問題を共有すべきだが・・・。そこが実は足りていない面もあるように思う。これは、管理者自身の発信不足もあるのかもしれない。管理者は厳しくするしかないと思い込み、危険な話ばかりに固執してしまうのだ。セキュリティ対策を講じる技術メーカーはそういう社会も理解して、商品を提案することも多いだろう。そこに管理者がすっぽりはまる。

そういう変化もあるのではないかと、私は思っている。セキュリティを守る側は、利用する人や上層部を信用しない、出来ないという場合と利便性とセキュリティを両立できる予算が不足している場合、いわゆる過度な不安を自身も持っているときに、特に強い制限を掛けざる終えないのである。

それは、セキュリティを扱う側のジレンマを生み出す一方で、セキュリティに嫌気がさすユーザーの無関心も生んでいるのかも知れない。本来は、双方が歩み寄る必要がある。どちらが先かは分からないが・・・気がついた方が、じゃあ何故我が社はこんなセキュリティがちがちにしなければいけない状況にあるのか?皆が考えて、意識を持てば実は情報も漏れずに、ある程度のセキュリティを確保できる手段が見つかるかも知れない。

予算が下りるかも知れない。


<すべては、利益を目指した情報戦>

まあ、どれも根底にあるのは、そこに流れる情報から始まる。たとえば、個人情報は重要な価値がある情報だと思わせることも、そういう意識を一人一人に情報として与え、そうだと思わせることから第一歩が始まる。
セキュリティを必要悪にするのも、セキュリティ技術が社会を守っていると伝え、これこそ皆を守る技術であると伝え売るためにある。そして、その度が過ぎたり、経過や結果の言葉が続かなければ悪になる。特に、負となる情報は、最終的にどう解決したかが無ければいけないが、それが続かないと、結果的に悪いイメージで終わる。

また、OSメーカーからすれば、Windowsはこんな酷いOS、Androidはここが甘い、Macは過去にこんな失態をしていたと言えば、その足の引っ張り合いで、生じるかも知れない。

そこには、企業や個人同士の利益を求めるための情報戦が関わっている。後はそれに情報媒体がどこまで踊らされずに伝え、どこまで我々それを見抜くかだろう。まあ時間軸の変化は不可逆なものであり、自分が生まれる前など過去の変化を知るのは難しいが、情報というものが、ビジネスに変化を与えているのは確かだ。それは、セキュリティ情報もしかりである。だからこそセキュリティは善にも悪にもなり、保護、無防備といったどちらかに偏った発想に繋がると成長を削ぐ。

<揺り戻しには注意が必要>

しかし、こういう話を読むと、自動車のハイビームの話に通ずる可能性もゼロではない。ハイビームの話は、教習所での指導不足と言葉不足および、現在の統計データ(速度統計などが不足している)が不十分な点から・・・反意的になってしまっているが、いわゆる過度な状況に対する揺り戻しが起きているようにも感じる。

要は、Aという事象がなくなり、Bという事象が増えれば、Aは無視してBの対策をする。
きっとBの対策をすると、Aの事象が再び増えるので、今度はAの事象に対する対策に立ち戻るというものだ。

今やっている厳しいセキュリティ投資が、たとえば1/100の病気患者(端末)をキープする予防接種だとして、それを減らしても1/100が維持できると考えるかどうかは、実は最も大事なことだ。「はしか」などのように、予防接種を任意にして30年後に患者が増えていた、「やっぱり予防接種を」では、話にならない。

こういう情報というのは、あくまで新しい情報セキュリティのあり方を確認し、それを元に、ユーザービリティーとセキュリティの2点を相互に高めるものを構築するという発展的な発想があってこそ成立するものである。間違っても、世の中1/100という低い確率でセキュリティを破られるらしいから、じゃあ我が社は防壁なしで取り組もう。コストも削減だ。USBも解放だと言ってしまうようでは、残念ながら来年には1/50に再来年には、1/25のリスク確率になっているかもしれない。



この基調講演は、CODE BLUE 2016の最後を締めくくる話として、カルステン・ノール氏が述べたもののようだが、全体を見渡せば、きっとまずは今出来るセキュリティのあり方、攻撃や脆弱性の見分け方を知ることで、生産性が上がるという点を踏まえている。その上で、業界はどうあるべきかというのが、それだろう。

最後まで読む限り、提案に善し悪しの両方を書いて提出しても、決してこうしなさいと、決めてはいけない・・・範疇からはみ出すなと述べているようにも見える。自分が出資者や社長なら別だろうが、そうでなければ全体の総意で動かすものだからだ。そうすることで、自分の提案の範疇以上のことは出来ませんよ。こんなリスクは自分たちで考えて対応する必要がありますよ。と促すことも、セキュリティの一つになると伝えているように思う。

まあ、日本の場合は欧米スタイルとは違う曖昧を格式とする部分もあるので、それに縦割りが邪魔をして、というのも主に古い組織に根付いていることがあり、これも簡単にはいかないのだが・・・特に行政府は、契約になくても、自分たちではなく、”誰か”が悪く、これは契約に含まれていると思っていたと言う場合もある。(私が知っているのは一部の地域の数年前までの話なので、今もあるかは知らない。報道を見る限り、東京都は地方より遙かにありそうだが・・・)

そう考えると、業界自身の問題もあり、経済や社会が持つ原理(利害)から生まれているものもある。後は、法によって変わった発想が、これに絡んでいるというなかなか難しい問題に見える。
このサイクルをまず是正するのは、きっとセキュリティ対策を売る側なのは、間違いない。そうしなければ、不安は払拭されないのだから・・・。

その上で、世の中も単に、がっちがちのセキュリティは、悪という発想だけでなく、何故自分の組織がそこまでするのか?という点は皆が考えるべきことかもしれない。いろいろな組織を見てきたが、業界をまたに掛けて見ている人は、業界を問題視するし、ユーザーだけで見れば、ユーザーだし・・・というところだろうか?

実際には、世の流れとして、それが売れるから(記事になる)であると同時に、制度や法律もその流れに乗っているという見方も出来たりする。その中で、変えられるところは変えていきたいものである。








ESET ファミリー セキュリティ 5台3年版(最新版)
キヤノンITソリューションズ
2013-12-12

amazon.co.jpで買う
Amazonアソシエイト by ESET ファミリー セキュリティ 5台3年版(最新版) の詳しい情報を見る / ウェブリブログ商品ポータル



ヤマハ ギガアクセスVPNルーター RTX810
ヤマハ
2011-11-05

amazon.co.jpで買う
Amazonアソシエイト by ヤマハ ギガアクセスVPNルーター RTX810 の詳しい情報を見る / ウェブリブログ商品ポータル


テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
セキュリティを「必要悪」にした犯人は業界自身ではないか?・・・目線が面白い なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる