【コラム】 企業経営を脅かすITセキュリティ。答えは、実用主義暗号化
企業経営において最も大きなリスクは、伝統的にいつも「経済の不確実性」だった。しかし、最近「ITセキュリティのリスク」が話題になり、企業経営において最も大きなリスクとして1位と挙げられるようになった。経営の一線もこのようなリスクに対し、不安を訴える場合が多くなっている。
不確実性のせいで発生する問題は、たいてい企業が自ら感受したら終わらせることができることだったし、かつてからあったから、まるで空気のように当たり前に感じられるが、新型リスクであるサイバー脅威は、不慣れさのためなのか、気まずくてまた不便だ。さらに、その勢いもまた激しくなっていて、問題が起こるとマスコミからも会社を崩す勢いで連日報道するから、収拾も難しくて到底手に負えないという文句が出ている。
ITセキュリティ事故は、持続されなければならないビジネスの連続性を害し、投資者に悪影響を及ぼすだけでなく、深刻な場合、社会的な混乱を引き起こし、災害レベルの経済活動の麻痺、そして企業活動の停止にまでつながったりもする。IT危機の対応能力は、企業の最も重要な資産であり、成功企業のコアコンピタンスだという認識は、もはや必需的な事項になった。従って、従来の危機管理方法を再検討し、新しいアプローチを探さなければならない。
ITセキュリティ理解の核心
経営者の立場から見るとITセキュリティの最も深刻な問題は、難解さではないだろうかと思う。いくら集中して聞いてみても、いったい何を言っているのかが分からない。到底理解できない。本を探してみても、技術者ぐらいになったらやっと読める完全な技術書でなければなんの役にも立たない、余計な言葉だけを述べている書籍だらけだから学びたくても学ぶことができないのだ。このような事情のため、経営と技術の間にギャップは徐々に広がるし、その隙を狙った犯罪者と詐欺師だけたくさん集まって、各種の事件や事故は絶えない。
ITセキュリティを完全に理解することは、実はとても難しいことだ。数多くの重要要素をいろいろな側面から見て検討しなければならず、技術だけでなく、技術以外の領域に至るまで完全な知識で武装しなければならない。しかし、他の分野と同じくITセキュリティにも柱の役割をする中心がある。重要な脈絡の流れを把握して全体を見る観点を持つようになると、その難解なITセキュリティが明瞭な一つのイメージとして浮かべることを体感できる。
ITセキュリティ技術の理解の最も重要なポイントは、まさに暗号技術である。暗号化は、ITセキュリティの始まりであり、最後と言えるほど重要な要素である。暗号技術を中心にITセキュリティの知識と観点を繋ぐことにより、総体的な観点を持つようになれば、簡単にITセキュリティ全体の姿を眺めることができるだろう。
「いや、ITセキュリティ技術の核心は、アンチウイルスやファイアウォールではないか?」
違う。暗号技術である。より詳しく調べてみよう。
ITセキュリティの二つの方法論
ITセキュリティ分野は、難解で巨大に見えるが、その方法は簡単に二つに分けることができる。「脅威からの防御」と「安全なシステムの設計および実装」である。これは、人間が健康を守る二つの方法と比較してみたらすぐ理解できる。
「脅威からの防御」は、すでに作られた既存システムをよく守るための方法である。アンチウイルス、侵入検知・防御、脆弱性点検システムなどがこれに該当する。体が痛いなら、病院に行って治療を受けて注射を受けて薬を飲むのと同じだ。当然、取るべき措置だ。しかし、企業のネットワークセキュリティは、いくら最善を尽くしても結局攻撃にやられてしまう。
例えば、最近マスコミからよく登場する「APT攻撃」は、本当にうんざりするほどのしつこい攻撃である。少しずつシステムに侵入し、結局は全体を掌握してしまう。現在、数多くのAPT防衛システムが販売されているが、正直言うとまともなシステムは一つもない。大げさではなくて、本当にない。
一方、「安全なシステムの設計および実装」は、より根本的な方法である。問題が発生すれば、それに対応するのではなく、最初からシステムを安全に設計して、実現することだ。健康な生活のために毎日運動したり、バランスが取れた栄養素を摂取するなどの「健康に良い習慣」と似ていると言える。
ここで「安全」という言葉は、ユーザーが正常的な方式でアクセスして、統制された権限システムの中で情報を閲覧し、これに対する監査情報が記録されるシステムの存在を意味する言葉である。言い換えて、ITシステムが常識的なレベルで合理的に運営されることを意味する。こうした「安全なシステムの設計および実装」という、根本的に問題を解決するための方法を自由自在にすることにおいて必ず必要な道具がまさに「暗号化」である。適合なユーザーであろうかを認証し、非正常的なアクセスがある場合は情報を隠して、権限のある人には情報が閲覧できるようにする。また、監査情報に対する整合性を保障してくれる。つまり、合理的なシステムの動作を保障し、証明するコア技術である。
システムを設計段階から安全に実装したことは、セキュリティに最善をつくしたことを証明する証拠となる。したがって、万一の場合、セキュリティ事故が発生しても処罰されない根拠となる。根本的な問題解決の努力をしたから「脅威からの防御」方法に比べて、責任免除の法的な根拠もより充実している。したがって、技術的に見ても、経営的に見ても、「安全なシステムの設計および実装」は「脅威からの防御」に比べ、優れると言える。究極的なセキュリティ概念によって、発展して進化する方向性と見ることもできる。
ITセキュリティ問題から自由でいたいなら安全なシステム構築、つまり暗号化しなければならない。
実用主義暗号化の必要性
安全なシステムの実装があんなにも重要であるのに、どうしてほとんどの人たちはITセキュリティと言えば「脅威からの防御」だけを思い浮かべるのか。それは、攻撃と防御状況がまるで一枚の絵のように描かれて、直観的に理解することが容易だからである。実際に、比較的には簡単な技術でもある。これは言い換えれば、「安全なシステムの設計および実装」が難しいからである。その中でも、暗号技術は特に複雑で難しい。最も重要な技術が難しいから接近も難しくなる。それで、アンチウイルスやファイアウォールのようにすぐ処方できる方法だけを見るようになるのだ。
セキュリティ技術、特に暗号化と関連されている知識を学ぶのはかなり難しく感じられる。活字化されている知識体系もまともに整えていなくて、数冊の本を同時に読みてこそやっと核心原理を理解できる。しかも、ほとんどの本が非常に厚くて、現場では使われない、余計な話もたくさん書かれてある。だから、あちこちに散らばっている知識を有機的に繋げるのは読者が直接しなければならないが、これはとても難しいことだ。しかし、技術をきちんと理解するためには、その高い壁を超えるしかない。そのため、しっかりとした技術者の数が少ないものだ。
しかし、考えを変えてみよう。暗号技術自体を原論的に理解するのと、企業現場で十分なセキュリティのために暗号技術を理解することは全く違う問題である。つまり、ITセキュリティに対する洞察を得るためにはコンピューティング(Computing)とネットワーキング(Networking)知識の上、セキュリティ知識を積まなければならない。コンピューティングやネットワーキングというテーマを完璧に理解することは非常に難しいことだが、十分なセキュリティ性を達成するためのレベルでコンピューティングやネットワーキングの原理を理解することは、相対的に容易なことであろう。
同様に、暗号技術自体は難しいが、安全なシステムを作り上げるために暗号技術をどうやって活用するかを学ぶことは、さほど難しくない。そして、企業現場ではそのレベルぐらいの理解でも十分だ。結局、目的は暗号制作えではなく、「セキュリティ」だからだ。実用的に暗号技術を理解しようとする目的は、安全なシステムの設計および実装するためであり、完全に新しい暗号アルゴリズムを作る事ではない。
これを既存の学術的な暗号化理論と比べるために「実用主義暗号化」と呼びたい。実用主義暗号化は切実だ。安全なシステム設計および実装において最も重要な技術だからだ。
安全なシステムの設計および実装
安全なシステムの重要性を見るために、韓国のケースを見てみよう。韓国は、短い間、社会全般にIT技術を融合することで、いわゆる「IT強国」になった。現在、韓国は日常のすべてのことがIT技術に基盤して行われている。非常に便利だが、その過程でシステムをむやみに設計・運営してしまい、まともな情報セキュリティは果たせなかった。
これは、セキュリティを眺める近視眼的な観点のせいだ。その結果、システムが発展する過程でセキュリティ的な重要度によってきちんと情報が分類されなかった。一般情報か重要情報か、識別情報か認証情報か、公開情報か秘密情報かを厳格に区分して、データベースを設計して体系的に管理することがセキュリティの始まりだ。しかし、韓国のほとんどのシステムではデータを入り混ぜて管理している。文書上では、情報分類及びセキュリティレベル管理などの指針があるが、現実の環境ではこれはとても難しいことだった。企業だけでなく、国家行政的にも情報システムの運営において体系的なセキュリティが行われなかった。そして、大型事故が相次いで発生した。全体人口数よりもはるかに多くの個人情報が一気に流出される笑えない事故も起こっている。それも非常に頻繁に!
これは、ITセキュリティの問題においては見本としてちょうど良い例ではないかと思う。
実用主義暗号化を通じて、安全なシステムの設計および実装を成し遂げることを願う。