Scribble at 2024-04-22 07:52:05 Last modified: 2024-04-22 09:58:33
まず、僕が非公開企業の情報セキュリティ・マネジメントを担当する実務家であるという disclosure を述べておいて、この落書きが或るていどはポジション・トークであることを最初に明示しておく。もちろん、セキュリティ・マネージャとしての保身を動機として以下の文章を書いているわけではない。特定の管掌が不要となっても、僕はネットワーク技術者、プログラマ、コーダ、デザイナーとしても有能なので、他にやれることややるべきことはいくらでもあるからだ。したがって立場上では自滅的なことを書いていても、是々非々の観点からは当然のこととして言うべきだろうし、個々の論点でどういう結論になろうと僕がただちに職を失うわけでもないということは、あらかじめ述べておきたい。
とまぁ、堅苦しい前置きはここまでとして、上記の記事について簡単に情報セキュリティの実務家、つまりプロの情報セキュリティ・マネージャとして結論を言うと、上の記事のような議論こそ情報セキュリティ、すなわち情報資産を保全するという目的にとって不十分かつ不正確なアドバイスであり、プロの立場から言えば不適切ないし不健全ですらあると思う。以下に理由を述べる。
まず、既存のポリシーや対策が不十分であるという事実は、プロの観点で言えば、プロなら誰でも知っている事実にすぎない。セキュリティ対策は常に不十分であるほかになく、場合によっては不適切でもありえるが、それを指摘するだけで既存のセキュリティ対策がいらぬという結論は出てこないし、ましてや逆効果であるという結論も出てこない。記事で書かれているような子供じみた勝利者史観や短絡的な進歩史観で、現状こそ最善であるかのように錯覚してセキュリティ対策が万全であるかのような話をするのは、われわれプロにとっては問題外である。
第二に、僕も弊社が ISMS の認証を取得して監査を受けていたときに、監査担当者から「セキュリティ・ソフトなんて、もう Defender で十分ですよ」などという意見を聞いたことがある。これは事実だ。情報セキュリティのマネジメント・システムを監査する人々ですら、こういう意見をもっているのだ。したがって、多くの人々、ましてや毎年のように何千円もサブスク料金を払わざるをえない人々が、Windows に最初からインストールされている Defender(あるいは既に Windows のプロセス保護機能と一体化している EMET のようなしくみ)に飛びつきたがるのも分かる。しかし、Microsoft Defender の開発チームや部署は Windows あるいは Microsoft において部外者でもなければ独立した検査機関でもない以上、第三者としてアプリケーションやファイル・システムを管理したり検査するのとは別の牽制関係なり意図でセキュリティに向き合っているという可能性、あるいはリスクがある。決してサード・パーティのセキュリティ・ソフトが無用かつ無意味になるとは思わないが、もちろんそのリスクの見積もりや投じられる予算にも限りがあるため、リスクを受容するという自覚をもって Defender だけを使うようお勧めする。(実際、僕も自宅のマシンには Defender しか入れていないが、それは僕が情報セキュリティの実務家であって不要だから入れていないのではなく、リスクがあると分かっていて入れていないのである。よく、情報セキュリティの技術者を名乗る人物などが、ブログで「セキュリティ・ソフトは使っていない」とか「われわれには不要だ」などと自慢気に書いていたりするが、マネージャとして言えば、そういう未熟な考えの人材は、Stanford の Ph.D を持っていようと、しょーもないハックのコンテストで優勝していようと、弊社には採用したくないと思う。)
第三に、もちろん同じ問題はパソコンだけではなく、スマートフォンやタブレットについても当てはまる。いまやアカウントやファイルなどの情報資産は、クラウド・サービスを介して簡単に連携したり同期している。そして、情報セキュリティの世界では初心者向けのガイダンスなどで出す喩え話として、情報資産を保護する強さは個々の対策を繋ぎ合わせた鎖のようなもので表現でき、どこか一箇所でも弱い箇所があると、そこから対策の鎖は解けてしまい脆弱性が顕在化したりセキュリティ・レベルが低下してしまう。よって、情報資産を保護するための対策は全ての対策について同じていどのレベルを保たなければ全体のレベルを維持できないのであり、どこかに綻びがあるとそこを突破されてしまう。会社のような組織においても、僕らのような実務家だけが突出して技術や知識や権限をもっているだけでは、情報セキュリティや個人情報の事故は防げないのであって、個々の社員やパート、アルバイト、派遣社員、そして役員も含めて全員の知識や技能を少しずつでも引き上げていく必要がある。よって、スマートフォンやタブレットのような簡単に扱えるデバイスの情報セキュリティ対策も簡単だという保証などないと考えるべきであり、子供の玩具ですら扱い方によっては子供が死んでしまう事例でも分かるように、簡単であるということと安全であるということは違うと自覚する必要がある。モバイル機器の方がパソコンよりもセキュリティ侵害が起きにくいのは、単純にモバイルでやっていることやできることがパソコンよりも UI の点で制限されていたり、機能として少ないからであって、そこからモバイル・デバイスがセキュリティ攻撃を受け辛くて堅牢であるなどというデタラメな結論は出てこない。
そして最後に、なるほど記事が指摘するように、セキュリティ・ソフトだけではなく、パソコンの管理やデータの運用方法、あるいはアクセスしていいサイトの判断など、技術とは別の態度とか慎重さとか習慣というものが有効であることは間違いない。しかし、それはセキュリティ対策やセキュリティソフトを不要だと言い切るまでの強い効果や保証にはならないのであって、ユーザが気づかないところに色々な脆弱性があったり脅威にさらされているからこそ、そもそも「第三者の」管理手段が必要なのである。よって、ユーザ自身の態度や習慣の適切さを高めることは大いに結構だが、それを過大評価するのは、やはり傲慢でしかない。(Hacker News で上記の記事が取り上げられていたスレッドに、こういうコメントがあった。https://news.ycombinator.com/item?id=40105268 "Yes, even if rules are ridiculous. These rules help.")