2018年03月17日に初出の投稿

Last modified: 2018-03-17

マカフィーの元副社長であるジョン・ヴィエガが書いた『セキュリティの神話』という本に、ブルース・シュナイアーの著作を妄信する人々への忠告という一文が収録されている。もちろん丁寧に調べたり検討すれば、シュナイアーの著作で議論されている主張の中にも疑問の余地が生じうるのは当たり前なのだが、日本どころかアメリカでもさほど明確に彼の主張を取り上げて批評する事例は多くないので、わざわざそういう文章を書く意義もあるのだろう。そして、ここでも同じ趣旨で別の話題について書いておきたい。

ヴィエガは、シュナイアーの名著とされる『暗号技術大全』を参考にして自力で暗号アルゴリズムを考案しようとする人々に対して、僕が当サイトで記事にした「シュナイアーの法則」と同じような理由で、迂闊なアルゴリズム開発を止めた方がいいと忠告している。そしてシュナイアー自身も、『暗号技術大全』を書いたスタンスには誤りがあったと後に認めて、『暗号技術大全』で展開した技術や数学への単純な信奉というスタンスを反省したという経緯で『暗号の秘密とウソ』という本を後で書いたと述べている。

しかし、『暗号の秘密とウソ』にも、情報セキュリティのコンセプトを啓発するにあたって(よほど周到な但し書きを付けて相手に読んでもらわない限りは)多くの初心者へ誤解を招く恐れのある説明が含まれていると思う。その筆頭は、彼が冒頭の序文から持ち出している「鎖」の比喩だ。僕は、この比喩を情報セキュリティの目標やモデルを描く際に、単独で(つまり適切な制約条件を読者へ伝えずに)振り回すのは危険だと思う。

その最も明白な理由は、情報セキュリティのインシデントは、必ずしも最も弱い箇所で起きるとは限らないからだ。

そのように判断しうる箇所や人員が組織や情報資産やビジネスプロセスに存在するなら、当然のこととしてマネジメントする側も発見する可能性が高い。攻撃者の観点から考えれば、あからさまに無能と分かる職員とか、初めて見ただけで分かる危険な箇所とか、誰が考えても脆弱な業務手順を発見したとしても、それがどのていど放置されていたかを見極めなければならない。なぜならダミーの可能性があるからだ。

たとえばコーポレートサイトの HTML ファイルにダミーのメールアドレスを CSS の display 属性で非表示にして埋め込むということは、しばしばスパム対策として採用されている。ページを正しく読んでいる人には、本当の連絡方法が分かるが、ソースコードを機械的にスキャンしているだけのロボットには、ソースに書かれている「メールアドレスっぽい文字列」しか分からないので、それを拾い出して会社の連絡先であるかのように営業メールを送ってくる相手のドメインは、ことごとくメールサーバで破棄するようにしておけばよい。そもそも多くの会社にとって利益となりうる相手が、そのような「ハーベスター」と呼ばれるメールアドレス収集のプログラムなど使うわけがないので、そのような営業メールを送ってくる相手を無視しても機会喪失になる可能性はゼロと断定してもよい(というか、そう断定するのが経営者のコミットメントというものである)。

多くの初心者は、上記の事例がどうして「情報セキュリティ」の話になるのか分からないかもしれない。しかし、情報セキュリティを一定のレベルで維持するべき「情報資産」というものには、個人データや画像ファイルだけではなく、企業のマネジメントシステムにおいては人的リソースや彼らの工数にもとづく企業の業務パフォーマンスも含まれるのである。そして情報セキュリティとは、いわゆる "CIA triad"(機密性、完全性、可用性)と呼ばれる三つの要素について一定のレベルを維持することとして説明できる。よって、従業員が営業メールをメールソフトで受信し、それをスパムかどうか判断して削除するという一連の手続きは、端的に言って工数の無駄遣いであり、わずか数秒の手続きであっても厳密には人的資産の可用性レベルを下げることになる。もしそういうメールが大量に届いていれば、そういう無駄は比例して増えてゆく。判断力の乏しい人員がメールを受信して取り扱っていたり、適切にスパム判定できるフィルタリング機能を備えていないメールソフトを使うといった脆弱性を放置することは、マネジメント上の懸念になりうる。逆に、攻撃者をおびき寄せたい場合に、最も脆弱な箇所や人員が最初に攻撃されると分かっていれば、実際には事業に強いインパクトはない箇所や人員を最も脆弱なままにコントロールしておけばよいという話になる。

しかし、現実にそんなことをやっている組織などというものは殆どないだろう。なぜなら、どこが最も脆弱であるかを正確に把握できるとは限らないからである。仮に最も脆弱そうに思える箇所をわざと作っても、そこが最もワナとして脆弱なままであり続けるという保証は無い。自社の従業員が勝手にもっと脆弱な箇所を作ってしまうかもしれないからだ(たとえば、習慣として鍵もかけずに開放されたままになってしまっている従業員用の通用扉や、一部の人員や部署で勝手に共有されている FTP パスワードなどがそうだ)。よって、鎖の最も弱い箇所からセキュリティが破られるという比喩をどれほど使おうと、実際にその最も弱い箇所がどこなのかを突き止める手段が無い限りは、その最も弱い箇所も含めて全体のセキュリティレベルを底上げするという無差別の対策しか実行しようがなくなり、あまり効果的とは思えない一律のルールを会社全体に押し当てるという、いつもながらの官僚的なマネジメントが横行することになる。

更に、鎖の比喩が一人歩きすると、仮に最も弱い箇所が分かるとしても、多くの組織では「まずそこから対策する」とか「そこだけを対策する」という安易な管理策を採用し易くなる。すると、あるていどは自然な成り行きとして社内でのランキング査定が始まったり、軽率なパワハラが横行するきっかけとなってしまう。鎖の最弱となるポイントに関心を集めすぎてしまうことによって、常に「誰が社内で最も無能なのか」ということにセキュリティ対策の重心が移ってしまい、このようなことが確率分布の問題であるという正確な理解からは遠ざかってしまう。そして、わずか数パーセントだけ確率が低いだけの箇所でも十分にインシデントが発生し得るという単純な事実が無視されて、そういう別の箇所で起きるインシデントを未然に防ぐ機会を失ってしまいかねない。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook