Scribble at 2023-02-10 14:47:15 Last modified: 2023-02-10 20:58:56

添付画像

箱から取り出して、そのままWebにアクセスしても、Windows 11ならセキュアにブラウジングできます。

Windows セキュリティ: Defender、Windows 11 向けのウイルス対策ソフトウェア | Microsoft

企業の情報セキュリティを担当している者として経験から言わせてもらうと、まず第一に、いわゆる「セキュリティ・ソフト」が必要であることは確かだと思う。なぜなら、現代の OS というものはデバイスへの組み込みといった専用の特殊な用途でもない限り、最初から厳重なセキュリティが設定されているわけではないからだ。一般の電器店やオンライン・ショップで販売されている「汎用型」のパソコンに入っている Windows や macOS 、いやそれどころかマニアが公式サイトからダウンロードした UNIX や Linux ですら、およそ汎用型の OS として提供されているものは、最低限のセキュリティ設定しか有効になっていない。ここから、僕らのようなプロの技術者や、余ったパソコンに UNIX をインストールして遊んでるような人であればともかく、大多数のパソコン利用者が自力で SELinux とか FileVault の設定をしろと言われても困るだろうし、混乱が起きるのは目に見えている。したがって、世の中に出回っているセキュリティ・ソフトというものは、そうしたスタンダードな状況の OS であっても、追加の機能を加えることによって、情報なりデータという資産を保護する役割がある。

しかし、こういうものを幾らでも買えば安全かというと、そういうものでもない。第一に、個人だけでなく僕らのような中小企業でも、予算には限りがある。僕らは自社の事業が主な活動目的なのであって、セキュリティを高めることは活動に寄与するしリスク対策になるとは言え、はっきり言えばセキュリティをどれほど厳重にしたってサービスや商品がたくさん売れるようになったり、儲かったりするわけではないのだ。よって、これは情報セキュリティ管理の基本として大学でも企業でもプロを目指す人たちには必ず教えられることだが、セキュリティのレベル(安全度、リスク対応度、障害耐性などなど)というものには限度があり、それは守りたい資産の価値と自社の脆弱性、そして一般的に見込まれる脅威という三つの要素で考えた「リスク」と予算配分とのバランスが大切である。

もちろん、僕は "private, personal, or family ISMS" というコンセプトを提唱しているため、同じことは家庭なり個人にも言える。企業ユースのセキュリティ・アプライアンス、たとえば Cisco ASA とか FortiGate などを自宅のルータに接続して、家庭内のネットワーク通信を保護しようとするのは、もちろん無駄ではないとしても、はっきり言ってオーバー・スペックも甚だしい。また、ちまたには何か特別なセキュリティ・ソフトを使わないと不安だとか、企業でも有料のセキュリティ・ソフトを使っていないと申し開きが立たないといった不思議な錯覚が根強くあるみたいだが、これも僕らに言わせれば無用な心配である。結論だけ言えば、Windows のセキュリティ・ソフトなんて、いまや最初から入ってる Defender でも十分だ。これに加えて、有料のソフトウェアを買ったり、あるいは個人情報を渡してまで胡散臭い無料のソフトウェアを導入するなんてことは、たいていの一般ユーザにとっては無駄なことでしかない。これは、僕の会社が認証を受けていた ISMS (Information Security Management System, JIS Q 27001) という規格の監査で、何人か入れ替わりで当社を担当してきた監査員・審査員の全員が言っていたことでもある。

その理由は、簡単だ。追加で購入したり無料でダウンロードしたセキュリティ・ソフトであろうと、僕らのように挙動の意味が分かっている人間が設定しない限りは、Defender を超えるような性能なんて発揮できないからである。昔は、ウイルスの検知率などという比較があって、セキュリティ・ソフトを細かく設定しなくても勝手に見つけて駆除してくれるような機能について、企業ごとに検知率を競っていたものだが、現代においてはシグネチャのパターンや数を元にした比較に意味はない。言い換えると、シグネチャの数なんて幾らでも増やせるものでもないし、増やしたところで企業どうしの違いは殆どなくなっている。寧ろ、未知の脅威に対応するのが現代のセキュリティ・ソフトの設計方針であろう。

だからといって、インチキ・ベンチャーみたいに「AI」だの「機械学習」だのと、本当に分かってるのかどうかも分からない数学や工学の用語を振り回したところで、完全でもないシステムを乱用した極端なポリシーには必ず第一種錯誤(偽陽性)なり第二種錯誤(偽陰性)という問題がある。そして、この一回の間違いが致命的な結果を招くことがある。とはいえ、どのていどのポリシーであれば受け入れられるかも一概には言えないところがあり、これを緩めすぎると、当たり前だがセキュリティ・ソフトを使っている意味がなくなってしまう。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る

※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook