──むしろ秘密というのは怪しい?
公開したらすぐ破られる、そんなに弱いものなのかと逆説的に受け取られる。それでは標準にさえ負けている。極秘という言葉にだまされてはいけない。
セキュリティ構築には経営に絡む3原則あり
──サイバーセキュリティでは明示性が原則なのですね。
かみ砕いて言えば、包み隠さず明らかにせよとなる。この原則のポイントは二つある。一つは、どのようにして安全を保ち、システムを守ろうとしているのかを示すこと。そしてどのようにセキュリティ対策を取り、その技術はどのような内容なのかを基本的に公開することだ。
もう一つは公開することで、安全性の評価を得るということ。発明者に限らず、その防御技術を考案した以外の人たちも、皆が評価に取り組まなければ安全とはいえない。評価をするとは平たく言えば攻撃することだ。皆で攻撃しても生き残るものなら信頼できる。攻撃されて破られてしまう技術もある。専門家がとるべきは、その後に破られた技術を発明した人たちにダメのラベルを張るのではなく、使えるものを使っていくというスタンスだ。それでこそ公開する意味がある。
──加えて首尾一貫性という原則もあるのですね。
セキュリティの対策を実行しようとすると、それに対する抵抗勢力が必ず出てくる。典型的な反対意見のパターンが、コストがかかる、利便性が下がるというものだ。その逆風の中で何とか落としどころを見いだそうと、一般的にはPlan(計画)→Do(実施)→Check(評価検証)→Act(処置改善)のPDCAサイクルを回すことになる。ややもすると、その過程で何かが抜け落ちたり、いつの間にか内容がすり替わったりする。
セキュリティ構築には首尾一貫の原則を貫き通すことが難しいという特性がある。たとえばプライバシーに関する記録を残す。十分な記録を残さないと、後からCheckができず、PDCAサイクルの効果が半減する。ところがこれは、プライバシー保護上の問題という議論になりがちだ。このほか機密の問題に直接かかわるし、さらには開発途上のセキュリティ関連記録を多様に残すことにもなる。この原則遂行は難しくとも、セキュリティ構築には不可欠と強く意識して取り組むべきなのだ。
ログインはこちら