サイバー攻撃にかなう完璧な防御技術はない

日本の経営者には危機感が足りない

──むしろ秘密というのは怪しい?

公開したらすぐ破られる、そんなに弱いものなのかと逆説的に受け取られる。それでは標準にさえ負けている。極秘という言葉にだまされてはいけない。

セキュリティ構築には経営に絡む3原則あり

松浦 幹太(まつうら・かんた)/1969年生まれ。東京大学大学院工学系研究科電子工学専攻博士課程修了。博士(工学)。専門は情報セキュリティ。誰もが快く 情報をやり取りできる社会システム構築への科学的貢献を目標に、暗号、ネットワーク、経済に至るまで関連するさまざまなトピックを対象とした研究に取り組む

──サイバーセキュリティでは明示性が原則なのですね。

かみ砕いて言えば、包み隠さず明らかにせよとなる。この原則のポイントは二つある。一つは、どのようにして安全を保ち、システムを守ろうとしているのかを示すこと。そしてどのようにセキュリティ対策を取り、その技術はどのような内容なのかを基本的に公開することだ。

もう一つは公開することで、安全性の評価を得るということ。発明者に限らず、その防御技術を考案した以外の人たちも、皆が評価に取り組まなければ安全とはいえない。評価をするとは平たく言えば攻撃することだ。皆で攻撃しても生き残るものなら信頼できる。攻撃されて破られてしまう技術もある。専門家がとるべきは、その後に破られた技術を発明した人たちにダメのラベルを張るのではなく、使えるものを使っていくというスタンスだ。それでこそ公開する意味がある。

──加えて首尾一貫性という原則もあるのですね。

セキュリティの対策を実行しようとすると、それに対する抵抗勢力が必ず出てくる。典型的な反対意見のパターンが、コストがかかる、利便性が下がるというものだ。その逆風の中で何とか落としどころを見いだそうと、一般的にはPlan(計画)→Do(実施)→Check(評価検証)→Act(処置改善)のPDCAサイクルを回すことになる。ややもすると、その過程で何かが抜け落ちたり、いつの間にか内容がすり替わったりする。

セキュリティ構築には首尾一貫の原則を貫き通すことが難しいという特性がある。たとえばプライバシーに関する記録を残す。十分な記録を残さないと、後からCheckができず、PDCAサイクルの効果が半減する。ところがこれは、プライバシー保護上の問題という議論になりがちだ。このほか機密の問題に直接かかわるし、さらには開発途上のセキュリティ関連記録を多様に残すことにもなる。この原則遂行は難しくとも、セキュリティ構築には不可欠と強く意識して取り組むべきなのだ。

次ページ他社・業界の取り組みに「ただ乗り」するのは危険
ライフの人気記事
トピックボードAD
関連記事
  • 仲人はミタ-婚活現場からのリアルボイス-
  • ぐんぐん伸びる子は何が違うのか?
  • 本当は怖い住宅購入
  • 非学歴エリートの熱血キャリア相談
トレンドライブラリーAD
人気の動画
採用担当者が嘆く「印象の悪い就活生」の共通点
採用担当者が嘆く「印象の悪い就活生」の共通点
ヤマト独走に待った!佐川・日本郵便連合の勝算
ヤマト独走に待った!佐川・日本郵便連合の勝算
不祥事続く三菱電機、「言ったもん負け」の特異体質
不祥事続く三菱電機、「言ったもん負け」の特異体質
度数1%未満の「微アルコール」が広がる理由
度数1%未満の「微アルコール」が広がる理由
アクセスランキング
  • 1時間
  • 24時間
  • 週間
  • 月間
  • シェア
トレンドウォッチAD
私大トップ校の次の戦略<br>早慶上理・MARCH・関関同立

受験生確保や偏差値で高い水準を誇る関東・関西のトップ私大13校。少子化や世界との競争といった課題に立ち向かうための「次の一手」とは。大きく揺れる受験動向や、偏差値や志願倍率と比べて就職のパフォーマンスが高い大学・学部なども検証します。

東洋経済education×ICT