サイバー攻撃にかなう完璧な防御技術はない 日本の経営者には危機感が足りない

✎ 1〜 ✎ 130 ✎ 131 ✎ 132 ✎ 最新
著者フォロー
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

縮小

──むしろ秘密というのは怪しい?

公開したらすぐ破られる、そんなに弱いものなのかと逆説的に受け取られる。それでは標準にさえ負けている。極秘という言葉にだまされてはいけない。

セキュリティ構築には経営に絡む3原則あり

松浦 幹太(まつうら・かんた)/1969年生まれ。東京大学大学院工学系研究科電子工学専攻博士課程修了。博士(工学)。専門は情報セキュリティ。誰もが快く 情報をやり取りできる社会システム構築への科学的貢献を目標に、暗号、ネットワーク、経済に至るまで関連するさまざまなトピックを対象とした研究に取り組む

──サイバーセキュリティでは明示性が原則なのですね。

かみ砕いて言えば、包み隠さず明らかにせよとなる。この原則のポイントは二つある。一つは、どのようにして安全を保ち、システムを守ろうとしているのかを示すこと。そしてどのようにセキュリティ対策を取り、その技術はどのような内容なのかを基本的に公開することだ。

もう一つは公開することで、安全性の評価を得るということ。発明者に限らず、その防御技術を考案した以外の人たちも、皆が評価に取り組まなければ安全とはいえない。評価をするとは平たく言えば攻撃することだ。皆で攻撃しても生き残るものなら信頼できる。攻撃されて破られてしまう技術もある。専門家がとるべきは、その後に破られた技術を発明した人たちにダメのラベルを張るのではなく、使えるものを使っていくというスタンスだ。それでこそ公開する意味がある。

──加えて首尾一貫性という原則もあるのですね。

セキュリティの対策を実行しようとすると、それに対する抵抗勢力が必ず出てくる。典型的な反対意見のパターンが、コストがかかる、利便性が下がるというものだ。その逆風の中で何とか落としどころを見いだそうと、一般的にはPlan(計画)→Do(実施)→Check(評価検証)→Act(処置改善)のPDCAサイクルを回すことになる。ややもすると、その過程で何かが抜け落ちたり、いつの間にか内容がすり替わったりする。

セキュリティ構築には首尾一貫の原則を貫き通すことが難しいという特性がある。たとえばプライバシーに関する記録を残す。十分な記録を残さないと、後からCheckができず、PDCAサイクルの効果が半減する。ところがこれは、プライバシー保護上の問題という議論になりがちだ。このほか機密の問題に直接かかわるし、さらには開発途上のセキュリティ関連記録を多様に残すことにもなる。この原則遂行は難しくとも、セキュリティ構築には不可欠と強く意識して取り組むべきなのだ。

次ページ他社・業界の取り組みに「ただ乗り」するのは危険
関連記事
トピックボードAD
ライフの人気記事