Opinion : よからぬ現実を隠すべからず (2003/7/28)
 

いろいろと考えていたネタはあったのだが、結局、今週は手近なところから書いてみることにした。

経済産業省が、「セキュリティ甲子園」(このネーミングだけは、いかがなものかと思う) という、コンピュータへの侵入と防御を競うイベントを企画したら、「不正侵入行為をあおる」とかなんとか批判が出て、土壇場でイベントが中止になったそうだ。「そんな批判が出ることぐらい、最初から想定できなかったのか」とも思うが、そもそも、この手の批判自体がおかしいと思う。

その理由は二つ。コンピュータに対する不正侵入でも何でも、攻撃者の手口を知らなければ防衛はできない、というのがひとつ。たいていのテクノロジーには善用も悪用もできる二面性がある、というのがひとつ。


まず、「攻撃者の手口を知らなければ防衛できない」という点から。

自分が軍ヲタだから、コンピュータ・セキュリティについて考える際にも、「脅威の評価を行ってから、それを基に対策を考えるべきだ」などと、国家安全保障戦略みたいなことをいったり書いたりしているが、この考えは今でも変わっていない。そもそも、どんな脅威が生じるのか想定せずに、どうやって対策を立てるのか。

たとえば、手近な話題で「北朝鮮の脅威」というものがあるけれども、北朝鮮が 1 個軍団規模の水陸両用戦部隊を日本海岸に上陸させる、なんて思っている人はいないだろう。かの国には、それを実現する部隊も装備もない。ということは、日本側でそうした事態に備える必然性は薄いことになる。

逆に、弾道ミサイルによる威嚇攻撃は、真剣に考える必要がある。もっとも、ノドンやテポドンが何発か落ちてきたところで、核弾頭装備でもなければ、日本が壊滅的に被害を蒙ることはないわけで、チャック・ホーナー式にいうと「テロ兵器」と位置付けてもおかしくない。もっとも、テロ兵器でもそうでなくても、弾道弾迎撃技術を持つことは、抑止の観点から見て理に適っているとは思う。
また、「不審船」みたいな特殊工作も、拉致事件という前科もあることだし、真剣に対策を考えておきたいもののひとつだ。

これらは、実際に脅威があると考えられるから、その度合を評価して、対策を考えることになる。これがセキュリティ対策の基本的な考え方で、国家安全保障に限らず、コンピュータ・セキュリティでも同様の考え方ができる。

だから、「オープンソース・ソフトウェアを使っていれば、それだけで安全性が高くなる」なんていう超単純な考え方は、安全保障戦略という意味では褒められたものではない。どういう危険性があるか認識して対策を講じずに、安全が手に入るはずがない。
こんな考え方をしている人に限って、意外な盲点を突かれて攻撃されるのがオチ。

そう考えると、攻撃者の手口を知り、それに対してどう対処すべきかということを実地に経験する意味で、今回のイベントは価値があったと思う。くだらない言いがかりに負けてイベントを中止してしまった経済産業省は、いささか不見識というもの。

先日、「Network World」誌の特集で、ルータのパケットフィルタ設定について簡単にまとめた記事を書いたけれども、あれだって、どのプロトコルが不正侵入者に狙われるか知らなければ、何をフィルタしていいのか分からない。攻撃者の手口を知らずに、どこをどう護るというのか。攻撃されるポイントを知らないフィルタ設定なんていうのは、泥棒が裏口から入ってくるのに玄関だけを見張っているようなものだ。


もうひとつの、「テクノロジーの二面性」という話。これはすでにさまざまな方面でいわれていることだけれども、ついでだから書いておきたい。

ノーベル賞を設立するきっかけになったダイナマイトの話を引き合いに出すまでもなく、人類が新しいテクノロジーを考えたとき、それは往々にして、善用と悪用の両方が存在したはずだ。
たとえば、核分裂反応は爆弾にも発電にも使えるし、GPS は巡航ミサイルの誘導にもカーナビにも測量にも使える。コンピュータは不正侵入による破壊行為にも文書作成にもミサイル迎撃にもゲームにも使える。Word の VBA は物書き用のツール作りにもウィルス作りにも使える。もともと軍用コンピュータ・ネットワークとしてスタートしたインターネットは、情報収集にも嫌がらせにも、あるいは遠距離恋愛カップルを結ぶホットラインとしても使える。

こうした、すべてのテクノロジーにつきものの二面性を認識するという意味で、攻撃側と防御側の両方を体験するのは意味があると思うし、イベント中止によってその機会を奪ったところで、世の中から不正侵入行為が 1 件でも減るかどうか疑わしい。あらゆるテクノロジーが善用も悪用もされるのであれば、その現実に蓋をするのではなく、事実をありのままに見せる方が、よほど教育的効果があるのではないか。

それを「国が不正行為の技術を奨励するのはいかがなものか」なんていう批判をするのは、「臭いものには蓋」精神の発露というもので、見当違いも甚だしいし情けない。そして、それを真に受けてイベントを中止してしまい、正々堂々の説得ができなかった経済産業省も、これまた情けない。これだから、小心者かつ安全第一の官僚心理ってやつは…


「世の中の暗部は見たくない、見せたくない」という考え方が、どうもこの国では過度に幅を利かせているような気がする。なにも、子供にセキュリティホールの突き方を教えろとはいわないが、コンピュータ (特にネットワークで結ばれたコンピュータ) にはセキュリティ問題があること、それは攻撃者の手口と防御側の技術の両方を知ることで対策を講じるきっかけになること。また、コンピュータ自体だけでなく、それを使う人間に対するソーシャル・エンジニアリングという危険も存在すること。こうした現実から目を逸らしてはいけないと思う。

そうやって、「暗部」を知らないままに危険地帯に放り出される方が、よほど危険だと思うのは自分だけだろうか。そんな調子だからこそ、インターネットで待ち受けている危険を認識せずに、目にした物事を盲信してトラブルに巻き込まれる人が後を絶たないのではないか。
意外と深刻なのがソーシャル・エンジニアリングの問題で、これに対する認識が甘いからこそ、「オレオレ詐欺」みたいな犯罪が発生するのではなかろうか ? どんなにソフトウェアのセキュリティ対策を施しても、ソーシャル・エンジニアリングには対抗できない。

どうも、コンピュータ・セキュリティでも国家のセキュリティでも、多くの日本人の考え方はズレているように思えてならない。

Contents
HOME
Works
Diary
Defence News
Opinion
About

| 記事一覧に戻る | HOME に戻る |