変わるものと変わらないものへの対応―セキュリティの脆弱性

映画「ダイハード4.0」ではサイバーテロリストが FBI のサイバーセキュリティ部門に戦いを挑んだ。彼らのような情報セキュリティの攻撃者にはコンピューターやネットワークのシステムの弱点や人間の不完全性、つまり脆弱性を突くのが常套手段である。

この「脆弱性」はかなり特殊な言葉だと思うが、最近の IT 業界では普通に耳にするようになった。そもそも、情報セキュリティの脆弱性はどこから来るのか。大雑把に言えば、コンピューターシステムそのものと、それを管理し利用する人間の特性の二つに分けられる。前者をシステム系、後者をヒューマン系に起因する脆弱性としよう。


● システム系の脆弱性とは

システム系の脆弱性は、日進月歩の IT 技術の進歩に深く関係している。コンピューターシステムはもともと利便性を追求・優先するものであり、またその設計思想は、今日見られる攻撃者の存在を前提にしていなかった。

しかし、IT 技術の進歩とともに、システムは高速ネットワークに繋がり、悪意あるクラッカーは遠隔から様々な攻撃を仕掛けられるようになった。最近はセキュリティを意識したシステム設計や開発が重視されるようになったものの、コスト競争に曝される開発現場の裾野までなかなか徹底できない面もある。

一方で、システムを動かすソフトウェアは、高度な機能を実現するために複雑化し、開発やテスト段階では認知できなかったものを含め欠陥やバグが増大し続けている。一旦脆弱性が見つかれば、それに対応する修正プログラム（パッチ）が作られるが、それを適用することで新たな問題を引き起こす可能性を生むという状況になって、パッチ管理自体が膨大な仕事になりつつある。

ところで、Edward Amoroso は著書“Cyber Security”の中で、システム系脆弱性の原因として、複雑なネットワーク アーキテクチャーや弱い認証などを並べているが、その中でシステムの多様性の欠如を挙げているのは興味深い。

我々を含む生命体では DNA の多様性が攻撃への防御策となっている。しかし、システムの世界では利便性や経済性のために共通化や相互操作性が追求され、その結果攻撃する側にとっても効率が良くなり、むしろリスクは高まっているというものである。

この状況が一朝一夕に変わるのは現実的には難しいが、将来システムが生命体のように多様性を織り込んだ進化を遂げる時代になれば、システム系の脆弱性のリスクは低減するかもしれない。


● ヒューマン系の脆弱性とは

一方、ヒューマン系の脆弱性は、基本的に人間の不変的な怠慢さに起因している。セキュリティの世界ではよく性善説から性悪説へのシフトという議論があるが、人間の怠慢さはもとより普遍・不変で、昨今のセキュリティ問題は以前からあった潜在的なものの顕在化だとも言える。

原爆開発のマンハッタンプロジェクトに集まった超優秀な科学者たちですら自分たちの金庫を管理できなかった。金庫よりずっと複雑なコンピューターが一般に普及した今日、それを性悪説と呼ぶかどうかは別として、人間の怠慢さ、不完全性から生まれる新たなセキュリティの弱点は絶えない。 また、システムが人間の作るものである以上、これは結果的にシステム系の脆弱性にも繋がるのである。そして、攻撃者は、観察やソーシャルエンジニアリングによって比較的容易にヒューマン系の脆弱性を見つけることができる。

日本企業は、このヒューマン系脆弱性がグローバルに不変的な問題であることを理解した上で、必要なルールの徹底、社員教育や監査など、地道なセキュリティ対策を継続する必要がある。


● 情報セキュリティリスクの視覚化が重要

常に進歩する IT 技術と不変に存在する人間の怠慢さ。この2つの要素が複雑に絡み合い、セキュリティの脆弱性は存在している。そして、一般の目からはなかなか分かりにくい。それだけにセキュリティの脆弱性から生まれるリスクの評価、視覚化を含んだ説明方法を工夫する必要がある。幸い、様々な脆弱性診断ツールなどが世の中に出回ってきているが、それらの進化やより効果的な使い方の余地は大いにある。

（AT＆T ジャパン株式会社 ソリューション企画部長 門野健治）