ITセキュリティにまつわる誤解:将来起こるかもしれない問題よりもっと重要なこと

ITセキュリティにまつわる誤解の1つに、「将来起こりえる問題を予測して対処しなければならない」というものがあります。その前に、もっと重要なことがあるのではないでしょうか。

False-Perception-of-IT-security-Predicting-the-Future!

これから何回かに分けて、ITセキュリティに関する誤解について書いていくことにしました。この手の誤解は、本当にたくさんあります。さすがに全部とはいかないでしょうが、時間と気力の許す限りたくさん取り上げたいと考えています。今回は、その第一弾です。

私は1980年代初めの生まれで、映画を観て育ちました。たとえば『ターミネーター』『ロボコップ』『ウォー・ゲーム』『サイバーネット』『マイノリティ・リポート』『ブレードランナー』『マトリックス』などです。どのストーリーも、「テクノロジーが制御できないまでに発達する」という概念がベースにあります。もちろん、それはフィクションであって現実ではないと、私たちにはわかっています。しかしITセキュリティの話となると、最大の問題は将来の脅威からいかにして身を守るかだ、という考え方からどうにも離れることができません。

セキュリティカンファレンスに出席したり、記事やブログを読んだりするときにもそう感じます。誰もかれも、未知の脅威を発見したり防いだりすることにばかり注意を向けているように見える。セキュリティ企業や研究者は、そろってAPT(Advanced Persistent Threat)や標的型攻撃を取り上げる。誤解しないでください、こういう脅威について知るのはとても重要です。しかし、多くの企業が今まさに直面している攻撃やぜい弱性に目を向けたとき、あなたは別の問題を取り上げるかもしれません。

以前から存在するおなじみの脅威へ未だにきちんと対策できていない、という事実だけが問題なのではありません。研究者仲間と議論していると、未公開の新しい題材でないというだけの理由で、とても重要なトピックがお蔵入りなることが多いような気がします(セキュリティカンファレンスの場であっても)。

結果として、セキュリティ研究者や熟練の技術者は、興味深いツールやアイデア、ヒント、こつ、体験談をシェアしなくなってきました。

セキュリティ研究者である私たちは、自分が語る事柄について、もっと責任を持たなければなりません。私たちがブログに書いたり話したりする内容は、影響力があるのです。誤解しないでください。新たな脅威や差し迫った脅威に関する研究も、もちろん続けていく必要があります。

しかし私たちが最新のマルウェアの活動やぜい弱性についてばかり公の場で扱っていると、人々は最新の脅威から身を守ることに気を取られすぎて、もっと基本的な事柄(ぜい弱なシステム、推測しやすいパスワード、不適切なパッチ管理、ネットワークセグメンテーションの欠如、暗号化されないデータベース、既定の設定など)をおろそかにしてしまうでしょう。

ここで声を大にしたいのですが、私がセキュリティ業界の人間として「私たち」という言葉を使うときは、セキュリティ研究者だけを指しているのではありません。管理者、開発者、コンサルタントなど、IT業界にいるすべての人を指しています。開発者は、自らの記述するコードに対してさらに強い責任感とプライドを持たねばなりません。システム管理者やインテグレーターは、インストールしようとしているアプリケーションやOSについて十分に理解が必要です。

あなたが個人ユーザーであっても、やはりこの問題を真剣に考えなければなりません。あなたにも関係があるのです。誰も無関係ではいられません。何か問題が起こったらただ他人のせいにするのではなく、自分のITセキュリティの責任は自分自身で引き受けなくてはなりません。結局のところ、危険にさらされたのは単にパスワードが弱かったせいかもしれないのです。

過去を知らずに、未来の脅威と戦うことはできません。確かに私たちは、制御が及ばないほどのスピードでテクノロジーが進化する時代に生きているのかもしれません。しかし、ずっと先のことを予測しようとするのではなく、1歩下がって、すでに起こっている問題から片付けましょう。

ヒント