2018年2月16日
2018年2月16日
2018年2月16日(金)
一般利用者が教えてくれた今日のIT像
東北情報セキュリティ勉強会
代表 菊池 崇仁
このコラムを御覧の皆様初めまして、菊池と申します。私は東北情報セキュリティ勉強会という東北地方で情報セキュリティの啓発活動を行うITコミュニティの代表を行っております。
今回は私が最近行った一般利用者の方への情報セキュリティに対するヒアリングの結果から得られた "一般利用者が感じる今日のIT像" の一部をご紹介したいと思います。
ヒアリングは次の2つの質問をIT技術者以外の方に行いました。こちらには年齢・性別・職業を問わず、多くの方に協力して頂きました。この場を借りて御礼申し上げます。
まず1つめの質問
【ご自身が感じるITやインターネットについて危険や不安に思うことはどのような事ですか】
には次のような回答を頂きました。
- 自身が危ない状況に置かれているかどうかの判断ができない
- 架空請求や詐欺と思われるものも、つい見てしまう
- 説明書を読んだり、人から操作方法を聞いたりしても理解できない
- プライバシーポリシーなどは読まないし、読んでも内容が理解できない
私はこれを聞いて愕然としてしまいました。周りを見渡せば何らかの電子機器を操作している人ばかりの今日であっても、実際のところは他人の見よう見まね、もしくは以前の機種などで覚えたやり方で "何となく" 使っているのかもしれません。
続いて2つ目の質問
【危険や不安な状況を解消するにはどうしますか、もしくはどうあって欲しいですか】
には次のような回答を頂きました。
- 分からないときは友人や配偶者など他の人に聞く
- 本当は自分自身でできるようになりたい
- 専門用語や横文字は噛み砕いた表現にしてほしい
- 自身では良し悪しが分からないので、他の人が危険な状況にあってもそれを教えてあげられない
こちらの質問は多くの方から "可能であれば自力で解決したい" という力強いお返事を頂きました。しかしながら、それを阻む障害として横文字・カタカナ言葉に代表される専門用語や、巧妙かつ複雑になっている今日のITを支える仕組みが立ち塞がっているのが現状のようです。
このコラムをご覧になる方はご存知のことかと思いますが、私達の周辺を取り巻く環境は日々変化しており、情報セキュリティに関する話題が世の中を賑わすようにもなりました。守る側である私達のような技術者コミュニティの動きもまた活発化し、今日もどこかで白熱した議論が行われているかと思います。
しかしながら、攻める側と守る側の議論ばかりが先行して、最も層が多い一般利用者にその内容が正しく伝わらず "宙ぶらりん" になっているのではと感じることがあります。
以前、私の知り合いのセキュリティ技術者がこんなことを仰っておりました。
「情報セキュリティは "100点満点" を取らないといけない分野だ」
この言葉を聞いてはっとしました。情報セキュリティも家の防火や防犯と本質的には一緒で、正しく教えればITに詳しくない方でも、きっと分かってもらえるだろうと。そのためにも私達のような専門家がもっと一般利用者に向き合い、真摯に接してあげる必要があると考えています。
IT、特に情報セキュリティというと敷居が高いと感じる方もいらっしゃるかと思います。地方は首都圏と比べるとその傾向が顕著で、一般の利用者だけではなく、会社の経営に携わる方でもそういった方は数多くいらっしゃいます。
そんな方こそ私達の勉強会のような有志の取り組みに目を向けてみてください。そこに行けば何かが見つかる。そんな開かれたコミュニティを目指して今後の活動を行っていければと思っております。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2018年2月16日(金)
セキュリティ人材の育成が難しい理由
株式会社ラック
武田 一城
2018年である。しかも、この原稿を書いて居るのはすでに1月中旬で、公開されるのはサイバーセキュリティ月間の2月であり、そろそろ新年ボケとか言っているとなますに刻まれても文句は言えない時期になってしまった。なお、この原稿も昨年、安請け合いしたまま忘れてしまっており、今週締め切りだというメールを受信した。大きなショックを受けているにも関わらずそ知らぬ顔で執筆しているのは、このコラムを見た読者にとって過去の話だ。
● サイバー攻撃者の圧倒的な優位性
さて、そろそろセキュリティの話をしよう。昨今、サイバー攻撃は絶対数は拡大し、攻撃手法の質も巧妙になり、みなさんを効率的に攻撃できるようにレベルアップしている。そして、それらの攻撃がまったく鳴り止まないのは、攻撃者にとってそれが儲かるビジネスであるからだ。そのため、既存の攻撃者はサイバー攻撃事業の拡大を行う。儲かるビジネスなので後発の新規参入業者も後を絶たない――このような状況が起こっているのだ。
多少の誇張はあるかもしれないが、このような話はあながち冗談とは言えない。例えば、ダークウェブと呼ばれる闇のマーケットには、マルウェアやエクスプロイトキットなどのサイバー攻撃用のツールが公然と販売されているという。また、脆弱性を放置しているサイトなどの情報も入手できたりするらしい。これらはサイバー攻撃の新規参入ハードルを下げている。そして、これらが何を示しているかと言うと、そもそも圧倒的に有利と言われていた攻撃側が、さらに増強されているということだ。
●「セキュリティ人材」あってのセキュリティ対策
それでは、セキュリティ対策(防御側)はどうかと言うと、残念ながらはなはだ心もとない状況だ。その防御が、少なくともこの10数年ほとんど変わっていないからだ。その昔、セキュリティ対策とは「壁」のような仕組みで攻撃をはね返すものであった。その代表例がファイアウォールであり、これをネットワークゲートウェイに置くことで、外部からの不正侵入などを防ぐことが出来た。
しかし、サイバー攻撃はそのような単純なものではなくなり、セキュリティ対策製品だけではね返すことは不可能になった。そのため、セキュリティ製品は単純にはね返すことではなく、サイバー攻撃を検知する仕組みが主流となった。このような防御思想の変化で最も大事なことがある。それは、セキュリティ対策製品が検知した攻撃を人間が対処しなくてはならなくなったことだ。つまり、もう壁のようなセキュリティ“製品”には頼れなくなり「セキュリティ人材」が必要になったのだ。
しかしながら、セキュリティ人材は一部のセキュリティ専業ベンダーや大手のITサービスベンダーに例外的に居るだけだ。日本において必要なセキュリティ人材の絶対数は圧倒的に不足している。理由は、コストも問題やそもそもの育成の難しさなど色々あるが、ベンダー側の都合というのも見過ごせない。ITベンダーは、この10数年にわたり、本来セキュリティ人材による運用が必要なはずの最新のセキュリティ対策製品をそれ以前の製品と同様に導入するだけで攻撃をはね返すことができるかのように販売し続けた。
その結果、高性能であるものの、ユーザーが運用できないセキュリティ対策製品だけがむなしく動いている。それらは、今も誰も見ないログ、対応できない検知アラートを吐き出し続けているのだ。
これは、システムに詳しいはずのITサービスベンダーが、実はサイバー攻撃への対処ができないということが公然の秘密のようになってしまったことによって発生した。もし、そんなはずは無いと言われる方がいらっしゃれば、そのセキュリティ対策製品を導入したベンダーに「サイバー攻撃を受けているので至急対応して欲しい」と伝えてみるとよい。ほとんどのベンダーは、サイバー攻撃に対応できる人材を(少なくとも依頼があって即座に対応できるレベルには)提供できない。
その結果「対応できる人員をアサインできないので待って欲しい」というのは良いほうで、「緊急対応はできないので、別のベンダーを当たって欲しい」と言われることもあるだろう。しかし、サイバー攻撃は待ってくれない。右往左往しているうちに気づいた当初の被害だけでなく、より大きな被害を受けてしまうのだ。
● セキュリティ人材はエンジニアの上級職
非常に由々しき問題ではあるものの、このような状況が決して珍しくない。しかし、セキュリティ人材は一朝一夕には育成できない。緊急対応などができるセキュリティ人材となるためには、その前提条件としてIT全般の基礎知識はもちろん、特にシステムプラットフォームの技術知識が必要だからだ。一般の人は勿論、SE(システムエンジニア)という職種に就いている人でもこれらの知識を持ち合わせているのは決して多くは無い。たとえば、RPG(ロールプレイングゲーム)の「賢者」「バトルマスター」「パラディン」などを思い浮かべてもらうとわかりやすいかもしれない。最初は戦士や僧侶、魔法使いから始まり、複数の経験値が一定レベルになると上級職になれるのだ。もちろん、上級職なることがゴールではなく、社会というバトルフィールドでその後も経験値を積み上げていかなくてはならないのだ。
このように、セキュリティ人材の育成は、一般のSEと比べて非常にコストがかかるのだ。しかし、それにも関わらず、いくらセキュリティ対策を高めても直接利益を生むわけではない。さらに、セキュリティ人材候補に実際にサイバー攻撃への対応を経験させ続けなければならないことも大きな課題だ。既存のITベンダーにとって、このような高コストにもかかわらず儲かりにくい人材育成がなかなか進まないのは当然かもしれない。企業という組織は、営利を目指し続けるというのが根源的な存在理由だからだ。
● セキュリティ人材の組織の中でのポジション変革の必要性
これまで、セキュリティ人材は情報システム部の一部だと理解している人が多かった。しかし、ここまで高い技術と経験を求められるエンジニアをその枠の中で賄うことは非常に難しい。その理由は簡単だ、このセキュリティ人材の上長が情報システム部門の部長か課長になってしまうからだ。それによって、その人材の待遇は技術よりはるかに低く抑えられることになる。この環境では、せいぜい主任か係長級の待遇であろう。
そのような待遇では、このような高コストな人材を育成できたとしても維持することはできないだろう。その状況はすでにベンダーでははじまっており、ベンダー間ではセキュリティ人材の争奪戦の様相となっている。これを是正するために、セキュリティ人材のポジションを変えることが必要だ。
セキュリティ対策を経営課題として位置づけ、その組織で何を守るべきか、また守れなかったらどうなってしまうのかなど正しく理解する。その上で、経営層に直結したセキュリティ部門を作るべきだ。そのような組織にセキュリティ人材を位置づけなければ、その組織にセキュリティ人材が根付くことは無い。それは、その組織に有事があれば一瞬にして重大な危機に陥るリスクを放置してしまうことになるだろう。
もしあなたが、そんな風になりたくないと考える組織の意思決定者であるならば、今すぐこれを行動に移すべきだ。なぜなら、あなたが戦っているバトルフィールドは、RPGにも劣らない魔物や魔王が居る。そこで丸腰というのはあまりに無謀だろう。あなたが生き残るためには「セキュリティ人材」という名の頼もしい武器が必ず必要になるはずだ。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。