2018年3月5日
2018年3月5日
2018年3月5日(月)
酒場にて ~ 酔っ払いオヤジの世迷いシフト
元・日本ネットワークセキュリティ協会(JNSA)幹事
けん ぼよよん
プロローグ
おやじさん、まだお店開いてる?
あと1時間で閉店?そりゃ丁度いい、オイラも終電で帰るから。毎朝5時起きですよ、朝晩の寒さが堪えるサラリーマン生活。熱燗つけてくれる?おでんも適当に宜しく。
ん?仕事?
今はアパレルですよ。アパレルなんてカッコつけてるけど、つまり洋服屋さん。洋服作って売ってるの世界中で。頑張ってますハイ。おっと熱燗ありがと。おやじさんも一杯どう?暖まるね…それでね、アパレルの前は何とITですよ。イットと書いてアイティーと読む。おやじさん分かるの?そうそう、パソコンとかスマホとか…「サイバー攻撃」なんて言葉知ってるの!おやじさんイット詳しいじゃん!いや馬鹿にしてないってホントに…今の時代は酒場の大将もサイバー攻撃とか言うんだね、ビックリだよ。昔は違ったよ、サイバーとかセキュリティとか、一部のオタクだけの世界だった。でさ…
「情報資産」から始まった
オイラがセキュリティの仕事始めたのは2004年。当時は本当に商売が無くてさ、誰に何を売っていいか全然分かんない時代だったよ。ファイヤーウォールとか言う箱をチョロチョロ売ったけど全く儲からない。セキュリティってのは大事なモノを守るガードマンみたいな仕事なんだけど、そもそも「何を守るべきか」をお客さんも俺達も分かってないから話になんない。そこを整理するのが最初の壁だった。
今の時代、会社経営は「ヒト・モノ・カネ・情報」が重要って言うんだけどさ、当時は誰も「情報」なんて言ってなかったよ。「情報を守る」なんて言われても目に見えないからピンと来ない。だからお客さんと一緒に「守らなきゃいけない大事な情報=情報資産」は何かをゼロベースで考えるのがスタート。でもね、情報の価値って難しいよ?おでんの出汁の秘密のレシピがあるとしてさ、価値は幾らなんて言えるかい?仕方ないから皆でトンチ出し合って「情報資産リスト」ってのを無理くり作って、さぁ守るべき大事なモノが決まったので次はどうやって守るか考えよう…って順番。これがまた難しい。書類だったら戸棚に入れて鍵閉めればいいけど、データだったらどうすんのさ。皆が毎日何度も参照するデータを鍵付きの棚なんかにしまえない、しかも重要なデータに限って皆が頻繁に使うんだよな。仕方ないから「鍵付き棚」は諦めて、誰がデータにアクセスしたか記録に残して、変なアクセスが無かったか定期的に調べようと言うことになる。何となく聞こえはいいけど「変なアクセス」って何を基準に判断すればいい?仕方ないから「正しいアクセス方法」を決めて、それ以外は「怪しいアクセス」と見做してチェックする。こうやって、一歩一歩手探りでルールを決めてった時代だね。大変だったけど手作り感のある仕事だった。
本格的なサイバー攻撃が始まった
セキュリティの仕事を始めて5年くらい経った頃かな、お客さんから「大至急助けて!」という緊急通報を受ける場面が日増しに増えてきた。当時のトラブルで多いのは「ウイルスに感染した」「メール誤送信した」「パソコン失くした」なんてケースだったけど、徐々に「内部犯行で大量の顧客データを社外に売っちゃった」「Webサイトが不正アクセス受けて個人情報を抜き取られた」なんていう洒落にならない事件が増えてきた。この頃になると「情報資産」って言葉は一般化してたけど、守るべきは単なる「資産」じゃなくて「会社」や「商売」そのものなんじゃないか?という危機感が芽生えつつあったね。2011年に社会を揺るがす標的型攻撃が明るみに出ると、サイバー攻撃は企業や組織の存続に関わる重要問題だと皆が口にするようになり、新規参入する人々が増えて業界が急に大きくなった気がしたよ。古くから業界にいた重鎮たちは複雑な顔してたね…世間に認められて嬉しいのが半分、大して苦労してない新参者が偉そうに語るのを見聞きして腹立つのが半分。素直じゃないよねぇ(笑)
再び“踊り場”に差し掛かっている
オイラは2016年にセキュリティの仕事から離れちゃったんだけど、最後の1年は「サイバーセキュリティの未来図」をずっと考えてた。世の中これだけインターネットとITが溢れてしまうと、ちょっとした事でも深刻な問題に発展しかねない。お金目当てのサイバー攻撃なら命の心配は要らないけど、社会の混乱を狙ったサイバーテロの危険もある。飛行機の管制システムをハッキングして墜落させるとか、発電所をハッキングして大規模停電を起こすとか、自動運転車を狂わせてブレーキを効かなくするとか。SF映画の世界が現実に近づいてる、正直怖いよ。
個人的には「資本主義への攻撃」、即ち「お金への攻撃」を心配してる。お金を奪う窃盗犯じゃなくて、金融システムそのものに攻撃を加えて「お金を燃やしてしまう」攻撃。銀行口座にあるお金が、ある日全てゼロになったらどうする?盗まれたなら返して貰えばいいけど、記録が全て消えて無くなったら?ランサムウェアっていう悪いプログラムがあってさ、攻撃対象のデータを壊しちゃうんだよ、バックアップまで壊しちゃうんだよ?あれが急激に進化したらどうなるんだろ。裕福な先進国に対する貧しい国家の憎しみは凄まじいよ。世界の金融システムが攻撃を受けて、データがボコボコに壊されて、お金が燃えたら資本主義社会は終わり。先進国の国民は震え上がるだろうね。
でもね、ブロックチェーンという技術の話を聞いた時、「これが答だ!」と閃いたね。ブロックチェーンを使って作られた通貨は「燃えない」んだよ。悪い奴らが幾らデータを壊しても、世界のどこかに燃え残りがあれば復活するんだ、凄くない?中央集権的で危うさをはらむ現代金融システムを進化させる夢のテクノロジーだと期待してた。なのに現実は何だよ。通貨とは名ばかりの怪しい投機商品が市場に溢れ、汗もかかずに一攫千金を夢見る人々が仮想通貨バブルを生み、挙句の果てにサイバー攻撃でゴッソリ盗まれましただと。
オイラはもう業界から卒業した身だから偉そうな事を言う資格無いけどさ、酔った勢いで言っちゃうよ。「取引所のセキュリティ対策が甘かった」なんて後付けで非難してるヤツ、この業界で生きてく資格ナッシング!セキュリティが「情報資産」を守れば済んだ時代はとっくの昔に過ぎ去り、今は「社会」を守るのがセキュリティの使命なんだろ。仮想通貨取引所がテイクダウンされるのはセキュリティ業界の敗北なんだよ。
俺たちはな、大切なモノを捉え、それを守る。昔も今も原理原則は変わってない。何が社会にとって守るべき大切なモノなのか、よーくよーく考えるんだ。それを、先回りして、守る。ボケッとしてたら負けなんだ。考えろ!先回りしろ!「後始末」じゃなくて「前始末」だ!前始末がポイントなんだよ…先回りするんだよ…
エピローグ
お客さん?お客さんってば!
あーもう、盛り上がるだけ盛り上がって寝ちゃったよ…もう店仕舞いなのに困ったね。最後は「先回り」「前始末」なんて連呼してたけど、自分の始末も出来てない。でもまぁ「前始末」ってのは商売の基本、それは間違いないね。そう言えば、こないだ呑みに来た恰幅のイイお客さんも似たような事を言ってたな。人差し指をこう左に向けて、シフト何とかとか…おーい、お客さん!目を開けてシフト何とかしてくれよ!!お客さん!!
(終わり)
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。