『セキュリティはなぜやぶられたのか』を読む 1
セキュリティはなぜやぶられたのかposted with 簡単リンクくん at 2007. 4. 2ブルース・シュナイアー著 / 井口 耕二訳
日経BP社 (2007.2)
通常24時間以内に発送します。
今週は仕事もなくプチ失業状態なので, この機会に 『セキュリティはなぜやぶられたのか』 を読むことにした。 いつもと違って読みながら記事を書いていくことにする。 いや, なんか分厚いし全部読んでから書くのはしんどい気がしたので。 (4/3 追記あり)
まず, このダメダメな邦題について。 といっても, この件については既に yomoyomo さんが苦言を述べておられるので, そちらを是非どうぞ。 yomoyomo さんによると「とても重要な内容を持つ本であり、翻訳もそれを損なっていない」とのことなので, 安心してこの本をベースに考えていくことができそうである。
内容は3部構成。 今回はそのうちの第1部「賢明なセキュリティ」について思いついたことを書き連ねてみる。 大量の引用があるけどご容赦を。
第1部では言葉の定義(?)がたくさん出ている。 まずはこれらをざっくりと整理してみる。
- セキュリティとは防止のことである。 (p.17)
- セキュリティは「意図的」な行為を対象とする。 (p.18)
- 意図的でない行為から資産を守るのは安全対策であってセキュリティではない。
- 意図的な行為が「不当」だというとき、それは「防御者」から見て不当だという意味である。 (p.18)
- セキュリティを考える場合、「攻撃者」が意図的で不当な行為をすることが前提となる。 (p.18)
- 意図的で不当な行為を「攻撃」と呼ぶ。 (p.19)
- 攻撃対象を「資産」と呼ぶ。 (p.19)
- セキュリティはまた、防御のメカニズムを指すこともある。 (p.19)
- 本書では個別のセキュリティ構成要素を「対策」と呼ぶ。(中略) 対策の集合体がセキュリティシステムである。
- 脅威とはシステムに対する攻撃方法を意味する。 (中略) プロがリスクと言うときには、脅威の発生可能性と攻撃が成功したときの被害の重大さを考慮している。 (p.30-31)
- セキュリティを難しくしている原因のひとつに、複数の集団(本書では「関係者」と呼ぶ)が関係する点が揚げられる。 しかもリスク認識やリスクに対する許容度、トレードオフの心づもりは主観的であり、関係者によって異なる。 各関係者は主観的にセキュリティをとらえ、そのセキュリティ課題に対する自分の考えと自分の周りにあるセキュリティ以外の要因とにもとづいてトレードオフを選ぶ傾向を強く持つが、これは当然である。 これをまとめて「思惑」と呼ぶ。(p.48-49)
セキュリティ(=防止)と安全対策を分けて考えるというのは面白いかもしれない。 これについては第2部以降でも取り上げているようなので, また書く機会もあるだろう。
第1部で押さえておくべきは「リスク」の考え方だろう。 この本における「リスク」の考え方は非常に面白い。
その前に以前書いた記事のおさらい。 吉川肇子さんの 『リスクとつきあう』 によると,
「リスクとは、被害がどのくらい重大であるかということと、それはどの程度の確率で起こるか、という二つの要素の積で表されるものとして定義されている。 (中略) 更に、この被害の重大性をハザードという。厳密には、ハザードとは、「人や物に対して、損害を与える可能性がある行為ないしは現象」と定義されている。」(p.40)
とある。 『セキュリティはなぜやぶられたのか』 の定義で言うなら「脅威」がすなわちハザードであると言える。
更に中西準子さんの 『環境リスク学』 ではリスクを以下の3つに分けている。 (p.185-186。 余談だが, この本のオリジナルタイトルが “Beyond Fear” で, 『環境リスク学』 の副題が「不安の海の羅針盤」という一致の仕方が面白い)
- 科学的評価リスク(科学的に詰めて得られたリスクの大きさ)
- 意思決定のためのリスク(社会の意思決定で用いられるリスクの大きさ)
- リスク不安(かなりの国民が抱く不安としてのリスクの大きさ)
普通, 専門家が「リスク」という場合は科学的評価リスク(被害の重大性×生起確率)を指す。 一方, 『リスクとつきあう』 では Bennet による研究を紹介し(p.80), 一般の人が「怖い」と感じる(つまりリスク不安を増大させる) 11 の要素を挙げている。 (リスク認知については他にもいろいろ紹介されているので 『リスクとつきあう』 は是非読んでほしい)
- 非自発的にさらされている
- 不公平に分配されている
- 個人的な予防行動では避けることができない
- よく知らないあるいは新奇なものである
- 人工的なもの
- 隠れた,あるいは取り返しのつかない被害がある
- 小さな子供や妊婦に影響を与える
- 通常とは異なる死に方(病気,けが)をする
- 被害者がわかる
- 科学的に解明されていない
- 信頼できる複数の情報源から矛盾した情報が伝えられる
さて, 『セキュリティはなぜやぶられたのか』 ではリスクを「脅威の発生可能性と攻撃が成功したときの被害の重大さを考慮している」と書いているが, 実際にはリスクを2つに分けているようだ。
「セキュリティに関する意思決定は、実体的なリスクではなく、感覚的なリスクにもとづいて行われており、その結果、決定を間違えることが多いのだ。」(p.42)
そして「感覚的なリスク」として以下の例を挙げている。(p.40-41)
- めったにない刺激的なリスクは大げさに考え、よくあるリスクは軽視することが多い。
- 自分の日常と異なる状態のリスクは正しく評価できないことが多い。
- 顔が見えるリスクは匿名性が高いリスクよりも強く感じられる。
- とろうと思うリスクは過小評価し、自分の意思ではどうにもならない状況ではリスクを過大評価する傾向がある。
- 話題にのぼり、報道されつづけるリスクを過大評価する傾向がある。
先ほどのリスク不安の増大要因と比べるとよく一致しているのが分かると思う。 つまり「感覚的なリスク」とはリスク不安を指している。 じゃあ「実体的なリスク」は科学的評価リスクを指すのかといえば, さにあらず。 『セキュリティはなぜやぶられたのか』 では「力関係と思惑がセキュリティトレードオフを左右する」ことを指摘している。
「セキュリティシステムには、必ず価値が絡む。大なり小なり関係者の力関係を変えるのだ。」(p.51)
「政府や企業などは、セキュリティ問題に対し、何かをしなければならない状況に陥ることがある。 何か対策がとられれば、有効であっても無効であっても、大半の人は安心するからだ。
自分の思惑からすると実効のある対策は不要だと考え、いかにもそれらしいセキュリティ芝居を作り上げることもある。」(p.56)
つまり「実体的なリスク」であっても「脅威の発生可能性と攻撃が成功したときの被害の重大さ」だけがリスクの要素となっているわけではなく何らかの意思決定が働いているということであり, それはすなわち意思決定のためのリスクということになる。 ここで強引にまとめるなら セキュリティ・リスクにおいては科学的評価リスクは重視されず(そもそも科学的評価などできない?), 意思決定のためのリスクやリスク不安がセキュリティ対策へのインセンティブになっていると言えるんじゃないだろうか。
「セキュリティについて主観に左右されない無私の行動が社会の常識になるなど、期待するだけ無駄である。 (中略)セキュリティとはさまざまな関係者とその思惑のバランスの上に立つもので、自分の思惑を反映し、自分にとって理想的なリスク管理ができるセキュリティを得るためには、これを社会問題だと考える必要がある。」(p.62-63)
私は, セキュリティ専門家というものはもっとファクト(科学的事実)を重視するものだと思っていたが, この本のイメージではむしろ経済学的アプローチを重く見ているようにみえる。 もっともこれは第1部だけを読んだ印象なので, 今後変わるかもしれないけど。
もうひとつ。 『セキュリティはなぜやぶられたのか』 の重要なキーワードが「トレードオフ」だ。
「リスク評価は価値判断を伴うので、どちらが正しいと言えるものではない。 つまり、セキュリティは主観的なものであり、一人ひとりが自分から見たリスクと各種対策のトレードオフを評価するしかないのだ。」(p.34)
ただし第1部では「対策」とトレードオフになっているものが何かについては具体的に示されていない。 利便性や快適性の場合もあるしプライバシーなどもあるかもしれない。
セキュリティについて話のピントがあってきたところで, セキュリティ対策の分析・評価(「提示された対策に実施する価値があるのか」)に使える5つのステップを紹介しておく。 すなわち
- 守るべき資産は何か
- その資産はどのようなリスクにさらされているか
- セキュリティ対策によって、リスクはどれだけ低下するのか
- セキュリティ対策によって、どのようなリスクがもたらされるか
- 対策にはどれほどのコストとどのようなトレードオフが付随するのか
である(p.21-22)。 第2部以降はこの5つのステップを物差しにして読み進めて行くことになると思う。
