『セキュリティはなぜやぶられたのか』を読む 3
セキュリティはなぜやぶられたのかposted with 簡単リンクくん at 2007. 4. 2ブルース・シュナイアー著 / 井口 耕二訳
日経BP社 (2007.2)
通常24時間以内に発送します。
前回の続き。 すっかり間があいてしまった。 今回は第2部の7章から12章まで。 この辺からだんだん各論に入っていく感じ。 ただ, 内容をそのままトレースしていっても面白くないので(それなら本を読んだほうが早い), ここではセキュリティ(システム)と技術との関係に注目しながら思いついたことを書いていってみる。 例によって引用の嵐だがご容赦を。
『セキュリティはなぜやぶられたのか』 では技術革新とセキュリティの関係について以下のように述べている。
「技術革新は防御側にも有利なはずだと思うかもしれない。 攻撃者ははっきりとした目的を持っており、その達成に向けて必要な技術を活用する。 防御者は、リスクとトレードオフを考え、さまざまな攻撃から資産を守る対策をとる。 しかし多くの場合、相手の攻撃方法がわかっておらず、必要なタイミングで技術革新を活用しようとすると多大なコストがかかってしまう。 複数の攻撃者がいることも問題だ。 このように、防御者も技術革新の恩恵を受けるが、攻撃者ほど効果的・効率的ではないのだ。」(p.127)
「この状況をさらに悪化させるのが、処理の順番の決まっていない非逐次処理の複雑なシステムが複数、接続され、互いが密接に影響しあう場合だ。 (中略) このような非逐次型システムは、ある場所におけるできごとが思わぬところに思わぬ形で波及するため、セキュリティを確保することが難しい。」(p.129)
「密接に影響しあうシステムとは、ある部分の変化がすぐに他の部分へ影響を及ぼすものを指す。 この場合、変化の速度が速いことと変化が予想できないことが問題となる。 密接に影響しあうシステムには逐次型も非逐次型もある。」(p.130)
「最近のシステムが進化しつづけていることもセキュリティに大きな影響を与えている。 最弱点が一定しないのだ。 システムの動作や使い方、他のシステムとの関係など、何かを変えるたびに最弱点は動く可能性がある。」(p.160)
ここでキーワードになるのは「攻撃者の優位性」,「創発特性(意図せざる結果)」,「予測困難な変化の波及」であろう。 もちろんこれらの問題は今も昔も存在する。 しかし現代において特に問題になるのは, これらの要素が質・量ともに大幅に増幅されているからだと思う。 増幅される理由としてはいくつかあるが, 『セキュリティはなぜやぶられたのか』 で紹介されたものを挙げるなら「メタファー断層」「標準化」「自動化」「遠隔作用」「情報集約」などがある。
ところで, 名和小太郎さんの 『イノベーション 悪意なき嘘』 では「技術の両用性(デュアル・ユース)」を矛と楯の関係に喩え, 現代の専門家は矛と楯を交互に小出しにする, と指摘している(この辺は ced さんの記事で詳しく紹介されている)。 そして, その条件を3つ挙げているが, そのうちのひとつ
「最初から未来の全体を予見できるようにはしないということ」
つまり部分最適の問題については先ほどの「技術革新とセキュリティの関係」がヒントになるような気がする。 すなわち「予見できるようにはしない」のではなく, もはやできないのだと見ることもできる。 前回も書いたが, セキュリティは系で考えなければならない。 しかし, すべての系は内部に系を抱えていて, 更に外部の系とも関連して互いに影響しあう。 これではもはや全体最適など不可能だといえる。 せめてできることはセキュリティの対象となる系の境界を設定し(この設定にはトレードオフが伴う), その中で最適解を探すことである。
もう少し脱線。 「現代の専門家は矛と楯を交互に小出しにする」というのは今にはじまったことではないようだ。 Wolfgang Schivelbusch さんの 『闇をひらく光』 では, 初めてガス灯が導入された当時の様子が詳しく書かれている。 ガスの給湯器や暖房装置の不具合で大規模なリコールが起きる現代では考えられないが, 当時ガスはこれまでにないクリーンなエネルギーとして登場したのである。 ガスがもたらす問題(ガスの中毒性や火災のリスク等)が表面化するのは後になってからだ。 もちろんこれは当時の企業の陰謀などではない。 ガスを供給する企業もそれを享受する消費者も本気で「クリーン」なガスを歓迎したのである。 その後, 白熱電球と電気(厳密には電力供給システム)が登場するとエネルギーの主役は「不純」なガスから「クリーン」な電気に置き換わっていくのであるが, その電気にしたって製造過程や消費において大きな環境負荷がかかっていることは周知のとおりだ。
「したがって、ルボンにとって天然の燃料を乾留するということは、自然のままの混在状態を、合理的、自然科学的な諸原理にのっとって新たに秩序づけることと同義なのである。 ガスは、そのように処理されることによって、一〇〇年後の電気と同じように純粋なエネルギーとなる (その一〇〇年間のうちにガスは「不純」なものとされ、そのかわりに電気が、新品質の衛生的なエネルギーとして登場する)。」(p.22)
当時と今とで「技術の両用性」の表れかたはそんなに違わない。 最初から危険と目される技術を除けば, 新しい技術の登場時にはみんなもろ手を挙げて歓迎する。 その裏面(あるいは創発特性)に気づくのはずっと後である。 昔と違うのは, その展開の速さ(「部分最適以上のことはできないように、社会の動きを加速」)なのかもしれない。
話を元に戻そう。 究極的な意味で全体最適ができない(完全な予測が不可能)ならどうすればいいのか。 『セキュリティはなぜやぶられたのか』 では戦術として「多層防御」「区画化」「関門」, もっと具体的には「防止」「検出(監査や予測を含む)」「対応(反応,軽減,回復,科学的捜査,反撃)」といったものを紹介している。 しかし「戦略なき戦術は無力」だ。 この本ではたくさんの戦術を紹介し, その効果を検証するツール(5段階評価法)まで用意してくれているが, それは明確な戦略あってのことなのである。 この本が提示する戦略は至極明快。 それは「失敗しないシステム」ではなく「上手に失敗するシステム」だ。 もっと具体的に言うなら「靭性の高いシステム」であり「人を核に据えたシステム」である。 こう考えると, セキュリティ・リスク・マネジメントというのはやはり「管理」ではなく「経営」だと思う。
最後にセキュリティ戦術のひとつである「抑止」と「教育」について興味深い一節があったので引用しておく。
「法律が抑止力となる理由として、極端なケースにのみ適応される点があげられる。 他人をバカ呼ばわりしてはならないという法律はない。 ふだんの言動を法律で規制している国もあるが、そのようなところでは、法律違反をする人がとても多いものだ。」(p.260)
「抑止力が効果を持つためには、「教育」が必要だ。 社会が犯罪から守られているのは、基本的に、攻撃に対する直接的な防御があるからではない。 人々が法律を守るからだ。 ほとんどの人は倫理や道徳を重んじる。 倫理は人が生まれながらに持つ性質で、これがなかったら人は文明化できなかっただろう。 道徳は、何が道徳的で善良な市民とはどういうものなのかという教育によって身につけるものだ。」(p.262)
「一般に、本来は何をすべきなのかを教えてあげないと、抑止力の効果は低下する。 また逆に、抑止なしの教育では、もともと倫理的、道徳的な人にしか効果がない」(p.263)
「法律」とか「倫理」「道徳」といった用語については厳密に使われていない気がするが (前々回も書いたが,この本は言葉の使い方がアドホックすぎる。原書からそうなのか翻訳の影響なのかは分からないが), 言わんとするところはとても重要だと思う。 私はこの一節を「リスク・コミュニケーション」の問題と解釈した。 「リスク・コミュニケーション」については別の本の読書録で考えてみたいと思う。
さて, 次はようやく「識別と認証と許可」の話へ。 読んでも読んでも終わらないよ。 ヘヴィな本だ。