安心＝安全への耽溺

F-Secure から面白いデータが出ている。

• エフセキュアブログ : エフセキュア、Linuxサーバに関するセキュリティレポートを公開
• エフセキュア Linux　セキュリティレポート

これによると

日本のLinuxサーバ管理者がLinuxを利用する理由として、「コストパフォーマンスの高さ」「安定性」、そして「セキュリティの高さ」をあげていることが判りました。さらにLinuxサーバのセキュリティの不安に関する質問では、「安心」「どちらかというと安心」と回答したサーバ管理者が合わせて82%を占め、Linuxに対しセキュリティ上の信頼感を寄せていることが明らかになりました。

にもかかわらず

しかしその安心感に依存しているため、Linuxサーバ管理者の4人に1人がサーバのセキュリティ対策を実施していないという実態も浮き彫りになっています。その結果、安心を寄せているはずのLinuxサーバ管理者の7人に1人にあたる14%が、深刻なサイバー攻撃に合っていました。

なんだとか。 おじさんもう思考停止寸前ですよ。 ナニソレ。

「安全神話」なんて言葉がある。 でも考えてみてほしい。 本当に安全に気を配っているのなら絶対に「神話」になるはずがないのだ。

リスク要件は常に変わりゆく。 例えばそれは新しい知見によるものであったり，コンピュータ・ネットワーク・セキュリティの場合なら計算機リソースの増大や攻撃に関する動機や手法の変化なども挙げられるかもしれない。 だから管理者は常に周囲の動向に気を配り変えるべきところは変えていく必要がある。 リスク対策はプロセスなのである。 故に「神話」になりようがないのだ，本来は。

「安心」ってのは一種のハザードなのですよ。 「ここまでやっておけば大丈夫」という安心感。 上の例でいうなら「Linux はセキュリティが高いから Linux を導入すれば安心」という気持ちがあるのかもしれない。 これは「安全神話」ではなくむしろ「安心神話」と言ったほうがいいだろう。

先週騒ぎになった FREAK についても非常に多くの Web サーバが脆弱性に晒されている実態が明らかになっている。 2015年初に OpenSSL の修正版が出ているのにもかかわらず，である。 もしかしたらこれは「日本の Linux サーバ管理者」だけの問題ではないかもしれない。

「ソフトウェアは常に最新に保つ」ことはどこのセキュリティ専門家もセキュリティ企業も言っていることで，なおかつ，ソフトウェアは頻繁に更新される。 つまり，ソフトウェア（アプリケーションだけでなく OS 周りも）は常に更新されることを前提に運用を計画しなければならない。

リスク対策に「安心」など存在しない。 常にリスクとの間合いをはかって「安全」を確保していくしかないのだ。