サイバーセキュリティの分野はどうしてもテクニカルな話になりがちで、「素人お断り」の感が強いのが現状です。
しかし、その情報格差を利用して利用者の不安を煽る悪質セキュリティコンサルがビジネスとして成立してしまっています。
今回は、技術的な話を避けつつ、サイバーセキュリティの本質を解説します。
攻撃する側が常に有利な世界
サイバー攻撃による情報流出のニュースを見ると「この企業はセキュリティをケチってたな」と、私たちはつい考えてしまいます。
確かにそういう場合もあります。しかし、実はサイバーセキュリティの世界では攻撃する側が圧倒的に有利であり、防御する側はとても不利なのです。
ここで、「ダイクストラの箴言(しんげん)」として知られる一節をご紹介しましょう。これはエドガー・ダイクストラ(Edsger Dijkstra)という超一流のコンピューターサイエンス科学者が、コンピューターサイエンス界のノーベル賞にあたる「チューリング賞」の受賞講演で述べたものです。
Program testing can be a very effective way to show the presence of bugs, but is hopelessly inadequate for showing their absence.
Edsger W. Dijkstra
「プログラムをテストすることは、バグが存在することを示して見せるにはとても効果的な方法になりえます。しかし、バグの不在の証明については絶望的なまでに無力なのです。」エドガー・ダイクストラ ― (拙訳)
例えば、あるアプリを開発した会社が、そのアプリにセキュリティ侵害の足がかりに使われてしまうようなバグが存在しないか確かめたいとしましょう。そのために何万回とプログラムをテストし、何万ものバグを取り除いたとしても、「これですべてのバグは修正できた」と言い切ることはできないのです。
世の中に出回っているすべてのソフトウェアは、それがどんなに最新のものであれ、常に未知のバグが残っている可能性があります。サイバー攻撃を仕掛ける側は、そのバグを1つでも見つければ攻撃できるのに対して、防御側はすべてのバグを取り除かない限り脅威から解放されることはなく、しかもその日は永遠に来ないのです。
使い勝手とのトレードオフ
さらに悪いことに、ソフトウェアやウェブサービスを提供してビジネスを行っている防御側は、セキュリティと使い勝手とのトレードオフにも直面しています。
セキュリティを厳重にすればするほど、ソフトウェアやウェブサービスのパフォーマンスは悪化していきます。強固なセキュリティソフトはコンピューターの計算能力の大部分をセキュリティのために使ってしまいます。ウェブサービスのセキュリティのために「ログインパスワードは100文字以上」というルールにしてしまったら、誰もそのサービスを使ってくれません。
セキュリティと使い勝手のトレードオフは防御側に一方的に課せられている課題であり、攻撃側には絶好のチャンスです。
セキュリティは保険と同じ
ここまで述べてきた構造的な理由から、サイバー攻撃を仕掛ける側は防御側に比べて一方的に有利な立場にあります。
地震や台風のような自然災害は、最新の建築工学などによって被害を減らすことはできても、被害を完全にゼロにすることはできません。それと同じように、どれだけセキュリティ技術を高めても、サイバー攻撃による被害をゼロにすることはできません。もちろん、サイバー攻撃は人間によって行われるものですが、攻撃側有利という構造から、被害をゼロにできないのです。
そこで、セキュリティの世界では、セキュリティをある種の保険と同じように考える見方があります。
例えば、ある病気にかかると手術に1000万円かかるとしましょう。この病気についての保険が2つあり、一つは月々の保険料が安いものの500万円までしかカバーしておらず、もう一方は手術料1000万円を全額カバーしているものの月々の保険料は高額です。この条件のとき、「どちらの保険を選ぶか」という問題は「どれだけのリスクを引き受けるか」という問題と同じです。
セキュリティも同じで、最新で強固なセキュリティは料金も高額ですし、ソフトウェアのパフォーマンスも大きく低下しますが、大抵のサイバー攻撃を防いでくれるでしょう。一方で簡易なセキュリティは、高度な攻撃を止めることはできませんが、料金が安くパフォーマンスも維持できます。
どちらのセキュリティが良いのかは、どれだけのリスクを引き受けるかという問題です。もし非常に価値のある重要なデータを持っているなら、狙われるリスクが高いですから、高度なセキュリティを導入してリスクを低減するべきでしょう。逆に、そこまで致命的な問題になるデータでは無いなら、狙われるリスクが低いため、簡易なセキュリティでも良いのではないでしょうか。
あなたが守りたいデータは何でしょうか?そのデータが流出したとき、どれほどの損害が発生しますか?その損害が発生する可能性を減らすための投資は、いくらまでなら合理的でしょうか。
こうしたことを事前に自分で見当を付けておくことで、悪質なセキュリティコンサルに騙されなくなります。
まとめ
セキュリティの世界では攻撃側が防御側に比べて圧倒的に有利であり、その構造ゆえにセキュリティを保険の一種として考える見方があることを紹介しました。
無駄に高価で高負荷のセキュリティ商品を購入させられないよう、冷静にリスク計算を行ってくださいね。