「イノベーションを阻害しないセキュリティ」を提案、「CODE BLUE 2016」レポート

セキュリティを「必要悪」にした犯人は業界自身ではないか？

あれも禁止、これも禁止――企業が制約の多いセキュリティ対策に走る要因は

　そこでノール氏は、イノベーションを潰しかねない過剰なセキュリティ対策へと企業を走らせる要因について、「製品セキュリティ」と「情報セキュリティ」の両面で分析した。まず、製品の安全を担保することでユーザーを脅威から守る「製品セキュリティ」対策について、次のように語る。

　「本来であれば、セキュリティ業界は、ハッカーのインセンティブにつながる企業リスクをふまえた対策を提示すべき。しかし、つい脆弱性ばかりを追ってしまい、（理論上起こりうる）最悪の事態を強調する形で発表する。その結果、ユーザーへの攻撃や影響、訴訟を回避したい企業は極端な対策へと流れてしまう」

　その象徴的な例が、スマートフォンの脆弱性だ。

　「『世界中のiPhoneの86％以上がハッキング可能』で、『ハッカーは100ドル程度でiPhoneをハッキングする』という記事が話題を呼んだ。その部分だけを聞けば、誰でも『iPhoneはすぐに利用禁止すべきだ』と考えてしまうだろう」

　だが、ふたを開けてみれば、iOSデバイスでマルウェアを受信したのはたったの1台。しかも、アップルは10日以内にセキュリティパッチを公開しており、感染も拡大していない。また、『100ドルのツールでハッキングできる』のは何世代も前のiPhoneの話であり、しかもハッカーがデバイスに直接（物理的に）アクセスできないかぎり難しい、というものだった。

　Androidも同様だ。昨年の「Stagefright（細工したMP3などを介して任意のコードが実行可能な脆弱性）」を始めとしてさまざまな脆弱性が指摘され、危険なプラットフォームとの認識もある。だがノール氏によれば、実際のハッキング被害は10億台のうち2％以下。マルウェア感染も、セキュリティサポートが終了している古いバージョンのAndroidデバイスで、非公式のアプリストアからダウンロードした海賊版アプリをインストールした際に発生している。

　「そこまでやれば、どんなOSでも危険だろう」

「Windowsはマルウェア感染率が20～40％だから利用禁止しよう、という声は上がらないんだよね（笑）」（ノール氏）

　もうひとつの、自社を攻撃から守るための「情報セキュリティ」はどうか。セキュリティ対策を“制約だらけ”にしてしまう理由について、多くの企業は被害発生時の莫大な損害額を挙げる。

　「でも、産業制御システムがハッキングされて工場に甚大な被害が発生する可能性は年間2％で、想定される被害額は1,000万ユーロ（約11億円）。知的財産情報が盗まれる可能性は年間10％で、想定被害額は500万ユーロ（約5.5億円）。大企業であれば対応可能な額だ。それよりも、これらを防ぐために年間100万ユーロ（約1.1億円）をセキュリティ対策に費やし、年間10億ドルを生む革新的なビジネスアイディアの芽を摘むような環境を作ってしまうことのほうが問題だ」

サイバー攻撃による損害を恐れて、社員を身動き取れない檻に閉じ込めるセキュリティ対策を敷くことは得策か？

イノベーションフレンドリーなセキュリティを目指そう

　だが、社員はどのような環境でも業務を遂行しようと頑張る。結果、セキュリティ対策は回避され、ルールも守られず、社内は「ITの無法状態」。気付けばセキュリティ侵害の火種を育ててしまうことになるかもしれない。

　そこでノール氏が提案するのが、制約の少ない「イノベーションフレンドリーなセキュリティ」だ。たとえば複雑なパスワードを多数管理させるのではなく、SSO（シングルサインオン）を採用する。会社支給の携帯電話から、ActiveSyncとVPNを組み合わせたBYOD（Bring Your Own Device）に切り替える。ペネトレーションテストを繰り返すよりも、脆弱性報奨金制度を導入する、といったものだ。

表の左が制約の多いセキュリティ対策で、右が「イノベーションフレンドリー」な代替案

　例として、ノール氏はJioの案件を挙げた。

　「私はJioとの契約時、新製品や新サービスをリリースする前にセキュリティ上の問題点や対策すべき理由を担当者に説明する役割だけほしいと申し出た。ただし、セキュリティリスクや提案をまとめたリスク許容書（Risk Acceptance Form）をJioに渡した後は、口出しは一切しない。たとえば競合他社が2週間後に類似サービスをリリース予定で、先駆けるには今この瞬間しかなく、セキュリティ対策はリリース後に実施しようと決断したのならば、その判断を尊重して従う。Jioの耳に入れるべき情報を提供すると同時に、それは却下してもよい情報であることを伝えたわけだ」

　「せっかく基調講演に登壇する機会が与えられたので、セキュリティカンファレンスでは通常取り上げられない課題を投げかけたい」と冒頭で述べたノール氏。あらためてセキュリティのあり方を考えさせられる、力強く大胆な提案に、会場の聴衆は惜しみない拍手を送った。

ASCII倶楽部

アクセスランキング

1. 

   ITトピック

   まだ遅くないAI学習　無償の学習基盤を日本マイクロソフトが公開

2. 

   クラウド

   火中の栗「DeepSeek」を拾うマイクロソフトの脊髄反射がすごい

3. 

   ビジネス

   Backlogを16年使うとこうなる　血肉となったプロジェクト管理ノウハウがすごい

4. 

   ITトピック

   東大とNTT、世界最速の“量子もつれ”生成　100GHz帯域の光量子コンに道筋

5. 

   ビジネス・開発

   ブームに流されるな　期待高まる「AIエージェント」にガートナーが警鐘

6. 

   ビジネス・開発

   成否は朝ミーティングで決まる　一休CTO伊藤直也氏が、はてな時代から学んだチームビルディング術

7. 

   ネットワーク

   IOWN大注目　ユースケース先行で高まる期待

8. 

   ITトピック

   GPU導入でどこまで速くなる？　次世代の富岳プロジェクト“富岳NEXT”がスタート

9. 

   ソフトウェア・仮想化

   HPEが“脱VMware”製品とNVIDIA共同開発の生成AIソリューションを国内発表

10. 

    ビジネス・開発

    人間だけじゃ無理　三井住友銀のシステム更改“非互換対応”に生成AI

集計期間：

2025年01月28日~2025年02月03日