このページの本文へ

前へ 1 2 次へ

「イノベーションを阻害しないセキュリティ」を提案、「CODE BLUE 2016」レポート

セキュリティを「必要悪」にした犯人は業界自身ではないか?

2016年11月02日 07時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

あれも禁止、これも禁止――企業が制約の多いセキュリティ対策に走る要因は

 そこでノール氏は、イノベーションを潰しかねない過剰なセキュリティ対策へと企業を走らせる要因について、「製品セキュリティ」と「情報セキュリティ」の両面で分析した。まず、製品の安全を担保することでユーザーを脅威から守る「製品セキュリティ」対策について、次のように語る。

 「本来であれば、セキュリティ業界は、ハッカーのインセンティブにつながる企業リスクをふまえた対策を提示すべき。しかし、つい脆弱性ばかりを追ってしまい、(理論上起こりうる)最悪の事態を強調する形で発表する。その結果、ユーザーへの攻撃や影響、訴訟を回避したい企業は極端な対策へと流れてしまう」

 その象徴的な例が、スマートフォンの脆弱性だ。

 「『世界中のiPhoneの86%以上がハッキング可能』で、『ハッカーは100ドル程度でiPhoneをハッキングする』という記事が話題を呼んだ。その部分だけを聞けば、誰でも『iPhoneはすぐに利用禁止すべきだ』と考えてしまうだろう」

 だが、ふたを開けてみれば、iOSデバイスでマルウェアを受信したのはたったの1台。しかも、アップルは10日以内にセキュリティパッチを公開しており、感染も拡大していない。また、『100ドルのツールでハッキングできる』のは何世代も前のiPhoneの話であり、しかもハッカーがデバイスに直接(物理的に)アクセスできないかぎり難しい、というものだった。

 Androidも同様だ。昨年の「Stagefright(細工したMP3などを介して任意のコードが実行可能な脆弱性)」を始めとしてさまざまな脆弱性が指摘され、危険なプラットフォームとの認識もある。だがノール氏によれば、実際のハッキング被害は10億台のうち2%以下。マルウェア感染も、セキュリティサポートが終了している古いバージョンのAndroidデバイスで、非公式のアプリストアからダウンロードした海賊版アプリをインストールした際に発生している。

 「そこまでやれば、どんなOSでも危険だろう」

「Windowsはマルウェア感染率が20~40%だから利用禁止しよう、という声は上がらないんだよね(笑)」(ノール氏)

 もうひとつの、自社を攻撃から守るための「情報セキュリティ」はどうか。セキュリティ対策を“制約だらけ”にしてしまう理由について、多くの企業は被害発生時の莫大な損害額を挙げる。

 「でも、産業制御システムがハッキングされて工場に甚大な被害が発生する可能性は年間2%で、想定される被害額は1,000万ユーロ(約11億円)。知的財産情報が盗まれる可能性は年間10%で、想定被害額は500万ユーロ(約5.5億円)。大企業であれば対応可能な額だ。それよりも、これらを防ぐために年間100万ユーロ(約1.1億円)をセキュリティ対策に費やし、年間10億ドルを生む革新的なビジネスアイディアの芽を摘むような環境を作ってしまうことのほうが問題だ」

サイバー攻撃による損害を恐れて、社員を身動き取れない檻に閉じ込めるセキュリティ対策を敷くことは得策か?

イノベーションフレンドリーなセキュリティを目指そう

 だが、社員はどのような環境でも業務を遂行しようと頑張る。結果、セキュリティ対策は回避され、ルールも守られず、社内は「ITの無法状態」。気付けばセキュリティ侵害の火種を育ててしまうことになるかもしれない。

 そこでノール氏が提案するのが、制約の少ない「イノベーションフレンドリーなセキュリティ」だ。たとえば複雑なパスワードを多数管理させるのではなく、SSO(シングルサインオン)を採用する。会社支給の携帯電話から、ActiveSyncとVPNを組み合わせたBYOD(Bring Your Own Device)に切り替える。ペネトレーションテストを繰り返すよりも、脆弱性報奨金制度を導入する、といったものだ。

表の左が制約の多いセキュリティ対策で、右が「イノベーションフレンドリー」な代替案

 例として、ノール氏はJioの案件を挙げた。

 「私はJioとの契約時、新製品や新サービスをリリースする前にセキュリティ上の問題点や対策すべき理由を担当者に説明する役割だけほしいと申し出た。ただし、セキュリティリスクや提案をまとめたリスク許容書(Risk Acceptance Form)をJioに渡した後は、口出しは一切しない。たとえば競合他社が2週間後に類似サービスをリリース予定で、先駆けるには今この瞬間しかなく、セキュリティ対策はリリース後に実施しようと決断したのならば、その判断を尊重して従う。Jioの耳に入れるべき情報を提供すると同時に、それは却下してもよい情報であることを伝えたわけだ」

 「せっかく基調講演に登壇する機会が与えられたので、セキュリティカンファレンスでは通常取り上げられない課題を投げかけたい」と冒頭で述べたノール氏。あらためてセキュリティのあり方を考えさせられる、力強く大胆な提案に、会場の聴衆は惜しみない拍手を送った。

■関連サイト

前へ 1 2 次へ

カテゴリートップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります

アクセスランキング

  1. 1位

    ITトピック

    実用化が楽しみすぎるスマート技術たち 「長距離ワイヤレス給電」から「室内向け太陽電池」「超音波センサー」まで

  2. 2位

    ITトピック

    IT技術者の約半数が「AIの進化で転職を意識」/これから起きるのは「SaaSの死ではなく変容」/バックアップ市場は堅調に成長、ほか

  3. 3位

    sponsored

    AIインフラ市場“一強体制”を崩せるか AMDが「Helios」で体現するオープン戦略とフィジカルAIのラストマイル

  4. 4位

    デジタル

    kintone MCP Server とは?現在提供されている3つの選択肢をフラットに比較

  5. 5位

    データセンター

    IOWNによるGPU分散インフラ「GPU over APN」実証環境を開放 NTTドコビジが全国8拠点をつなぎ提供

  6. 6位

    デジタル

    買い切り型クラウド「pCloud」がDX総合EXPOへ CEO来日で日本展開を加速

  7. 7位

    sponsored

    「IT機器が高すぎる」「熟練メンバー不在で分からない」… 情シスさんの“現場の悩み”をエンジニア3人に聞いてみた

  8. 8位

    Team Leaders

    「SaaSの死」現場の8割が実感も、半数が“年間10%以上成長”と危機感先行

  9. 9位

    Team Leaders

    AIエージェントが顧客対応から“恋愛相談”まで マッチングアプリwithのCSを変えたチャネルトーク

  10. 10位

    クラウド

    顧客企業のビジネスを動かす「基幹系AI」を実現する 日本オラクルの2027年度戦略

集計期間:
2026年07月11日~2026年07月17日
  • 角川アスキー総合研究所