「イノベーションを阻害しないセキュリティ」を提案、「CODE BLUE 2016」レポート

セキュリティを「必要悪」にした犯人は業界自身ではないか？

あれも禁止、これも禁止――企業が制約の多いセキュリティ対策に走る要因は

　そこでノール氏は、イノベーションを潰しかねない過剰なセキュリティ対策へと企業を走らせる要因について、「製品セキュリティ」と「情報セキュリティ」の両面で分析した。まず、製品の安全を担保することでユーザーを脅威から守る「製品セキュリティ」対策について、次のように語る。

　「本来であれば、セキュリティ業界は、ハッカーのインセンティブにつながる企業リスクをふまえた対策を提示すべき。しかし、つい脆弱性ばかりを追ってしまい、（理論上起こりうる）最悪の事態を強調する形で発表する。その結果、ユーザーへの攻撃や影響、訴訟を回避したい企業は極端な対策へと流れてしまう」

　その象徴的な例が、スマートフォンの脆弱性だ。

　「『世界中のiPhoneの86％以上がハッキング可能』で、『ハッカーは100ドル程度でiPhoneをハッキングする』という記事が話題を呼んだ。その部分だけを聞けば、誰でも『iPhoneはすぐに利用禁止すべきだ』と考えてしまうだろう」

　だが、ふたを開けてみれば、iOSデバイスでマルウェアを受信したのはたったの1台。しかも、アップルは10日以内にセキュリティパッチを公開しており、感染も拡大していない。また、『100ドルのツールでハッキングできる』のは何世代も前のiPhoneの話であり、しかもハッカーがデバイスに直接（物理的に）アクセスできないかぎり難しい、というものだった。

　Androidも同様だ。昨年の「Stagefright（細工したMP3などを介して任意のコードが実行可能な脆弱性）」を始めとしてさまざまな脆弱性が指摘され、危険なプラットフォームとの認識もある。だがノール氏によれば、実際のハッキング被害は10億台のうち2％以下。マルウェア感染も、セキュリティサポートが終了している古いバージョンのAndroidデバイスで、非公式のアプリストアからダウンロードした海賊版アプリをインストールした際に発生している。

　「そこまでやれば、どんなOSでも危険だろう」

「Windowsはマルウェア感染率が20～40％だから利用禁止しよう、という声は上がらないんだよね（笑）」（ノール氏）

　もうひとつの、自社を攻撃から守るための「情報セキュリティ」はどうか。セキュリティ対策を“制約だらけ”にしてしまう理由について、多くの企業は被害発生時の莫大な損害額を挙げる。

　「でも、産業制御システムがハッキングされて工場に甚大な被害が発生する可能性は年間2％で、想定される被害額は1,000万ユーロ（約11億円）。知的財産情報が盗まれる可能性は年間10％で、想定被害額は500万ユーロ（約5.5億円）。大企業であれば対応可能な額だ。それよりも、これらを防ぐために年間100万ユーロ（約1.1億円）をセキュリティ対策に費やし、年間10億ドルを生む革新的なビジネスアイディアの芽を摘むような環境を作ってしまうことのほうが問題だ」

サイバー攻撃による損害を恐れて、社員を身動き取れない檻に閉じ込めるセキュリティ対策を敷くことは得策か？

イノベーションフレンドリーなセキュリティを目指そう

　だが、社員はどのような環境でも業務を遂行しようと頑張る。結果、セキュリティ対策は回避され、ルールも守られず、社内は「ITの無法状態」。気付けばセキュリティ侵害の火種を育ててしまうことになるかもしれない。

　そこでノール氏が提案するのが、制約の少ない「イノベーションフレンドリーなセキュリティ」だ。たとえば複雑なパスワードを多数管理させるのではなく、SSO（シングルサインオン）を採用する。会社支給の携帯電話から、ActiveSyncとVPNを組み合わせたBYOD（Bring Your Own Device）に切り替える。ペネトレーションテストを繰り返すよりも、脆弱性報奨金制度を導入する、といったものだ。

表の左が制約の多いセキュリティ対策で、右が「イノベーションフレンドリー」な代替案

　例として、ノール氏はJioの案件を挙げた。

　「私はJioとの契約時、新製品や新サービスをリリースする前にセキュリティ上の問題点や対策すべき理由を担当者に説明する役割だけほしいと申し出た。ただし、セキュリティリスクや提案をまとめたリスク許容書（Risk Acceptance Form）をJioに渡した後は、口出しは一切しない。たとえば競合他社が2週間後に類似サービスをリリース予定で、先駆けるには今この瞬間しかなく、セキュリティ対策はリリース後に実施しようと決断したのならば、その判断を尊重して従う。Jioの耳に入れるべき情報を提供すると同時に、それは却下してもよい情報であることを伝えたわけだ」

　「せっかく基調講演に登壇する機会が与えられたので、セキュリティカンファレンスでは通常取り上げられない課題を投げかけたい」と冒頭で述べたノール氏。あらためてセキュリティのあり方を考えさせられる、力強く大胆な提案に、会場の聴衆は惜しみない拍手を送った。

ASCII倶楽部

アクセスランキング

1. 

   デジタル

   「生成AIはPoCから実践へ」Google Cloud Next '24で幅広い発表

2. 

   AI

   テーマは対話　OpenAI日本法人代表となった長崎忠雄氏が語ったこと

3. 

   デジタル

   被災者と支援者が語る能登半島地震のリアル　支援で見えた仕組み作りの大切さ

4. 

   Team Leaders

   BacklogコミュニティJBUGで聞いたプロジェクト管理のつらみ、学び、ありがたみ

5. 

   Team Leaders

   LegalOn Cloud発表　法務を包括的にカバーするプラットフォームへ

6. 

   ビジネス

   テラスカイ「2030年までに連結売上700億円目指す」事業戦略を説明

7. 

   Team Leaders

   UiPath、自動化×AIを加速させるドキュメント処理特化の独自LLMを発表

8. 

   Team Leaders

   テラスカイが「mitoco AI」提供開始、生成AIがSalesforceやERPの情報を使い回答

9. 

   ソフトウェア・仮想化

   Splunk、レガシーシステムも観測するオブザーバビリティの独自性を説明

10. 

    Team Leaders

    ローカルPCのテキストファイルをPower Automateに読み込ませて活用しよう

集計期間：

2024年04月11日~2024年04月17日