後手のセキュリティ対策が多い理由
セキュリティ・アーキテクチャよりも泥縄式の対策に関心が集まるのは何故だろうか。Saltzerは、この問いに憮然として答えた。「利用者にとって選択肢はほとんどありません。ベンダーから提供されるシステムは穴だらけで、それも利用者にはどうすることもできないものばかりです」。利用者にできることといえば、脆弱性が発見され、それに応じてベンダーがパッチを発行するのを待つことだけなのだ。
Watsonは、自身の経験から、企業の体質にも問題があるという。「多くの企業では、セキュリティはIT部門だけの問題だと考えられています。本当は、上層部の参加と支援が必要なのですが。それに、技術部門以外の利用者にはセキュリティ意識がほとんどありません。彼らは研修を受けておらず、多くの人は技術的に対応できる状態にありません。一方、IT部門も長期的な観点からセキュリティに取り組まないため、眼前の火事を消火することしかできません」
しかし、企業に、もっと長期的な観点から取り組めというのは無理なようだ。Weir-Jonesによれば、「構成レベルからセキュリティ対策を施せば、顧客からの信頼、セキュリティ担当者の疲弊、部内者の脅威などの点で改善が見込め」るが、これらは「無形であり、定量的に」述べるのが難しいからだ。
Razzellは、さらに、IT市場自体の特性も指摘する。ウィルス対策プログラムなど、事後対策ツールの市場には秩序がなく、顧客に対する啓蒙つまり「責任ある営業姿勢」が見られないため、利用者が長期的なセキュリティ・ソリューションを考えさせられることがないのだという。
しかし、Razzellによれば、最大の問題は、コンピュータがトースターや洗濯機のように便利で使い捨て可能な家庭用品として扱われていることだという。「家電のように(コンピュータを)自宅に持ち帰り設置して終わりという考え方が生まれたのは、何故なのでしょうか」
「ボールペンやライターのように3年で使い捨てるつもりでなければ、こうした発想は生まれません。しかし、(コンピュータは)自動車や山小屋のようなもの。事務所のように長期的な投資なのです。3年ごとにオフィスを使い捨てたくはないでしょう」
セキュリティと利便性――避け得ぬジレンマか
おそらく、セキュリティ・アーキテクチャを看過する最大の理由は、利用者の利便性に釣り合ったセキュリティという認識だろう。ほとんどの人がそう考えており、この2つが衝突すると、ほぼ確実に利便性が優先される。「セキュリティを最優先にするという企業には、まずお目にかかったことがありません」とWeir-Jonesは言う。
セキュリティを優先しないというのは、長期的必要性よりも短期的な必要性への対応を選ぶということだ。利用者の利便性が顧客満足に直結すると思われる私企業においてはあり得べき選択だが、この姿勢はフリーソフトウェア・プロジェクトにも見られる。デスクトップを使いやすくする――多くの場合Windows風にする――ことを求められるため、多くのGNU/Linuxディストリビューションにおいて基本的なセキュリティが徐々に損なわれている。
しかし、専門家はこの対立を不可避とは見ていない。Saltzerは、OS XはWindowsよりもセキュリティが高いが利便性も高いと言う。Watsonも次のように述べる。「利便性と安全性は二律背反の関係にはありません。利用者が意識しないようなセキュリティ・システムを構築することは可能です」
一例として、Trusted Solarisシステムを挙げる。Watsonは、このシステム上でエミュレータを使ってWindowsを走らせたことがある。これは管理者にとっては安全な環境であり、利用者にとっては使い慣れたインタフェースを備えている。Skypeを使う際は暗号化されるが、利用者が暗号システムを意識することはない。確かに、安全性と利便性を同時に実現するのは容易なことではない。しかし、こうした実例が示すように、世上言われているような解決不能の二項対立ではないのである。
セキュリティに対する考え方を改める
セキュリティの専門家の中には、セキュリティを専門家が扱うべき分野として考える者もいる。その一人Saltzerによれば、問題は、いかにしてセキュリティ意識を高めるかではない。「本当の問題は、いかにして利用者が愚かなことをしないようにするかということです。このように問題を捉えれば、本質的に安全なシステムを設計することが、実装担当者や利用者に注意を促すことよりも効果的だということが明確になります」
他のセキュリティ専門家は、教育の効果をもっと楽観的に見ている。たとえば、Razzellは、Center for Internet Securityベンチマークの実施はシステム強化と利用者のセキュリティ意識向上に有用だと言う。また、機能としていろいろなレベルの安全性を備えたコンピュータを用意する、あるいは、利用者が自分で新しいシステムをインストールし仕組みがわかるようにするなどというのもよいだろうと言う。
Weir-Jonesは、企業レベルでセキュリティ意識を高めるには実効性のある明確なセキュリティ・ポリシーが必要だと指摘する。ポリシーは原理「必要なものだけを構築せよ」で始め、頻繁なテストは管理者の仕事だと考えるような企業文化で支えていく。ポリシーをお飾りにしないためだ。
セキュリティ・ポリシーには「上司への報告に関する明示規定」を含め、専門知識を持つ者には管理者の承認を待たずに問題を直ちに改修する権限を与える。また、システム管理者が非難や更迭を恐れて問題の報告をためらうことのないように、「他者を非難する風潮」を排除すべきだ。Weir-Jonesは、セキュリティ管理に関する標準ISO 17799や情報セキュリティ管理システムの標準ISO 27001を参考にすることから始めるのがよいだろうと言う。
専門家の間にはさまざまな意見があるが、コンピュータ産業とその利用者が構成レベルからのセキュリティ対策に目を向け、それを利便性と両立する形で実装する方法はいくらでもあるという点では、すべての専門家が一致している。「コンピュータ・システムを安全に構築し運用することは完全に可能です。業界における最良実践と消費者が甘んじている状態との間には大きな隔たりがあります。それを生んでいるのは、問題意識の欠如に他なりません」(Razzell)
Bruce Byfield、コンピュータ・ジャーナリスト。NewsForge、Linux.com、IT Manager's Journalの常連。
NewsForge.com 原文