あらゆる人にセキュリティ教育をSecurity&Trust ウォッチ(15)

» 2003年06月19日 10時00分 公開
[須藤陸@IT]

 孫子の兵法にいわく、「敵を知り己を知らば百戦危うからず」だが、セキュリティほどこの言葉が当てはまる分野もないだろう。

 侵入者がどういった手法を使って不正アクセスを試みるのか、また内部の犯行者がどのように機密情報を取得しようと試みているのか、その手の内を知らなければ、予兆を把握することもできなければ、効果的な対策も立てがたい。同時に、自社にどういった資産・リソースがあり、それらがどういった状態にあり、どんな弱点があるか(あるいは放置されているか)を把握し、そのうえで防御策を施さなければ、不意を付かれて大慌てすることになりかねない。

 さて、敵の手の内を知り、それらから自らを守る方法だが、書籍や雑誌、オンラインのリソースを手繰るだけでも多数の情報を入手できる。しかしながら、技術者がこれらを体系的に、実践も含めて学ぶ場となると、あまり整備されていないように思う。

 それでもセキュリティ専門家(あるいはその予備軍)を対象とした教育ならばまだ、いくつかの企業によって、オンサイトの実習を含んだ有償の教育サービスが提供されている。座学が大半であり、しかも半ば製品売り込みのためでもあろうが、さまざまな切り口のセキュリティセミナーも開催されている。

 また、セキュリティコミュニティ自身が教育や模擬戦の場を設けることもある。代表的なものが、DEFCONの恒例行事である「Capture the Flag」だろう。一定の時間の中で、ターゲットとなるホストを攻略できるかどうかを競うこの「競技」は、いまや名物ともなっている。スキルアップを図る場というよりも、その結果を見せ合う「腕比べ」に近いだろうが、それでも生身のさまざまな技術者を相手にできるという意義は大きい。日本でも、同様なものとして「セキュリティ・スタジアム」のような企画がある。それ以外にも、必ずしも実習は伴わないにせよ、さまざまなユーザー会や有志の主催による勉強会やセミナーが行われている。

 しかしながら、需要に比べると絶対的に供給が少ない状況にあるのは確かだ。現実には、教育や実践的な研修で技術を磨く余裕もなく前線に投入され、日本産業の伝統手法であるOJT(On the Job Training)を通じ、自助努力でスキルを身につけるというパターンの方が多数派のように思える。あるいは、自社システムの弱点に気がつき、口を挟んでしまったがゆえにセキュリティを任されることになったというケースもあるだろう。

セキュリティ以外のIT専門家に対する教育を

 それ以上に懸念すべきは、セキュリティ以外のIT専門家に対する教育だ。不正アクセスや最近流行のセキュリティポリシー/監査をテーマにしたセミナーなどには、多くの人々が押し寄せるというが、そのうちセキュリティ担当者以外の占める割合はどれだけだろうか? これだけセキュリティがITインフラにおいて重要な位置を占めるようになったいま、セキュリティ専門家だけにセキュリティ教育を施しても仕方がない。必要なのは、アプリケーションプログラマに対するセキュリティ教育であり、ネットワーク技術者に対するセキュリティ教育であり、何らかの案件を率いるプロジェクトマネージャークラスに対するセキュリティ教育である。

 例えばその1つが、マイクロソフトも「Trustworthy Computing」構想で取り組んだという、安全なアプリケーション開発に関する教育だ。バッファオーバーフローなり、Webアプリケーションの入力・出力チェックなり、初めに危険性を知り、開発時から留意しておけばかなりの割合で避けられるセキュリティホールは多いにもかかわらず、そのことはあまり知られてはいないようだ。プログラマに対する教育や安全なアプリケーション開発手法といった分野は、米国でもようやく端緒についたばかり。日本ではまだほとんど手が付けられていない。

 また何らかの開発プロジェクトにおいて、参加する全員に対し、安全な開発手法について事前にレクチャーするような企業があるだろうか? あるいは、開発の節目節目で、きちんとセキュリティレビューが行われるようなプロジェクトがあるだろうか? あれば表彰ものだ。

 皆さんも同様だと思うが、残念ながら私が聞いたことがあるのは逆のケースだ。あるプロジェクトにおいて開発者の1人が、セキュリティ上の観点から仕様の変更を提案したにもかかわらず、上司側は変更を加えていては納期に遅れるとしてそれを却下し、結局そのシステムは脆弱性を残したまま納品されたという、ありがちな話だ。

少数の優秀な専門家だけでなく幅広い意識の底上げを

 こうした、セキュリティ的には悲惨としか言いようのないケースがしばしば聞かれる理由の1つは、システムを発注し、利用するユーザー自身のセキュリティ意識が低いことにも求められるだろう。セキュリティはよく分からないし、工数が増えるから、あるいはコストがかさむから面倒だ、というとらえ方をする代わりに、「このシステムではこれこれのセキュリティ要件をクリアしなければならない」と顧客がはっきり求めるようになれば、開発を受ける側の姿勢もおのずと変わってくると期待できる。

 その意味では、セキュリティ技術者に対する教育以上に、ITに携わるあらゆる人、特に使い手に対するセキュリティ教育が必要なのだと思う。

 これとともに、広くインターネットユーザー全般、エンドユーザー全般を対象としたセキュリティリテラシー教育も不可欠になるだろう。インターネットを利用することからどういったリスクが発生するのか、例えば「ウイルス」や「不正アクセス」といった単語はなんとなくは知られていても、正確に理解されていることは少ないように思う。こうした人々にこそ、周りにどういった危険があり、侵入者がどういった手法を試みるか、あるいは自分自身の情報がどういったリスクにさらされるかについての知識が(大まかであっても)必要であるにもかかわらず、だ。交通安全ルールが社会で生きていくうえでの常識の1つになっているように、セキュリティに関する基本的なリテラシーもまた、これからの時代の常識として、さまざまな機会をとらえて周知されるべきではないだろうか。

 先日の報道によると、経済産業省が「セキュリティ甲子園」なるものを開催するのだそうだ。全国の高校生、専門学校生を募り、互いにサーバへ侵入する腕前を競い合うもので、コンピュータに関する知識や技術を持った優秀な若者を発掘することが目的という。

 こうした試みにまったく意味がないとはいわない。政府主催の「腕試し大会」によって、セキュリティという分野に耳目が集まれば、それはそれで面白いことになると思う。

 とはいえ、優秀な専門家予備軍を見出すのも重要だが、それ以前に取り組むべきことがあるのではないだろうか。セキュリティとは、一部の優秀な専門家だけによって実現されるものではない。ITに携わる、あるいはITを利用するあらゆるユーザーの意識と取り組みがあってはじめて、現実のものになるのだ。ちょうど山の裾野のように、広がりのあるセキュリティ人材の土壌ができない限りは、いくら少数の専門家が努力しても意味はないように思える。


Profile

須藤 陸(すどう りく)フリーライター

1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。現在、雑誌、書籍などの執筆を行っている。


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。