情報セキュリティ対策における誤解について

はじめに

公的機関への不正アクセス(サイバー攻撃)の話題を耳にすることが多くなった。というか、私自身も行政機関に属しており、直接的、間接的にサイバー攻撃への対策を行わなければならない立場にある。
ただ、この「対策」というのは、冷静に取り組まないと虚しい結果だけが残るという懸念もあり、今回はそのあたりの考えを書いておきたい。

情報セキュリティ対策における誤解

セキュリティというと、どうしても技術的な領域(セキュリティテクノロジ)だと思いがちだが、管理・運営の領域(セキュリティマネジメント)も必要である。
セキュリティテクノロジは比較的早く陳腐化してしまうものなので、常に最新動向をキャッチアップしておかなければならない。そのため、より多くの資源を投入した者が優位性を発揮しやすい。
セキュリティ専業ベンダの発言力が大きいのは、単純にこれが理由である。発言力が大きいというと実力も影響力も大きいように受けとめられがちだが、単に博識であるという程度かもしれない。
そして、その博識ぶりもすぐに有効でなくなるので、常にキャッチアップし、常に自らを大きく見せないとならないようだ。(セキュリティに携わるベンダに偉そうな態度をとる人が散見されるのはこれが原因だと個人的には思っているし、この人達の築き上げてきたものは、実は砂上の楼閣であるようにも思える)
それでもセキュリティテクノロジは必要な知見なので、軽視するつもりは一切ない。ただ過信するほどのものではないということだ。
一方、セキュリティマネジメントは、攻撃による被害を最小限に抑える運用上の仕組みや、攻撃を受けにくくするための戦略など、どちらかというと消極的な印象を持たれがちな領域である。しかし、こちらのほうが長期的にジワジワと効いてくる領域でもある。
私がセキュリティを語るとすれば、セキュリティマネジメントの方だろう。これらは経営学の知見が大いに有用である。被害を最小限に抑える考え方は、リスクマネジメントの考え方が応用できるし、攻撃を受けにくくする戦略は競争戦略の考えを応用することができる。
昨今のサイバー攻撃は、無機質な存在が行っているのではない。そこには明らかに何かの意図を持った有機的な存在(人間だと思うけど)が能動的に行っているのだ。つまり相手(誰かは知らないけどね)の内在論理を理解することができれば、案外と対策の打ちようがあるというのが私の考えである。
その際に、セキュリティテクノロジはマネジメントと共に有効に機能すると思う。テクノロジとマネジメントの両輪を回すことで、セキュリティ対策というのは活きるものなのだ。テクノロジ偏重になってはならない。もっと言えばソリューション偏重になるのはもっと愚かだと思う。

私たちは「負け戦」を強いられている

競争戦略というキーワードが出たので、本を紹介しておく。

RBV推進派というとバーニーあたりが有名だけど、ルメルトのこの本も価値ある一冊だし、オススメだ。
この中で、ぐっと来た部分があったので引用しておく。これは冷戦時代にアメリカが国内のある研究機関に出させたレポートについての記述だ。

(前略)相手に多大なコストを強いるような行動をこちらから起こすべきだと述べられている点である。
具体的には、相手が対抗するにはひどくコストがかかり、かつ相手の攻撃力にはさしてプラスにならないような技術にこちらが積極投資することを提言している。
例えばアメリカがミサイルの精度改善や潜水艦の静音性の向上などに投資すればソ連は対抗せざるを得ないが、アメリカにとってはさして脅威が高まるわけではない。またソ連のシステムが陳腐化するような技術に投資することも相手に予算を使わせ、かつこちらの高度な技術を見せつける効果がある。(p.46)

これを読んで、セキュリティ対策における一連の行動を思い出さざるを得なかったのだ。
一連のサイバー攻撃が一種の「戦争」であるというのならば、まさに「相手が対抗するにはひどくコストがかかり、かつ相手の攻撃力にはさしてプラスにならないような技術」により攻撃を受けていると言えるのではないだろうか。
つまり私たちは「負け戦」あるいは「消耗戦」を強いられているのだ。「セキュリティ対策は予算がいくらあっても足りない」と嘆く人たちは、まさにこの枠組にハマっている。
一方でこの枠組にハマってもらうことで、喜んでいる者もいるのだ。もしかすると攻撃の当事者以外にもいるかもしれない。それが意図したものかどうかは関係なく。

戦いに参加しない工夫を

そもそも私たちは、なぜこの枠組にハマってしまいそうになるのだろうか?
ここで私の書いた過去の記事を参考にしてもらいたい。

最大のミスは、リスクの抽出と識別ができていないことだと思う。私たちは「何から」「何を」守ろうとしているのだろうか。その答えが出せないのに対策する(この段階の対策というのは単に予算を使うということ?)というのは、非常に危うい(というか、いい加減な)印象を拭えない。
「何から」というのは、サイバー攻撃を行う主体を指すのだが、もう少し深く考えてみると「何故」という問いにぶつかることになる。これが相手の内在論理を理解するということだ。
いわゆるメッセージ性の高いアピールを目的とすることもあるだろう、あるいは直接的に内部情報を抜き取りたいのかもしれない。けれども、単に相手に(無用な)負荷を掛けようとする意図があるのならば、対策の打ち方も違ってくるだろう。その場合の最善の策は「戦いに参加しない」ということなのだから。
「何を」というのは、もっと深刻だ。一般的に公的機関は守るべき情報を有しているとされる。ところが「守る」という言葉も抽象的だ。情報漏えいも改ざんも破壊もまとめて取り扱うというのは非常に乱暴な議論だ。
ましてや全ての情報が一律に守られる存在であるとも考えにくい。逆に積極的に公開するべき情報もある。そもそも行政機関で保有する必要のない情報もあるのだ。これらの分類や識別もしないで対策するとなると、投資対効果の薄い施策を行うことになる。
国内の行政機関は貧乏あるいは金銭感覚がズレている(自治体のほとんどは自主財源で運営できていない。日本という国自体も累積債務が増え続けている)ので、情報化投資は慎重に行うべきなのだが、残念ながらそのようにはなっていない。
守るべき情報が何かさえ識別できれば、個別の対策はいくらでもある。それを怠っているために、All or Nothing の議論になっていることが残念でならない。敢えて言うのならば、All の対策ができない時点で、Nothing の対策を打つべきなのだろう。この場合の Nothing とは、リスクの高い情報を一切保有しない、あるいはリスクの高い情報にアクセスするチャネルを一切持たないことである。

国と自治体の見ている方向の違い

ここ最近、ずっと違和感を覚えているのは、情報セキュリティ対策における国と自治体の違いである。
ご存じない方もいると思うので簡単に説明しておくと、国(具体的には内閣官房と総務省)は自治体に対して情報セキュリティ対策の一層の強化を求めている。これは、10月5日から開始される番号制度(マイナンバー制度)を受けてのものだ。
マイナンバー制度そのものが、現在もなお国民に知られておらず、不安を拭いきれていない状況である(安保法案の話題で国民の関心がそっちに行っちゃったのかも)ことから、直接国民の窓口になる自治体の情報セキュリティ対策を強化すべきという考えは賛同できるところもある。ただ、少し前に発生した年金機構の情報漏えい問題、長野県の某市におけるサイバー攻撃問題を受けて、その方針が奇妙な方向に偏っているところが何とも気持ち悪い。
国曰く「インターネットと住民情報を保有するシステムとはネットワークを分離しろ」ということなのだが、それ自体は異論はない。ただ、その具体的な手法や時期について言っていることに一貫性がないのだ。正確に言えば一貫性は腹の中にあるのかもしれないが、それがきちんと伝わっていないため、各自治体が混乱する場面が生じている。
と、ここまで書いておきながら、私の感じる違和感は、この混乱のことではない。
立場の違いによるリスク識別の認識の違いである。
国は「特定個人情報の漏えい」という非常に限定されたリスクしか念頭にないのだ。
これはマイナンバー制度をとにかくスケジュールどおりにスタートさせるためだけに識別したリスクであり、そのための「国民にわかりやすい」対策としてネットワーク分離を要求しているに過ぎない。すなわち、国は自治体の情報セキュリティ対策について、それ以上の関心はないのだ。
おそらく自治体の情報が不正アクセスによって改ざんされた(例えばWebサイトの書き換えなど)としても、それが特定個人情報でない限り、過剰に反応することはないだろう。もしかしたら、改ざんが自治体内部で留まっているのであれば、改ざんされた情報を外部に出すなと言うかも知れないし、フォレンジックの観点から関心を寄せるかもしれないが、それ以上はあくまでも自治体内部の課題であると突き放すはずである。
つまり、国と自治体との間で課題設定が異なるのだ。
一方、それぞれの行政機関は「特定個人情報の漏えい」以外のあらゆるリスクに対応する必要がある。乏しい予算の中でやりくりするのならば、セキュリティ対策はもっと丁寧に取り組むべきテーマなのだ。
つまり自治体は「戦いに参加しない」という選択肢もあることを忘れてはならない。市民に関する情報の保護が優先課題であることは否定しないが、他のリスクを無視してよいわけではない。なぜならば、この課題は国の課題であり自治体の課題ではないのだから。
ちなみに特定個人情報の漏えいを防ぐだけならば、保有している個人番号(個人情報ではない)を全消去して、住基ネットと情報提供ネットワークの接続を切れば済む話だ。個人番号は使用されなくなった時点で削除するのが正しい運用なので、消去すること自体には何の違法性もない。
住基ネットの接続が切れても行政事務はできるし(多少不自由かもしれないけど)、情報提供ネットワークは今後整備されるものなので、仮に接続が切れても番号制度前の運用をすれば良いだけの話だ。
もちろん私はそうならないことを願っているし、もっともその判断を下すのは、自治体職員ではなく自治体の首長だと思うので、私は首長の判断に従うことになるけどね。

メモ

忘れそうになるので、ここで一旦忘備録。2011年10月25日に朝日新聞が報じた衆議院へのサイバー攻撃について。
丁寧にまとめられたサイトがあるのでリンクを貼っておく。

ついでにWikipediaのリンク。

セキュリティマネジメントの観点からは、過去の知見は有用なので知っておくべきだろう。そして、なぜ衆議院が狙われたのかについて、その後発生した他の行政機関の事件の違いについても考えてみるべきだろう。