セキュリティの腕を磨く鍵は、「答えは一つじゃない」に気付けるか：サイバーセキュリティマネジメント海外放浪記（1/2 ページ）

サイバーセキュリティに関して対策や対応について単一の答えを求められる場合が多いが、実際には答えが一つしかないことはあまりない。多様な考え方を受け入れることが解決のポイントとなる。

[鎌田敬介，ITmedia]

※本記事はアフィリエイトプログラムによる収益を得ています

　Armorisで今実施しているプロジェクトにおいてエストニアへの訪問予定があるのですが、コロナによる移動制限が少しずつ解除されてきているものの、海外への渡航についてはまだ不透明です。現時点では7月いっぱいは渡航しない方が良いだろうという見通しになっています。いつか、これまでの海外放浪生活に戻れるのか、戻れるとしたらどのくらいかかるのかということが気になっています。航空業界の行く末も心配です。

　私は2007年ころからほぼ毎月のように海外出張をする生活をスタートし、それ以来、2カ月間日本にいることはありましたが3カ月間日本にいることはほぼありませんでした。今回のコロナ騒動によって今年の3月に入ってからずっと日本国内にとどまっているので、13年ぶりくらいに4カ月以上日本に滞在することになりそうです。これはこれで新たな（？）発見があり、ずっと日本にとどまっていると生活のリズムが作りやすいなあと感じています。

　ふと思い立って10年前の2010年の6月はどこでなにをしていたのか、記録をさかのぼってみたところ、生まれて初めてアフリカ大陸（ルワンダ）に行ってCSIRT構築のトレーニングをしていました。当時の写真を発掘したので掲載しておきますが、このときの参加者はITのオペレーターが多く、セキュリティに関する知識がほとんどない人たちだったため基本的な事から説明しなければならなかった記憶が鮮明に残っています。

生まれて初めてのアフリカ大陸でCSIRT構築のトレーニング

　今回はこれまでの海外出張生活で学んだことの中でも最も重要な要素だと思っている「多様な考え方を受け入れることの重要性」について話します。

　サイバーセキュリティの話をしていると、対策や対応の方法について単一の答えを求める人が多いという気がしていますが、実際には単一の答えがあることは多くありません。例えば、「暗号化したい」といってもどのレイヤーで何をどうやってどの暗号アルゴリズムを使って、鍵長をどうするのかとか鍵管理はどうするのかとか細かなことを具体的に決めなければなりませんが、「デファクトスタンダードとしてはこう」というのはあっても「これをやれば完璧」というものはありません。

　またデファクトスタンダードとして世の中で採用されている方法が、その時に暗号化を必要としている環境にふさわしいかどうかは別の問題であり、状況に応じてどうする必要があるのかを考えなくてはなりません。ある時期に完璧に近い暗号化を施したとしても、時間が経てば陳腐化しますので、「この対策のままで大丈夫か？」ということを定常的に見直す必要があります。

　また、一般論としての質問に対しては一般論として答えるしかない場合が多く、質問者は実は具体的な答えを求めて質問しているのに一般的な回答しか得られず、求めている答えではなかったと感想が出がちですが、これもまたサイバーセキュリティの難しいところで安易に答えを提供してしまうと実は想定されている状況にはふさわしくない場合もあります。

　セキュリティ対策にも多様な考え方があり、同じ場面でも10人がセキュリティ対策を考えたら全員が同じ対策方法を取るかというとそうではない可能性が十分にあります。これはリスクに対しする考え方によって方法が違う、ということですが、例を挙げますので考えてみましょう。

　例えば「海外旅行の際にパスポートを盗まれないようにするにはどうするか？」といったお題が出たときに、さまざまな対策がありえます。下にいくつか思い付いたことは書いてみましたが見る前に考えてみてください。ここで大事なのは「自分はどうするか」に加えて「自分の対策以外にどういう手段がありうるか？」です。いくつ思い付くでしょうか。

1、ホテルなど滞在先に置いておく（※国によっては携帯義務があります）

2、カバンの中にいれておく

3、絶対に盗まれないようにするために下着の中に入れる

4、パスポートホルダーにいれて首から提げる

5、靴の中に入れる（入るかどうかは別問題）

6、ホテルか同行者の誰かに預けておく

　他にもいろいろな考え方はあると思います。また、どれが正解ということもなくどれも一定の紛失リスクがあります。首から提げるパスポートホルダーのひもが切れたら、カバンごと盗られたら……。下着の中にいれておけば無くさないと思っていたけれども、歩いている間にすり抜けて落としたという人の話を聞いたことがあります。お分かりの通り、どの対策も完璧とはいえません。ちなみに私がどうしているかですが、かばんの中に入れずにズボンのポケットに入れて常に持ち歩いています。

　サイバーセキュリティに話を戻します。セキュリティ対策もパスポートの紛失や盗難を回避するという目的と同じように、情報資産を守るという目的は同じですが、その対応方法にはさまざまな選択肢があり、どう考えるかによって答が変わります。同じ目的であっても企業によって全然違う守り方をしている場合もあります。

　ここで伝えたいことは、同じ目的であってもいろいろな選択肢を取りうるということを意識することの重要性です。私が多くの海外出張の中で学んだことのなかでも、特に重要だと感じたことは多様性を受け入れるということです。多様性といっても今回は多様な考え方、ということになりますが、いろいろな国に行っていろいろな人といろんな角度で話をすると、本当にさまざまな考え方があるということが分かります。いくつか私が経験した事例を紹介します。

ケース1：答えを持っている人は誰？

　ある国のサイバーセキュリティイベントで講演した際に、講演後にその国の大手銀行のCISOが名刺交換をしに来て「意見交換したいので滞在中に時間があったらうちのオフィスに来てくれないか」と言われました。ちょうどその日の午後があいていましたので、時間を決めてその銀行の本社へ行くと、仰々しい対応でビルの最上階に案内されます。内心「あの人相当エライ人だったんだなあ」と思っていました。

　彼の執務室は当然のように個室で、個室の手前に秘書室があり、そこには女性秘書が4人ほど常駐していました。部屋に入ると「よくぞ来てくれた！」ということで紅茶を飲みながら、その銀行が抱えているセキュリティの問題や、セキュリティのためにユーザーに不便を強いるのは本意ではないがどうしたらいいか、というような話を聞きました。

　特に彼が困っていたのがインターネットバンキングで、認証やアクセス制御などを強化したいのだが個人ユーザーと法人ユーザーで利用スタイルが違う一方で、リスクレベルも異なるので同じようなセキュリティ対策を施すとどちらかにとって不便な環境になってしまうということでした。

　日本を中心にいろいろな国におけるインターネットバンキングのセキュリティ対策の手法などについて紹介しつつ、個人向けと法人向けは異なる入り口にしておけば異なるセキュリティ対策を施せるのではないか、という話をしました。彼はそれまでは個人向けと法人向けで分けてサービス提供すれば良いということを考えたことがなかったようで、すぐにその案を取り入れるということで非常に感謝されました。