第121号コラム: 野上 久國 氏(富士通株式会社 官公庁ソリューション事業本部 顧問、IDF会員)
題:「セキュリティのジレンマ」

 警察という組織内部の情報通信技術者として幾つかの情報通信システム作りに携わり、失敗も重ねてきた中で、私が感じたセキュリティのジレンマを書きたいと思います。セキュリティを強化したはずが、逆に弱化させかねないという話です。皆様のご参考となれば幸いです。

 情報通信システムのライフサイクルは、構想づくりから始まり、予算措置、概要設計、詳細設計、製造とテスト、運用ルールと責任体制の策定・構築、オペレータと保守員の教育・訓練、現地調整、実運用開始、という段階を経て、寿命を全うして廃棄されるまではいわゆるPDCAのサイクルに入ります。近年の傾向として寿命はますます短くなるようですが、寿命が過ぎたと分かりながらも色んな都合でシステムを延命させる算段には切ないものがあります。

 セキュリティシステムは構想段階から綿密に組み入れられますが、大きな情報通信システムならば寿命も長いと想定されるため、セキュリティシステムだけでも先に更新できるよう設計されます。システム寿命の間はずっと全体のレベルを必要十分なセキュリティレベルに保つのが目標ですが、あちらを立てればこちらが立たずというリソース配分のジレンマに悩む日々が続きます。設計中も運用中も、こうすれば良かった、と気が付くことは結構あり、少ない負担で改善できるのであれば早期に実行しますが、そうでない場合が多いのが悩ましいところです。

 セキュリティシステムの弱さが最弱部分で決まるというのは、水を入れた木桶に象徴され、木桶の部材で一番低い部材から水が漏れる、と例えられます。攻撃者は最弱部分を狙うからでもあるしょうが、守る側として最弱部分がどこなのかが正確には分からないことに要注意だと思います。

 一部分を強化すると、予算とか運用などの条件が変わらない限り、どこかに負担が増えますし、意図しなくてもどこかで手抜きをする結果にもなります。強化する部分が最弱部分であったなら強化した分だけ全体のレベルが上がり、目出度し目出度しです。しかし常にそうなるものではなく、最弱部分はそのままで、元々強い部分をより強くしても、全体のレベルは変わらず、負担が増えただけかもしれません。

 もしかして最弱部分は、誰が攻撃者になるか、部内事情、技術進歩で大きく変わってゆくこともあるでしょう。
強くしたいという気持ちはあっても、手が打てるのは見えている部分だけですし、見えていない部分があったことには後から気が付きます。全体像が見える(気がする)、あるいは、全体像が見えていなかったことが分かるのは、問題が表面化してからですが、それには得てして長い時間がかかります。

 無理をしてでも強ければ強いほど良い、という一点豪華主義はセキュリティに関しては多分間違いだろうと思います。必要十分なだけ強い、のが理想ですが、それには、やり過ぎたと分かったら、少し緩めるのも「あり」ではないでしょうか。緩めて浮くリソースが有ればバランスをとる方向に振り向けるのです。
 
 例えば暗号システムでは、一般に鍵長が長い方が強いとされますが、長ければ長い方が良いということでは無いことは皆様ご承知のとおりです。暗号技術についてセキュリティ専門家としてどうするべきかの具体的指標には、幸い我が国ではCRYPTRECが組織され、オープンにしっかり暗号技術の有効性が検証されていますから、この推奨を基にしていれば大丈夫で、必要十分なレベルになります。自分勝手に余分に長くしたり二重にするとかは、百害あって一利無しでしょう。経年劣化を見越して長くしておきました、というよりは、簡単に取り換えられます、が多分ベターと思います。 

【著作権は野上氏に属します】