昨日のポストに続き、Bruce Schneierの「Beyond Fear」に関する話。
Schneierは本書で、「セキュリティ策の有効性、費用と効果のトレードオフをどう分析すべきかについても、シンプルかつ非常に明快なフレームワークを提供している。」と昨日書いたのだが、このフレームワーク、以下の5つのステップから構成されている。
原著ではこのフレームワークはP14−15に提示されているが、以下は私の解説込みの「日本語化」ということでご容赦願いたい。
ステップ1:セキュリティ策は何を他者の「意図的かつ不当な攻撃」から守ろうとしているのか?
Schneierによれば、実はこの「何を」という質問が十分に吟味されていないために、不十分な、あるいは過剰なセキュリティ策が導入されているケースが多いという。空港のセキュリティで言えば、守りたいのが「飛行機」なのか、「飛行機が突っ込むかもしれない建物」なのかによって全く違う対策が考えられるべきなのに、「空港に兵隊を配置する」という見当違いの対策(飛行機をハイジャックするのに乗る前に空港で暴れるテロリストはいないはず)が実施されたりすることになる。
ステップ2:攻撃された場合、その「何か」が被る被害はどのようなものか?
ここでは、「誰の」「どういう動機」に基づき、「どのような攻撃」を受ける可能性があるのか、受けた場合に「どんな」望ましくない結果が生じるのかを考慮する。上の例で言えば、「テロリストが」「アメリカ人に恐怖を与えるため」「飛行機をハイジャックしてミサイル代わりに公共施設に突っ込み」「多くの人を殺傷するばかりか、交通機関を麻痺させ、経済活動に足かせをはめる」ということになる。
ステップ3:セキュリティ策は上の被害をどのようにして、どの程度食い止めるのか?
これも、十分に考えられなければ見当違いの対策が行われてしまう要素である。「空港に兵隊を配置する」のは「ハイジャックされた飛行機が公共施設に突っ込む」ことを直接的にも間接的にも防ぎはしない。空港の中で人を殺傷しようとしたり、荷物検査で引っかかったテロリストを取り押さえるのには効果があるが(なので、全く意味が無いわけではない)、それはこの場合の目的には適わないのである。
ステップ4:セキュリティ策はどのような追加的リスクをもたらすのか?
あるセキュリティ策がとられることによって、どのような波及効果や、新たなセキュリティ上の問題を起こすことがある。「空港の兵士」の場合、兵士が誤射により無実の人を殺したり、テロリストが「飛行機テロ」をあきらめ、「生物兵器によるテロ」に切り替えるテロリストが増えたり、またはテロリストが自分で武器を持ち込まず、セキュリティをくぐった後に兵隊の武器を奪って空港にたてこもる、といった「対策のとられていない」危険を招く可能性があることを忘れてはいけないのである。
ステップ5:セキュリティ策の実施にはどのようなコスト、そしてトレードオフが伴うのか?
昨日も書いたが、何のコストも伴わず、トレードオフもない「都合の良い」セキュリティ策は無いのである。「兵士を配置」する費用を税金でまかなう、という金銭的コストに加え、「兵士のいる」空港で無実の人までも「何かでひっかかりやしないか」とびくびくしたり、「そんなに飛行機が危ないのであれば車で出かけよう」と考える人が増え、交通システムの効率性が低下したり、あげくのはてに交通事故が増加したり、といった間接的なコストも存在するのである。
以上5つのステップをあてはまることにより、導入しようとするセキュリティ策が本当に有効なものかを冷静かる主体的に判断せよ、というのがSchneierの議論である。本書では、「インターネット上の商取引でクレジットカードを使わない」ということから「テロに関連した政府の活動の秘匿性を高める」ことまで、さまざまな「セキュリティ策」をこの5つの要素を使って評価している。
上記のように、本書は「セキュリティの評価」を主眼としているわけだが、Schneierが上の5ステップを解説する中で挙げている論点の中で、それ自体独立して面白いものも沢山ある。私が特に面白いと思ったのは、「防衛システムよりも、攻撃を検知し対応するシステムの方が有効である」というものと、「人はセキュリティの諸刃の剣である」という2点である。
前者は、特にネットワークセキュリティなどで、ファイヤーウォールを設置すればそれでおしまい、という考え方への警鐘である。技術進歩により、どんなファイヤーウォールも永遠に突破されない、ということはないので、それよりは不正侵入めいたものを検知し、すぐにその発生箇所をつきとめ、塞ぐことを可能にするシステムの方が有効なのである。コンピューター以外の例で言えば、絶対に破られない金庫というものはなく、破られるまでの時間の長短があるだけであって、金庫破りが行われている間に、警備員なり警察なりが駆けつけてくるシステムがなければ、金庫はいつかは破られてしまうのである。
後者の「人間は諸刃の剣」については、Schneierはカナダ州境の税関職員が経験から「こいつは臭い」というカンを働かせてテロリストを捕まえた、という例を挙げ、人間はテクノロジーではまだ実現できない精度で潜在的危険の検出をすることができる、と主張している。その一方で、人間は騙されたり、「インサイダー」として裏切り行為をすることによってセキュリティの「穴」にもなりうるのであって、セキュリティ策の構築に際しては、いかに人間の強みを活用しつつ、脆弱性をコントロールするかを考えることが重要である、としている。
この人間の「弱み」を活用してセキュリティを骨抜きにしてしまう「Social Engineering」という「人の親切心や虚栄心につけこむ」テクニックがあるがあり、本書でも少し触れられているが、これについてはKevin Mitnickという一世を風靡したハッカーの書いた「The Art of Deception(未訳のようである)」という本がある。これまた面白い本だが、読んでいるうちに背筋が寒くなるような本である。近いうちに、紹介したい。
いささか最後は別の本の話にそれてしまったが、「Beyond Fear」、おすすめの一冊である。自分がコンピューターセキュリティの「泰斗」のような存在でありながら「テクノロジー万能」といった本にならないあたり、Schneierというのはスゴくバランス感覚のある知性の持ち主なのだな、と改めて感心してしまった。
これもまた「答えを授けてくれる本」ではなく、「答えの出し方を指導してくれる本」か。(出るのかどうか不明だが)日本での翻訳は、どんなタイトルで、どんな調子の文章になるのだろうか?
この話を読んで次の一節を思い出しました。
...But he suddenly remembered something that one of the ship's designers had once said to him, when discussing "fail-safe" systems:
"We can design a system that's proof against accident and stupidity; but we can't design one that's proof against deliberate malice...."
- 2001: A Space Odyssey, by A. C. Clarke
Posted by: びっぐ | December 17, 2003 at 06:06 AM
「The Art of Deception」は『欺術』というタイトルでソフトバンクより刊行されています。
http://www.amazon.co.jp/exec/obidos/ASIN/479732158X/ref=sr_aps_b_/249-1068482-5890741
Posted by: turky | December 17, 2003 at 09:39 PM
turkyさん、ご指摘ありがとうございます。
私の検索不十分でした。お恥ずかしい。
Posted by: Naotake | December 18, 2003 at 03:02 AM
>「空港に兵隊を配置する」のは…空港の中で人を殺傷しようとしたり、荷物検査で引っかかったテロリストを取り押さえるのには効果があるが
ふと思ったのですが、各国で空港の警備が強化されたのはテルアビブ事件以降ではないでしょうか? 従って、第2のテルアビブ事件を防いだという点では実は確かに効果があったといえるかもしれない。
>(出るのかどうか不明だが)日本での翻訳は、どんなタイトルで、どんな調子の文章になるのだろうか?
また山形浩生氏のくだけた(くだけすぎた?)訳になるのかな…と思ってネットを検索してみたら、http://d.hatena.ne.jp/noza/20030919 に、版権が高すぎてどうなるかわからん、というご本人のコメントがありますな。
Posted by: びっぐ | December 21, 2003 at 08:19 AM