Crypto-GramというEメールニュースレター(日本流に言えば「メルマガ」か)が毎月発行されているのはご存知だろうか?
執筆・発行しているのはBruce Schneier。「Applied Cryptography(邦題:暗号技術大全)」、「Secrets & Lies(邦題:暗号の秘密とウソ)」という2冊の著書を持つ暗号技術の第一人者であるとともに、企業のネットワークシステムを常時モニターし、セキュリティ上の問題の検知・対応そしてコンサルティングを行うサービスを提供するCounterpane Internet Security社の創業者兼CTOでもある。
Schneierは近年、特に9・11テロ事件以降ではコンピューターセキュリティの領域を超え、安全保障問題全般に関する論評・コンサルタントとしても活躍しており、最新の著書(ちょっと前にも触れたが)は、「Beyond Fear」と題され、「セキュリティ」とは何か、有効かつ適切な「セキュリティシステム」とは何か(「システム」はこの場合、ITシステムを指すのではなく、安全保障のための「仕掛け」、という意味)といった問題につきさまざまな事例を紹介しつつ、誰にでもわかるような平易な言葉と文章で論じている。
私は今の会社に入る前に関わったあるコンサルティングプロジェクトをきっかけにSchneier、そしてCounterpane社の存在を知り、非常に面白く思ったため、それ以来このニュースレターも購読するようになり、また「Beyond Fear」も読むに至った。
(話はそれるが、この人の文章は簡潔かつ明快で、もし全て自分で書いているのであれば、非常に「文才」のある人だと思う。私が毎月のニュースレターを読んでいるのは、セキュリティに対する興味があることはもちろんであるが、英文書きの勉強にもなるためである)
今日はちょうどニュースレターが送られてきたので、「Beyond Fear」について私なりの解説を加えてみたいと思う。
Schneierによれば、セキュリティとは「他者の意図的かつ不当な行為による被害の発生を食い止めること」であり、必ず何がしかのコストを伴うものである、としている。ここでいう「コスト」は金銭的なものだけではなく、「利便性の低下」「プライバシーの侵害」なども含んでいる。従って、どのようなセキュリティ上の施策かは、得られる効果と必要なコストの間のトレードオフ関係を考慮した上で、各人が自分の価値観に応じて判断しなければいけない、としている。
本書中に挙げられた「極端な」例で言えば、9・11テロの再現(=意図的かつ不当な行為)による人命の損失(=被害)を完全に防ぐために「航空機を飛ばさない」という対策を採ることは可能だが、それにともなう経済的損失・利便性の喪失(=コスト)はあまりにも大きいため、この策は実行すべきではない、ということになる。
上はあまりにも極端な例に感じられるかもしれないが、現実には、とかく恐怖に目がくらんで、コストに見合わない過剰なセキュリティ策を導入しがちであり、Schneierはそうした傾向を批判的に捉えている。特に、実効性はさほどでもないのに「安心」を与えることを目的として巨額のコストをかけて導入されるセキュリティ策については「security theatre(セキュリティのお芝居)」であるに過ぎない、と非常に手厳しい。(「お芝居」の例としては、空港に銃をもった兵隊を配置することを挙げている)
本書の「Beyond Fear」というタイトルには、著者の「目先の恐怖に惑わされず、セキュリティ策の費用対効果を冷静に分析し、自分にとって最適なものを主体的に選択せよ」という主張が込められているのである。
もちろん本書はそういう主張をするだけの「警世」の書ではない。セキュリティ策の有効性、費用と効果のトレードオフをどう分析すべきかについても、シンプルかつ非常に明快なフレームワークを提供している。
あいにく今日はこれ以上書く時間がないので、このフレームワークについては、明日のポストで紹介したい。
なお、Crypto-Gramの購読は無料なので、興味があればSchneierのサイトから登録してみてはいかがだろう?
Recent Comments