このところ仕事から遠ざかっていて、すっかり浦島太郎状態になっているのだけれど、今日、たまたまIPAのホームページを見ていたら以下のようなページを見つけた。
最近の脅威の動向をわかりやすくまとめてあって、IT関係者や企業などのセキュリティ管理者にはいい資料ではないかと思う。一方で、こうした資料は一般のITユーザには、かなり不安を与えそうな気もする。攻撃する側が本気になったら、専門家でもやられてしまう可能性は低くないだろう。まして、一般ユーザが完璧に防御することなど不可能に近い。怪しげなサイトにアクセスしないとか、変なファイルを開かないなどといった一般的な注意事項を守っていたとしても、標的にされれば簡単に落とされてしまうだろう。
しかし、一方で、こうした脅威の「恐ろしさ」ばかりを、いたずらにユーザーに知らせても、ユーザを委縮させ、本来有効利用されるべきネットの環境を十分に活用できなくしてしまう恐れもある。最近は攻める側もプロ化しているから、防御側もプロが関与しなければ守れないのは当然だ。しかし、多くの組織では自己責任のもとにユーザに最終責任を持たせている。その仕事を一般のユーザに押し付けてしまうのはちょっとかわいそうである。
セキュリティ屋の仕事はユーザを脅して委縮させることではなく、ユーザに最低限の責任範囲を明示し、その範囲外の部分をどのように守るかを考えて実行することだと思っている。当然、悪意や重大な不注意、怠慢については厳しく責任を問われるが、すべきことをしていて発生した問題については、組織として考えていくことが、安心してITを使える環境をユーザに提供するためには必要だと思う。
専門家といえども、100%の安全は保障できないから、「安心して使って」とは言いにくいのだが、少なくとも専門家や組織のセキュリティに責任を持つ立場にある人は、最新の脅威を知り、それに対する防御を最終的には「自分の責任」として考えることが必要ではないかと思う。もちろん負けることはあるが、少なくとも一般のユーザに最後の守りをゆだねてしまうよりはずいぶんマシだ。
今の形は、一般的な防御手段を組織として提供するところで終わっていて、あとはユーザにゆだねてしまっているように思える。そうではなく、ユーザが最低限のことをしてくれる前提で、防御手段を講じると同時に、万一、不幸な事態が発生した時にそれをいち早く発見し、ユーザと組織を「救済」できる手段をきちんと用意しておくことが重要だと思う。そのためには、おそらくセキュリティ管理組織により多くのリソースを配分する必要があるだろう。
なかなか、言うは易しで実行は難しいのだが、まずはこういう考え方をセキュリティの責任者が持って、経営層にも理解してもらうことが重要なのではないかと思う。不景気な今だからこそ、これまでのセキュリティ投資の在り方も含めて見直していく必要があるのではないだろうか。
