昔から図書館の本を紛失や破損から守るための最もいい方法は、本の閲覧をさせないことだという冗談がある。本に対する悪意のある攻撃に対してセキュリティを最高度にすると、逆に利用者には最高に不便になるというか図書館を利用できなくなってしまう。ことほど左様にセキュリティは常にトレードオフを伴うということから『セキュリティはなぜやぶられたのか』(ブルース・シュナイアー著、井口耕二訳、日経BP社刊)は始まる。
トレードオフのことは少しでもセキュリティの問題について考えたことのある人であれば分かることだが、著者はその道の専門家であるだけにその裏の事情にも詳しい。このセキュリティトレードオフの意思決定過程に複数の関係者が関与するため、それぞれが主観的なセキュリティ評価を行い、対策はまず自分の利益を確保する思惑を抱いているのだということを歯に衣着せず指摘する。同時多発テロの航空セキュリティを検討する際に、
航空会社は、お客さんを増やしはしたいが、コストがかさんだり運行スケジュールが混乱するようなセキュリティシステムは避けたい。できれば空港でのセキュリティを国に任せ、将来的に問題があっても責任をとらずにすませたいとも考えている。パイロットは自衛用の銃を持ちたいと言う。客室乗務員は、パイロットに銃を持たせると自分たちだけが危険にさらされるかもしれないと疑う。次の選挙が気になる議員たちは、何か、改善に向けた努力をしていると思われたい。米連邦航空局は航空会社と政府の板挟みで動けない。結局、爪みがきのやすりや毛抜きを乗客からとりあげるという結論に落ちつく。これなら費用がかからず航空会社は満足する。何かをしているというポーズにはなるから政府も満足する。旅慣れた人ならあきれてものも言えないところだが、乗客に意見を述べる機会はない。
とこれは著者の架空のシナリオだが、あってもおかしくはない。セキュリティも大事だが、それ以外の思惑が絡んでおり、そちらがセキュリティより優先されることがある。これは日本でもBSE問題で大騒ぎしたときの政府の対応を見てみれば明らかだ。こういうことを最初から述べる本であることから分かるように、本書はセキュリティ神話を完膚なきまでに打ち砕くことが主題である。完全なセキュリティなどないのだと。しかしそれでは話が終わってしまうので、セキュリティ対策とは、通常の安全対策とは異なり、偶発的な事態はもとよりシステムに障害をもたらそうと悪意を持って攻撃する事態にも対応することを考慮して設計しなければならないと指摘し、5つのステップを踏んで検討することを教えてくれる。
ステップ1:守るべき資産は何か
ステップ2:その資産はどのようなリスクにさらされているのか
ステップ3:セキュリティ対策によって、リスクはどれだけ低下するのか
ステップ4:セキュリティ対策によって、どのようなリスクがもたらされるか
ステップ5:対策にはどれほどのコストとどのようなトレードオフが付随するか
これによって最善の回答が得られるわけではないが、少なくともある対策の評価はできるというわけである。そして当然ながら提示されたセキュリティ対策というものが、「ほんとうに」防ぎたい事態のことだけを考えたものなのか(提案者の思惑をそそぎ込んだ恣意的なものではないのか)を見抜く目を持たねばならない。
本書を読んでいるとさまざまなところにな警句的になるほどと思わせることが書かれてある。
セキュリティシステムは、根本的に他のシステムと異なっている。(中略)セキュリティシステムは何かをできないようにするから価値がある。
セキュリティがやぶられるのは「継ぎ目」のことが多い。(中略)継ぎ目はシステム設置時に発生する。
セキュリティによる異常検出システムには感度と特異度が関係する。これは通常の検知システムと同じであるから、発生頻度が異常に稀な事態では偽陽性、すなわち誤報が多くなる。誤報が多くなればシステムに対する信頼性が落ちるから、いざと言う時に役立たなくなる。異常に感度の高い火災報知機はわずかな煙で鳴ってしまうから、警備員は結局スイッチを切り役に立たなくなる。
「失敗するかもしれないことと失敗するはずがないことの違いは、失敗するはずがないことが失敗すると、だいたい、何とかしたり修復できないということだ」
実績のある方法は新しい方法よりもすぐれていることが多い。(中略)困ったことに、複雑な技術システムには実績のないものが組み込まれることが多い。
技術的システムでは人間と機械をつなぐ「ヘルパー」、すなわちインターフェイスが必要だが、このヘルパーがセキュリティ関連のシステム特性を隠蔽し、リスクの正確な評価ができなくなるという指摘もされている。SF作家のニール・スティーヴンスンはこれを「メタファー断層」と呼んでいるという。機能の分かりやすさを優先した結果、複雑な技術やみたくない事実が隠されてしまう(p133)。
技術が進むと標準化が進み、脆弱性が増える。同じ機能を持つ部分すべてを破壊する「クラスブレーク」が可能になるのだ。
最後に著者が警告するのは、セキュリティというものに対して受身であってはいけないということだ。
受身であれば、自分の代理人や他の関係者が決めたセキュリティを甘んじてうけいれなければならない。トレードオフを自分で決めたければ、他の関係者の思惑に応じ、できるかぎりの交渉をしなければならない。それしか方法はないのだ。(中略)
自分の思惑や自分が感じるリスクに適したセキュリティにしたいと思うなら、交渉のやり方を学ばなければならない。関係者同士で利害を一致させる。関係者の利害を各自の能力と一致させる。感情という皮をむくと、セキュリティとは要するにお金だということがわかるはずだ。ただし、お金の流れはわかりにくいことも多いので、金銭的な動機を正確に把握することが大事だ。
読んでいて多少重複するところが多いと感じるところもあるが、飽きさせずに最後まで読ませる。