政策と産業の最新動向を伝え、解説する“クオリティペイパー”


Hトンプソン博士

Hトンプソン博士

Freedom (自由度):セキュリティを再考する

■講師2
RSAコンファレンスプログラム議長
Hトンプソン博士

いまから2年ほど前、私がニューヨークのコロンビア大学で助教をしていた時、情報セキュリティの専門家など1万人規模の参加者が集うカンファレンスで、次のような「実験」を行った。表向きにはプレイヤー同士が互いに出題した言葉の意味を当てるゲーム大会だった。出題者の私は「コンテクスト・リフラックス(Context Reflux)」という言葉の定義を回答者に尋ねた。こっそり手元のスマートフォンを操作し、Googleで意味を検索する人もいた。そこがこの実験の狙いだった。この言葉は造語なので辞書には載っていない。私はまえもってコロンビア大学でソフトウェア・セキュリティを専攻する学生達にこの実験の意図を説明して協力を依頼し、この造語のもっともらしい定義を作り上げさせ、学生の個人ブログやFacebookのページなどに書きこませた。2~3日もすると偽りの言葉とその定義が検索エンジンの上位1~2ページを独占するまでになった。後日ゲームでプレイヤーが閲覧したのは、この嘘の定義だったのだ。もちろんゲームの最後に私は種明かしをしたが。
この実験で私が伝えたかったのは、Googleのような著名なサードパーティのサービスあるいは製品の中立性が、悪意を持った第三者によって簡単に操作されてしまう可能性についてである。今日電子メールの文面に記載されたURLをいきなりクリックする危険性はフィッシング詐欺を知っている人は理解しているはずだ。しかし、『この商品を詳しく知りたい場合はブラウザに「コンテクスト・リフラックス」と入力して検索しよう』といった文面で利用者を誘導する手口はどうか。検索結果の上位に表示されたサイトを訪問すると、攻撃者がすでに悪意あるプログラムコードを仕込んでいる可能性がある。アンチウイルスソフトをインストールしているだけでは対策は不十分だ。これがセキュリティの現状だ。昨日まで通じていた常識が明日には通じなくなりつつある。しかし、セキュリティ以外の分野でもこうした変化が起きている。
ベースボールの世界がそうだ。選手の評価は博士号を持った統計学の専門家によってなされている。あらゆるゲームの投球やバットのスイングの結果はすべて分析、数値化されている。30年前はスカウトが選手の体格や動きを目で見て直感的に判断し、その意見が評価に反映された。いまは分析力の高いチームが勝率を上げ、選手への投資に成功している。こうした統計データを活用したビジネス手法は自動車保険を販売する損害保険業界で積極的に取り入れられている。
セキュリティ分野でも直感や勘で変化に対応する時代から、定量的な統計データを活用し、より確度を高める時代にシフトしている。「セキュリティが心配だ」といって従業員が利用するスマートデバイスの社内への持ち込みを単純に禁止するよりも、新たなテクノロジーの変化を受け入れ、それに柔軟に対応し続けることが大切である。セキュリティを提供するベンダー側も発想の転換が必要だ。ペットボトルの蓋を回した時にカリッと音がすることで飲料が製造ラインから私の手元まで安全に輸送されてきたことが確かめられるように、業務に支障を出さず簡単に安全性を確かめられる仕組みを提供しなければならない。

ベンダーが安全な仕組みの提供を

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt="">