セキュリティは大事だからさ、なんか対処をしておいてくれよ、とか
セキュリティは大事だから、万全にしておいてくれよ、とか
難しいねぇ。セキュリティ。何かのセキュリティソリューションを入れれば万全、ってわけでもない。だからといって、業務の回らないセキュリティも守られない。
以前、例え話で言われたのが、
「セキュリティって、つまりは風呂桶に何箇所も穴が空いてて、放っておくと水が漏れるって、話だろ。だから、セキュリティソリューションという絆創膏で何個塞いだ、と言ってくれると、わかりやすいじゃないか。」
それはそれで・・・という印象。
他方で、セキュリティに関する専門家、先生にかかると、これが賢いから、全然違う方に行く。「技術的にはね、理論上はね」、とか想像だにしないことを、いろいろ考えることができる。
でもそれは、大抵お金がかかる。手間がかかる。
例えばパスワード。ログインパスワードは10桁以上にしてね。暗号化キーは15桁以上ね。そのほうが、総当たり攻撃に対する耐性が高くなります。そりゃそうだ。
でもねぇ。そのパスワードを覚えてられないから、一定のサイクルにしたり、同じにしたり。なので実際は生体認証とか、パスワードレス、ワンタイムパスワードとか、純粋なパスワードでないものも組み合わせる。
つまり、パスワードの耐性と、業務のしやすさは両立しないといけない。何も考えないと、通常はセキュリティは業務の足かせにしかならないと言われやすい。
境界制御じゃないよ、ノントラストだよと言われて久しい。
ソフトウェア、ハードウェア、プロトコル、チップ。さまざまなものに脆弱性は発生し、それに対するパッチを当てる。これも、長いパスワードを適用しなさいに、通じるものがある。すべてを安全に、信頼のおける世界を作っていく、そういうルールとか、フレームとかを検討し、作り、普及していく、これも大事。
ただしフレームから、「このソフトでこう管理してください」と手順に落とし込む時点で、無理が生じる。フレームはコントロールなので、コントロールを伝承することはできる。他方で、「この製品でこう管理する」はルール、手順なので、こちらは通例固められないし、ルールに落とし込むときには、環境に応じてコントロールは調整しないといけない。例えば、一人しかいない宇宙ステーションにパスワードが必要な機器があった場合、そんなものを10桁以上になんか、する必要がないのだ。
基準は基準、ポリシーはポリシー、次に管理が来るはずで、手順は参考文書にはなるけど、管理と併記して書いてはいけない。そこに手順を書いてしまうから、回らない業務、回らないセキュリティが生まれてしまう。
逆に、セキュリティを守れと脅迫されてしまう人たちは、「何でもいいから手順を示してくれれば守ります」と手順を要求してしまう。リスクを把握せず、管理を意識せず、手順だけを守って、何を守れるというのだろう?