ラスボスを倒した後の主人公編――セキュリティエンジニアが目指すべき未来：RPGに学ぶセキュリティ〜第5章（2/2 ページ）

[武田一城，株式会社ラック]

サイバー攻撃におけるラスボス退治とは？

　さて、話はセキュリティの話に戻る。サイバー攻撃は魔物やモンスターが襲ってくる状況と同じであり、主人公の冒険はセキュリティエンジニアの日々の作業となる。それは攻撃手法の情報収集、脆弱（ぜいじゃく）性の対応、インシデント発生時の対応など多岐にわたる。そして、そこにはRPGの冒険のような要素が幾つもある。攻撃者の侵入を許さないための防御構造の構築や、脆弱性が放置されていないか、一般の従業員が不正なサイトへアクセスしないかの調査、監視などのさまざまな業務だ。場合によっては、毎日がRPGにおけるイベント発生時のようになる。残念ながらセキュリティエンジニアは防御しかできないという点はRPGの主人公と異なり、それではラスボス退治にならないと思われる方も多いだろうが、そのことは後で述べたい。

　セキュリティエンジニアはこのような多くの経験値を積みながら、より強いセキュリティ対策を実行できるエンジニアにレベルアップしていくのだ。しかし、現実問題としては、なかなかそうはならない。サイバー攻撃は、防御側より攻撃者のインセンティブがより強いためだ。残念ながら、防御側はこの10年間それほど進歩がない。その結果、経験値を積みながら、よりもうかりやすい効率的な攻撃手法を繰り出してくるのは、むしろ攻撃者の方であり、双方の格差は広がっている。また、残念ながらサイバー攻撃にラスボスはいない。だから、主人公がどれだけ鍛錬しても、それを倒すことはできない。

　しかしながら、サイバー攻撃のない平和な世界が目指せないかというと、そうではない。サイバー攻撃は、そのほとんどがお金もうけを目的としたビジネスだからだ。攻撃者たちを滅ぼす必要などは全くない。ただ攻撃者に多くのコストをかけさせれば良いだけだ。収益よりコストが多くかかるようにすれば、サイバー攻撃はビジネスとして成立しなくなる。それはサイバー攻撃をする意味がなくなるということだ。そうなれば、サイバー攻撃は全くもうからない斜陽産業となるだろう。過去にさまざまな業界やビジネスが栄枯盛衰を繰り返してきた。サイバー攻撃もその例の一つとして、過去の遺物のように社会に認識されるような世の中になれば、サイバー攻撃のない平和な世の中が達成できるはずだ。

セキュリティエンジニアが目指すべき未来

　そして、ついにサイバー攻撃のない平和な世の中が出来上がったとすると、それはすなわちセキュリティエンジニアが必要ない世の中だ。それは、RPGにおけるラスボスを倒した主人公と同じく、サイバー攻撃のない世の中になった瞬間に失業状態に陥る。ただし、ほとんどのエンジニアは企業のような組織に所属しているので、少なくともノーアサインの状況ではあるだろう。

　しかし、このような状況を恐れるあまり、セキュリティエンジニアがサイバー攻撃への防御に手を抜くような状況はあってはならない。おかしな表現に聞こえるかもしれないが、セキュリティエンジニアとは、この失業状態を招くために頑張っている職業であるべきだろう。世界の人々が安心してインターネットに接続でき、さまざまなサービスを利用できる状況を作ることこそが、セキュリティエンジニアが目指すべき未来だ。

　ただ、残念ながら日本および世界の情報セキュリティ市場は、この四半世紀ほど右肩上がりの様相であり、それはサイバー攻撃の猛威が拡大していることを示している。さらに、市場の縮小が始まっている日本では、このような拡大する市場は希少な存在だ。そのため、このビジネスへの新規参入競争やセキュリティ人材の取り合いが常態化している。

　つまり、サイバー攻撃と同様にセキュリティ対策も負けないくらいの世界規模の大規模ビジネスになっているということだ。また、セキュリティ市場はこれまでサイバー攻撃による大規模な事件が発生するたびに成長してきたという経緯もあり、経営や営業的な観点からは、どうしてもそのような事件や事故を望んでしまう傾向も少なくない。

　この状況は、「貧弱な装備と少しの資金しか与えなかった王様の事情」の項に記したことと同じ論理構造から生まれる。そして、この大人の事情は、ベンダーだけではなく実はユーザーにも当てはまる。この10年ほど、セキュリティ対策があまり進歩していないのは、そのためだ。昨今の最新のセキュリティ製品は、サイバー攻撃を検知するセンサーとなっている。そして、そのセンサーは、日々高度に進化している。

　しかし、ユーザーはセンサーが出したアラートに対応できるスキルはもちろん、理解できるスキルすら持っていない。さらに、製品を販売したベンダーも同様に、そのスキルは構築や設定がメインだ。要件通りに動作させることはできても、適切にアラート対応できる人材を数多く確保できてはいない。その結果、せっかく導入したIDS（侵入検知システム）やIPS（侵入防止システム）などのセキュリティ対策製品が持つ高度な機能も宝の持ち腐れになってしまっていることが珍しくない。残念ながら、運用もできないセキュリティ製品が驚くほど普及しているのがこの国のセキュリティ市場の現実だ。

　もちろん、このような状況はユーザー企業にもメリットはない。しかし、「危機意識の希薄さと惰性」というものは恐ろしい。市場全般がこのような空気に包まれていることが普通になってしまっていることから、完全に流されてしまっているのだろう。過去に数千万円単位のセキュリティ対策を決裁したシステム部門長は、それが「間違っていた」などとは口が裂けても言えない。また、その他にも大人の事情が幾つも折り重なり、言いたくても言えない状況なのだろう。このように、RPGの世界で権力者が考えている裏の事情とセキュリティ対策は、本質的ななれ合い関係のような意外な一致点があるのだ。

　筆者もセキュリティ業界に所属する人間であり、サイバー攻撃がなくなってしまったら、このような記事も書けなくなり、短期的には少し困るかもしれない。ただし、その後には現在よりもっと便利ですてきな世界が待っているはずである。しかも、本当のセキュリティエンジニアは、第4章で示したように上級職に当たる優秀な人達だ。そのような人材たちには新たなビジネスチャンスなどはいくらでもあり、見つけない方が難しいような状況かもしれないのだ。そもそも「輝かしい未来」は、そういう前進によってのみ手に入れられるはずだ。そして、その未来は次世代の子どもたちやその子孫たちがさらに発展してくれるだろう。だからこそ、セキュリティエンジニアは、目先の安定や打算を忘れ、サイバー攻撃のない世界を目指さなければならない。

　そして、サイバーセキュリティという言葉がなくなった未来の世界には、いにしえの時代にいたとされる「セキュリティエンジニア」が残していったキーボードやマウス、ディスプレイという伝説の武器や防具は封印され、「ダンジョンの奥にある宝箱」（一般的には「物置の中の段ボール」というかもしれないが）に安置されるだろう。そして、その存在すら忘れ去られるような輝かしい未来になることを祈りたい。

（ただし、続編で新たな大神官や大魔王が復活して、より強大な敵と対峙（たいじ）しなくてはいけないことがよくある――しかし、まあそうなったら輝かしい未来にいる勇者の子孫たちにまた頑張ってもらうことになるだけであり、つまり何の問題もないのだ）